La faille en question est une vulnérabilité de script intersite non authentifiée. Les hackers exploitent cette faille pour injecter du code JavaScript malveillant dans les fichiers ou la base de données du site. Ce code crée des administrateurs nommés typiquement "wpsupp-user" ou "wp-configuser". Si l’option "litespeed.admin_display.messages" contient la chaîne "eval(atob(Strings.fromCharCode", cela signifie que la base de données est également compromise.

La faille ne concerne que les versions du plugin LiteSpeed Cache antérieures à la 5.7.0.1. Toutefois, WPScan indique qu’environ 1 835 000 sites utilisent encore ces versions vulnérables.

Quel sont les risques ?

La création de comptes administrateurs permet aux hackers de prendre le contrôle total du site. Ils peuvent alors :

• Distribuer des malwares.
• Rediriger les visiteurs vers des sites frauduleux.
• Dissimuler des malwares dans les bases de données ou via du code.
• Voler des données sensibles, telles que des adresses mail ou des identifiants.
• Lancer des campagnes de phishing.

Que faire pour se protéger ?

Pour protéger leur site, les administrateurs doivent :

1. Mettre à jour le plugin LiteSpeed Cache à la version 5.7.0.1 ou ultérieure.
2. Effectuer un nettoyage complet des sites touchés :
   • Restaurer la base de données et les fichiers.
   • Supprimer les comptes administrateurs créés frauduleusement.
   • Réinitialiser tous les identifiants des comptes.
   • Surveiller les nouveaux comptes administrateurs suspects.

D'une manière plus général, pensez bien a mettre très régulièrement à jour votre Wordpress sans oublier les plugins. Je vous reocmmande aussi l'utilisation du module Wordfence qui est vraiment efficace pour se protéger.

Si jamais vous galérez, n'hésitez pas à me demander, je vous filerai un coup de main 😊