Attention ! Plugin dangereux, permettant à n’importe qui de s’inscrire en tant qu’admin sur votre site web !
Comme des milliers de personnes, j’avais installé le plugin “WP User Avatar” pour une personnalisation rapide et facile des avatars des utilisateurs de l’un de mes blogs (puisqu’en 2021, par défaut, WordPress ne propose TOUJOURS RIEN de mieux que son “Gravatar”).
Récemment, “WP User Avatar” est devenu “ProfilPress” : un plugin dont les fonctionnalités pourraient intéresser certains utilisateurs, mais qui transforme assurément le plugin initial en usine à gaz, pour tous les bloggeurs qui souhaitaient simplement un système de personnalisation des avatars. J’avais prévu de remplacer bientôt ce plugin par un module plus rudimentaire.
Hier soir, je reçois un mail m’indiquant qu’un utilisateur s’est inscrit sur mon site. J’ai pensé à un simple abonné, bien qu’il me semblait avoir désactivé l’inscription d’utilisateurs dans les réglages généraux de mon site. En me connectant à mon backoffice, je découvre que l’inscription sur mon site est bien désactivée, mais qu’un nouveau compte apparaît tout de même dans la liste des utilisateurs. Et attention : il ne s’agit pas d’un simple abonné, mais d’un administrateur !! ProfilPress (dont j’avais la version 3.1.2) a permis la création d’un compte admin sur mon site. Cette faille de sécurité est extrêmement grave !
Je vous conseille de supprimer ProfilPress dès que possible puis par précaution, de lancer un scan avec un plugin de sécurité pour vérifier l’absence de malware ou autre vulnérabilité sur votre site web.