La faille ayant affecté le plugin LiteSpeed Cache menace la sécurité d’environ 5 millions de sites WordPress. Elle peut exposer ces derniers à de nombreux problèmes, comme les prises de contrôle par des cybercriminels. Pour se protéger de cette faiblesse, les administrateurs (ou tout utilisateur) doivent effectuer une mise à jour avec une nouvelle version.
Le plugin LiteSpeed Cache constitue un outil connu pour améliorer la vitesse des sites WordPress. D’ailleurs, il utilise un système appelé « hash », permettant de vérifier l’identité des utilisateurs. Toutefois, ce code semble facile à déchiffrer. Des hackers peuvent utiliser cette faille afin de créer de faux identifiants d’administrateurs pour accéder aux fonctionnalités du site. Ce problème est avant tout lié à une fonctionnalité spécifique du plugin : le crawler. Néanmoins, il existe une autre vulnérabilité permettant de produire et de conserver ce hash, même après avoir désactivé le crawl. Tout site qui utilise LiteSpeed Cache est vulnérable de manière potentielle.
Les conséquences potentielles dues à la faille
La faille critique CVE-2024-28000 dans le plugin LiteSpeed Cache peut permettre à n’importe qui de se faire passer pour un administrateur du site. Même sans avoir de compte sur le site, il est possible de prendre le contrôle total.
Une fois qu’un hacker a usurpé l’identité d’un administrateur, il a la possibilité d’installer des plugins malveillants. Non seulement il peut s’emparer de données sensibles, mais aussi réorienter le trafic vers d’autres sites frauduleux.
De ce fait, il importe de tenir compte de la gravité de cette faiblesse. Nombreuses sont les implications négatives potentielles :
- La prise de contrôle complète du site WordPress ;
- La mise en route de logiciels malveillants ;
- La compromission des informations utilisateurs, etc.
Face à ces menaces, certains experts dans le domaine pourraient envisager une reconversion en portage salarial. Celle-ci semblerait être une option intéressante, leur permettant de mieux gérer leur profession, tout en limitant tout risque lié aux nouvelles cyberattaques.
Une mise à jour LiteSpeed Cache sous la version 6.4.1
Sans une action rapide pour contrer cette faille sérieuse, les sites risquent d’être massivement attaqués. Il est recommandé de mettre à jour le plugin avec la version 6.4.1, une mesure publiée par LiteSpeed. Pour corriger ce problème, les administrateurs de sites doivent l’installer le plus rapidement possible. Par ailleurs, des alternatives temporaires sont possibles pour ceux qui ne peuvent pas effectuer une mise à jour immédiate :
- Changer directement les fichiers du plugin ;
- Ajouter des politiques de sécurité supplémentaires au niveau du serveur, etc.
Il est également conseillé de passer à la vérification des comptes utilisateurs, en passant en revue la liste des administrateurs de site. Dans un contexte plus large, cette situation semble même amener certains professionnels à réfléchir à une reconversion en portage salarial. Ce mode de travail permettrait d’acquérir une flexibilité et une certaine autonomie dans la gestion des projets techniques.