MailPoet, un plugin WordPress vulnérable

Posté par | content

 

Le plug-in MailPoet (anciennement Wysija) permet la création et l’envoi de newsletters via une liste de diffusion depuis le CMS WordPress. Il est devenu l’origine d’une faille de sécurité, rendant vulnérables les sites web qui l’utilisent.

 

En effet, un hacker a exploité une faille en installant une backdoor (porte dérobée), permettant de créer un compte administrateur, lui donnant ainsi le contrôle complet du site. Le code malveillant injecté écrase les fichiers valides, difficilement récupérables sans une bonne sauvegarde. Il permet de télécharger des fichiers PHP du blog, utilise le site pour faire du phishing, envoie des messages en spam, et infecte par la même occasion d’autres sites hébergés sur le serveur mutualisé.

 

Un code malicieux réécrit vos fichiers, provoque une erreur fatale et affiche le message suivant :

 

Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php la ligne 91.

 

Néanmoins, les développeurs de l’extension ont depuis comblé la faille. Certains sites utilisant une version périmée du plugin, même désactivé, reste vulnérable.

 

Cette alerte intervient moins d’une semaine après qu’une faille ait été aussi découverte dans le plugin TimThumb, depuis corrigée.

 

Platine vous conseille de supprimer cette extension et de choisir son service e-Mailing pour gérer vos campagnes de newsletters, et piloter vous-même votre communication par voie électronique en toute simplicité et sécurité.

 

Notre solution e-Mailing est un logiciel conçu pour vous permettre de créer et lancer vos campagnes de newsletters (envoi de courriels en masse), toujours disponible, depuis n’importe quel ordinateur relié à Internet. Le logiciel dispose de fonctions de suivi des statistiques via un menu dédié. Il est ainsi possible de suivre le moment de la lecture, le nombre de clics, le taux de réussite et d’échec de l’envoi, les visualisations via la version en ligne (générée automatiquement), et bien entendu tout cela pour chaque destinataire de la campagne !

 

Quelques raisons de ne pas utiliser un plugin wordpress :

 

1/ Fiabilité

Quand vous envoyez des emails en utilisant un plugin WordPress, vos mails ont plus de chances d’arriver dans les messages indésirables (spam) de vos prospects que dans leur boîte de réception.

 

En effet, certains services de messagerie disposent d’un outil de lutte contre les spams, qui identifiera votre mail (adresse émétrice) comme indésirable pour plusieurs raisons :

 

  1. Le serveur qui recevra votre email cherchera à déterminer si le serveur qui envoi l’email est autorisé à le faire.
  2. Il analysera les phrases dans votre mail.
  3. L’outil anti-spam vérifiera également sa base de données et l’adresse ip des visiteurs. Dans un hébergement mutualisé WordPress, votre blog partage la même adresse que d’autre site web.

 

Si un autre site web ayant la même adresse ip que votre blog a été signalé comme spam, votre site sera également considéré comme potentiellement à risque, et tous vos mails envoyés iront directement dans le répertoire des spams.

 

2/Limite et délais d’envoi

Votre plugin ou script de newsletter a la possibilité de créer une file d’attente des mails destinés à être envoyé. Si la liste utilisée est longue, certains hébergeurs peuvent la considérer comme un abus, car la bande passante allouée reste parfois limitée en fonction de votre hébergement.

 

Opter pour le service professionnel d’e-Mail marketing Platine, c’est éviter des restrictions en fonction de l’abonnement choisi. Ses serveurs sont conçus pour envoyer des centaines de milliers d’emails par jour. Platine dispose ainsi de plan flexible et adaptatif qui lui permet d’ajuster son service d’envoi à l’exigence de votre liste de courriel. Vous disposez aussi d’outil de diagnostic et d’analyse performants, en consultant l’évolution de vos campagnes.

 

© Coloures-pic – Fotolia.com

© Platine 30/07/2014