Faille de sécurité WordPress avec Wysija / Mailpoet 3

Comment empêcher son serveur dédié de devenir un relai pour les spammeurs ?

Encore une bonne question dites donc ! Mais il serait erroné de prétendre pouvoir y répondre dans ce billet tellement la gestion des mails sur un serveur est un vaste sujet (et complexe, de surcroît). Toutefois, dans un cas bien précis, vous allez pouvoir protéger un peu votre serveur.

Tout bon blogueur (ou plutôt marketeur, mais ça revient au même :p) qui se respecte possède un module de gestion de Newsletter sur son site/blog. Et les utilisateurs du CMS WordPress utilisent en grande majorité Mailpoet, anciennement Wysija, c’est votre cas ?

Cool, car ce que je vais vous dire pourrait vous servir, surtout si vous hébergez votre site sur votre propre serveur !

Mais c’est quoi cette faille de sécurité ?

Pour être honnête, c’est Online chez qui j’ai quelques serveurs qui m’a envoyé un petit message sympathique en début de mois pour me dire que l’IP principale d’un de mes dédiés était listée chez UCEPROTECT pour spam. Quelle bonne nouvelle, n’est-ce pas ?

Donc je fais un petit tour d’horizon sur tous les sites qui sont sur le serveur, je fais les éventuelles mises à jour qui ne seraient pas encore faites, mais je vois toujours dans les logs que ça merdouille sans d’où ça peut venir. Quelques tests et déductions logiques me permettent de déduire que ça vient forcément d’un script PHP, donc je mets en place un système de logs permettant de savoir quel script utilise la fonction mail() de PHP, rien de bien compliqué mais qui aide grandement dans la situation en cours !

A ma grande surprise, le script en question se trouve dans un WordPress, il s’agit de l’extension Wysija Newsletter récemment rebaptisée Mailpoet (poet, désolé mais j’étais obligé…).

OK, Wysija fout la merde, mais comment on corrige ?

En temps normal, on vous dit que mettre à jour corrige les différents problèmes et failles de sécurité, d’ailleurs les habitués des OS Windows trouvent ça normal tellement ils en font 🙂

Bon dans notre cas, ça ne change rien, on a le fichier /wp-content/plugins/wysija-newsletters/tools/templates/form/footer.php qui fout la pagaille sur le serveur et puis il a rien à faire là ce fichier d’abord !

Bref, notre traque a payé, on connaît le coupable, donc maintenant on va corriger, et tant qu’à faire, on va mettre en place une solution rapide et peu coûteuse, parce que bon, je vois déjà venir les développeur en herbe qui pensent qu’ils vont retourner le code crypté pour savoir exactement quelle partie déconne, toussa toussa. Bon ben qu’ils perdent leur temps avec ça, nous on a mieux en 4 étapes :

  1. Dans votre BackOffice WP vous allez sur la gestion de l’extension et vous exportez vos listes d’abonnés (ben oui, ce serait dommage de les perdre, surtout qu’elles ne sont pas corrompues par cette faille)
  2. Vous désactivez et supprimez l’extension, passez jeter un oeil en FTP ou SSH pour vous assurer qu’il n’en reste pas une miette
  3. Téléchargez la dernière version de Mailpoet directement sur le site d’extensions de WordPress, la mise à jour date du 15 Juillet normalement
  4. Envoyez les fichiers en FTP et réactivez l’extension, pensez à importer vos listes, ça peut servir

Voilà, en seulement quelques minutes on a corrigé la vilaine faille de sécurité.

Evidemment, si vous avez rencontré le même souci, un problème similaire, ou que vous avez une solution bien plus efficace, n’hésitez pas en parler juste en dessous, ça pourrait en aider (ou en faire râler) plus d’un.

Et bien sûr, si vous voulez dire merci, ben dites le 😉

A propos de Tony (29 Posts)

Développeur Web et consultant SEO, je vous invite à venir échanger et partager sur ce vaste sujet. Je vous propose également mes services en référencement naturel, afin d'améliorer la visibilité de votre site Internet.


3 thoughts on “Faille de sécurité WordPress avec Wysija / Mailpoet

  1. Reply Site de CP Juil 28,2014 14 h 38 min

    pas besoin d’exporter les contacts ils sont stockés en base même en supprimant l’extension et en la réinstallant ils seront toujours là
    merci pour le tuyau en tous cas j’en pouvais plus de ces spams

    • Reply Tony Juil 28,2014 14 h 42 min

      En effet, ce n’est pas une obligation, mais ça ne prend pas plus de 2 minutes et ça permet d’en avoir une sauvegarde sur l’ordi donc autant en profiter 😉

  2. Reply euralille Jan 10,2017 10 h 53 min

    Merci pour cet article très précis

Leave a Reply