La fin de la semaine dernière s'est avérée assez critique pour WordPress et les millions d'utilisateurs qui comptent sur la plateforme pour gérer et publier leur contenu Web. Une faille de sécurité dangereuse a été découverte. Plus précisément, la vulnérabilité a affecté un plugin WordPress appelé UpdraftPlus , utile pour sauvegarder et restaurer des sites Web. Ce plugin permettait en effet aux utilisateurs sans privilèges administratifs de télécharger l'intégralité de la base de données associée au site web, accédant ainsi à la quantité de données personnelles collectées par le site en question.

Le bogue permettait également une modification relativement simple mais non autorisée des privilèges administratifs d'utilisateurs spécifiques. Des attaquants hypothétiques auraient pu exploiter la vulnérabilité pour s'introduire dans le site et télécharger la base de données associée. La vulnérabilité de sécurité du plugin UpdraftPlus a été découverte par Marc Montpas , chercheur en cybersécurité chez Jetpack , et a été signalée jeudi dernier. WordPress a demandé un correctif obligatoire pour tous les sites : au soir de lundi dernier, il y avait 1,7 million de sites sur lesquels il était installé, qui ont atteint 3 millions le lendemain.