La raison principale pour laquelle les sites WordPress se font pirater a toujours été et restera toujours les extensions et thèmes vulnérables. Le rapport hebdomadaire produit par WPScan couvre les vulnérabilités d’extensions, de thèmes et de la plateforme WordPress elle-même, et quoi faire si vous avez un de ceux-ci installé sur votre site web.
Chaque vulnérabilité sont classée par degré de sévérité, soit basse, moyenne, haute ou critique. La mention et le signalement responsable des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. S’il-vous-plaît partager cette articles avec vos amis, collègues et associer pour aider à faire en sorte que WordPress reste une plateforme sécuritaire pour tous!
Vulnérabilités de WordPress
Le mardi 1er novembre, la mise à jour 6.1 de Wordpress est sortie et celle-ci présente beaucoup d’amélioration à Wordpress. Cette version ne présente aucune vulnérabilité. Vous pouvez donc l’installer sans problème!
Vulnérabilités des extensions
Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
1. Popup Maker
Extension: Popup Maker – Popup for opt-ins, lead gen, & more
Installations: 700 000+
Vulnérabilité: Script intersite stocké dans l’Admin+
Corrigé en version: 1.16.11
Sévérité: Basse
2. Contact Form 7 Database Addon
Extension: Contact Form 7 Database Addon – CFDB7
Installations: 500 000+
Vulnérabilité: Injection de CSV
Corrigé en version: 1.2.6.5
Sévérité: Basse
3. Ultimate Member
Extension: Ultimate Member – User Profile, User Registration, Login & Membership Plugin
Installations: 200 000+
Vulnérabilité: LFI Contributor+ via Traversal, RCE Admin+, LFI Admin+ via Traversal
Corrigé en version: 2.5.1
Sévérité: Moyenne
4. Web Stories
Extension: Web Stories
Installations: 90 000+
Vulnérabilité: Falsification de requête côté serveur de Subscriber+
Corrigé en version: 1.25.0
Sévérité: Moyenne
5. WP-Polls
Extension: WP-Polls
Installations: 80 000+
Vulnérabilité: Contournement de validation IP
Corrigé en version: 2.76.0
Sévérité: Moyenne
6. Booster for WooCommerce Free
Extension: Booster for WooCommerce Free
Installations: 70 000+
Vulnérabilité: Effacement de fichiers de caisse via CSRF, Téléchargements de fichiers arbitraire de ShopManager+
Corrigé en version: 5.6.7
Sévérité: Basse
7. Spacer
Extension: Spacer
Installations: 40 000+
Vulnérabilité: XSS Admin+ stockés
Corrigé en version: 3.0.7
Sévérité: Basse
8. WP User Frontend
Extension: WP User Frontend – Membership, Profile, Registration & Post Submission Plugin for WordPress
Installations: 30 000+
Vulnérabilité: Inscription obscure en tant qu’Admin
Corrigé en version: 3.5.29
Sévérité: Moyenne
9. Restaurant Menu
Extension: Restaurant Menu – Food Ordering System – Table Reservation
Installations: 10 000+
Vulnérabilité: Appels AJAX non-authorisés, CSRF multiple
Corrigé en version: 2.3.2
Sévérité: Moyenne
10. ProfileGrid
Extension: ProfileGrid – User Profiles, Memberships, Groups and Communities
Installations: 8 000+
Vulnérabilité:Lecture et révision de message privé de Subscriber+
Corrigé en version: 5.0.4
Sévérité: Moyenne
11. Testimonials
Extension: Testimonials
Installations: 5 000+
Vulnérabilité: Script intersite stocké dans l’Admin+
Corrigé en version: 2.7
Sévérité: Basse
12. Event Monster
Extension: Event Monster – Event Management, Tickets Booking, Upcoming Event
Installations: 1 000+
Vulnérabilité: SQLi Admin+, suppression de visiteurs via CSRF
Corrigé en version: 1.2.1
Sévérité: Moyenne
13. My wpdb
Extension: My wpdb
Installations: 10+
Vulnérabilité: Requêtes SQL arbitraire via CSRF
Corrigé en version: 2.5
Sévérité: Moyenne
14. Booster for WooCommerce Premium
Extension: Booster for WooCommerce Premium
Vulnérabilité: Suppression de fichiers de caisse via CSRF, télchargement arbitraire de fichiers par ShopManager+
Corrigé en version: 5.6.5
Sévérité: Basse
15. DeepL Pro API Translation
Extension: DeepL Pro API Translation Plugin
Vulnérabilité: Divulgation de clef API
Corrigé en version: 1.7.5
Sévérité: Moyenne
16. WPQA
Extension: WPQA Builder
Vulnérabilité: Suivre/Ne plus suivre via CSRF
Corrigé en version: 5.9
Sévérité: Moyenne
Vulnérabilités d’extensions sans correction
1. Grid Kit Premium
Extension: Grid Kit Premium
Vulnérabilité: scripts intersite réflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne
2. Evaluate
Extension: Evaluate
Vulnérabilité: scripts intersite Admin+ stocké
Corrigé en version: Pas de correctif
Sévérité: Basse
3. Login Block IPs
Extension: Login Block IPs
Vulnérabilité: Contournement d’usurpation d’adresse IP
Corrigé en version: Pas de correctif
Sévérité: Basse
4. WP Best Quiz
Extension: WP Best Quiz
Vulnérabilité: XSS stockés par Author+
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Vulnérabilités de thèmes WordPress
Dans cette section se trouve tous les thèmes avec des vulnérabilités, qu’elle soient corrigées ou non.
1. Ask Me
Extension: Ask Me
Vulnérabilité: Suppression de publications via CSRF
Corrigé en version: 6.8.7
Sévérité: Moyenne
Besoin d'aide pour garder votre site WordPress à jour ?
Josée Barrette
J’ai commencé à travailler dans le milieu du web en 2005 comme chargée de projet/coordonatrice. Par la suite, j’ai dirigé des équipes de productions et de chargés de projet. En 2014, j’ai décidé de mettre mes connaissances et mon expérience au service des petites entreprises et des travailleurs autonomes.