Alerte sécurité, qTranslate doit être supprimé des sites WordPress

L’extension permettant la gestion multilingue dans WordPress qTranslate a fait au début du mois de juillet l’objet d’une découverte d’une faille (XSS) dans son code. Cette découverte s’est déroulée selon la procédure de « divulgation responsable », c’est à dire, d’une information préalable de l’auteur. Pour ceux qui ne connaîtrait pas, les découvreurs de la faille préviennent d’abord l’auteur de la faille lui laissant un temps raisonnable (1 mois dans ce cas) pour la corriger avant de rendre la faille publique.

Le problème, c’est que cette extension n’était plus maintenue depuis plusieurs années par son auteur qui logiquement n’a pas répondu aux sollicitations. À l’expiration du délai, le 29 juillet dernier, la vulnérabilité a été rendue publique et est donc maintenant publique et risque désormais de faire l’objet d’une exploitation à très large échelle par un peu n’importe qui.

Dans ces circonstances, il est indispensable, de supprimer cette extension des sites sur laquelle elle fonctionne toujours et de la remplacer par une autre. Attention, la désactiver n’est pas suffisant ! En effet, si l’application n’est plus utilisable dans WordPress, le script étant toujours présent sur le serveur, il reste toujours potentiellement accessible en direct et peut conserver toute sa potentialité de nuisance. C’est vrai que sur ce type d’application permettant de gérer un très grand nombre de données, son remplacement est laborieux voir complexe, mais c’est indispensable pour maintenir la sécurité du site et doit être fait dans les plus brefs délais.

Cette extension a été retirée du dépôt officiel des extensions WordPress.

Merci de relayer cette information largement pour la sécurité de tous.