WordPress : La faiblesse du plugin ACF laisse environ 2 millions de sites sur la sellette

Marie-Thérèse Yapi
6 min de lecture

Sécurité et mise à jour du plugin ACF pour WordPress : risques et solutions

En principe, les plugins facilitent la vie des développeurs web. Cependant lorsque le plugin héberge une menace, la marge de manœuvre est réduite et le danger est permanent. 

C'est actuellement le cas pour ACF, un plugin très populaire qui est mis à mal. Dans cet article, vous mesurerez l'étendue du danger, et apprendrez comment sécuriser votre site internet.   

Qu'est-ce que le plugin ACF ?

Le plugin ACF élargit votre champ de possibilités d'édition dans WordPress1. ACF est un acronyme pour Advanced Custom Fields. Il a plusieurs caractéristiques intéressantes. Vous pouvez :

  • Ajouter des champs aux écrans d'édition de WordPress grâce au générateur de champs ACF
  • Ajouter de l'édition librement partout sur la page WordPress
  • Créer librement vos fichiers de modèles
  • Créer et enregistrer des nouveaux types de publications et des taxonomies personnalisées

Le plugin ACF existe également en version professionnelle. ACF PRO donne un accès élargi aux fonctionnalités, avec une meilleure flexibilité. 

Pourquoi le plugin ACF est-il important ?

Le plugin ACF a été massivement adopté par les utilisateurs de WordPress. Par conséquent, il s'agit d'un environnement familier. Vous pouvez compter sur une communauté de plus de 30 millions d'utilisateurs pour des échanges d'astuces ou des idées de dépannage. 

Quels sont les avantages du plugin ACF ?

Le plugin ACF offre plusieurs avantages :

  • Intuitif et facile d'utilisation
  • Des fonctionnalités puissantes
  • De nombreux types de champs
  • Une documentation fournie

Cependant malgré sa popularité pour les administrateurs web et les référenceurs, il peut être vulnérable.

Où est logée la vulnérabilité dans le plugin ACF ?

Des chercheurs en sécurité affirment que le plugin ACF ou la version pro sont vulnérables aux attaques de scripts intersites (XSS). La vulnérabilité est de haute gravité. Autrement dit, un pirate peut s'en servir pour exécuter des commandes2 ou injecter des scripts malveillants, tels que :

  • Des publicités
  • Des redirections
  • Des contenus HTML variés, etc.

Il peut également entrevoir les versions hachées des mots de passe des internautes3. Pour utiliser cette vulnérabilité, le pirate doit utiliser un compte d'utilisateur et se connecter au site internet.

Quelles solutions ?

Les mises à niveau permettent de déployer les correctifs pour la résolution du problème. Déjà l'an dernier, le chercheur en sécurité Rafie Muhammad avait mis à jour une vulnérabilité XSS. La consigne était alors de mettre vos champs personnalisés avancés vers la version 6.1.64 ou ultérieures.

Aujourd'hui, les utilisateurs sont priés d'adopter la version 6.2.5, plus récente, dans les plus brefs délais. Vous pouvez à l'occasion, programmer la mise à jour automatique dans votre console d'administration WordPress. 

Une autre mise à jour, version 6.2.7, est normalement attendue courant ce mois-ci (février 2024)5. Vous bénéficierez de mesures de sécurité renforcées. 

Les questions fréquentes sur le sujet

Qu'est-ce qu'un plugin ? 

Un plugin est un module complémentaire dans WordPress. Il vous permet d'ajouter des champs ou fonctionnalités personnalisés. Très populaires, les plugins sont prisés par les développeurs web, au point qu'un site internet sur trois dans WordPress les utilise.  

Peut-on administrer un site web sans plugin ? 

Pour plusieurs raisons, certains développeurs gardent leurs réserves concernant l'utilisation des plugins. En effet, leur utilisation accroît parfois les risques sécuritaires, peut réduire la vitesse de chargement du site et occasionner des conflits de programmation. 
Pourtant, les plugins sont faits pour vous faire gagner du temps et améliorer vos performances. Faciles à installer, vous devez simplement les tester jusqu'à trouver le vôtre. 

Quelle est la particularité du plugin ACF ?

Le générateur de champs ACF permet aux utilisateurs d'ajouter facilement et rapidement des champs aux écrans d'édition WordPress en un seul clic. 

Quelles précautions faut-il prendre pendant la correction de la vulnérabilité dans ACF ?

Des modifications dans la mise à jour peuvent perturber certains sites internet. Il est donc recommandé de vérifier la compatibilité de votre site web avant l'utilisation. 

Exposition   

La vulnérabilité dans le plugin ACF expose à des risques. 

  • Le plugin ACF permet l'ajout, la création et l'enregistrement de fichiers, de nouveaux types de publications et des taxonomies personnalisées
  • Il est très populaire
  • Le plugin ACF est vulnérable aux attaques de scripts intersites (XSS)
  • Pour protéger votre site web, vous devez le mettre à jour

Pour John Mallery, “la sécurité est un processus.” Tenir compte des vulnérabilités et des mises à jour au fil du temps en fait également partie, certainement.  


Références :

  1. Advanced Custom Fields (ACF), WordPress. Consulté le 10 février 2024. ↩︎
  2. WordPress Advanced Custom Fields Plugin XSS Exposes +2M Sites to Attacks, Security Affairs. Publié le 06 mai 2023. Consulté le 10 février 2024. ↩︎
  3. Vulnerability found in ACF please for WordPress (2 million+ affected), Seguro. Publié le 06 avril 2022. Consulté le 10 février 2024. ↩︎
  4. WordPress plugin vulnerability puts two million websites at risk, Graham Cluley. Publié le 05 mai 2023. Consulté le 10 février 2024. ↩︎
  5. Weekly WordPress News and Updates: Patch Now! ACF WordPress Plugin Vulnerability Affects Millions of Sites, WPLift. Publié le 19 janvier 2024. Consulté le 10 février 2024. ↩︎
Partagez cet article