La raison principale pour laquelle les sites WordPress se font pirater a toujours été et restera toujours les extensions et thèmes vulnérables. Le rapport hebdomadaire produit par WPScan couvre les vulnérabilités d’extensions, de thèmes et de la plateforme WordPress elle-même, et quoi faire si vous avez un de ceux-ci installé sur votre site web.
Chaque vulnérabilité sont classée par degré de sévérité, soit basse, moyenne, haute ou critique. La mention et le signalement responsable des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. S’il-vous-plaît partager cette articles avec vos amis, collègues et associer pour aider à faire en sorte que WordPress reste une plateforme sécuritaire pour tous!
Vulnérabilités de WordPress
Le mardi 1er novembre, la mise à jour 6.1 de Wordpress est sortie et celle-ci présente beaucoup d’amélioration à Wordpress. Cette version ne présente aucune vulnérabilité. Vous pouvez donc l’installer sans problème!
Par contre, Wordpress n’offrira plus de support pour les version 3.7 à 4.0. Pour toute personne qui utilise encore ces version de Wordpress, assurez-vous d’avoir une version plus récente d’installée à partir du 1er décembre. Bien sûr, nous vous conseillons d’utiliser la version la plus récente possible de Wordpress pour des raisons de sécurité.
Vulnérabilités des extensions
Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
1. Checkout Field Editor for WooCommerce
Extension: Checkout Field Editor (Checkout Manager) for WooCommerce
Installations: 400 000+
Vulnérabilité: Injection d’objet PHP par l’Admin+
Corrigé en version: 1.8.0
Sévérité: Moyenne
2. Blog2Social
Extension: Blog2Social: Social Media Auto Post & Scheduler
Installations: 70 000+
Vulnérabilité: Changement de préférences par Subscriber+
Corrigé en version: 6.9.12
Sévérité: Moyenne
3. WP Admin UI Customize
Extension: WP Admin UI Customize
Installations: 40 000+
Vulnérabilité: XSS stockés dans l’Amin+
Corrigé en version: 1.5.13
Sévérité: Basse
4. Donations via PayPal
Extension: Donations via PayPal
Installations: 40 000+
Vulnérabilité: XSS stockés dans l’Amin+
Corrigé en version: 1.9.9
Sévérité: Basse
5. Beautiful Cookie Consent Banner
Extension: Beautiful Cookie Consent Banner
Installations: 40 000+
Vulnérabilité: XSS stockés dans l’Amin+
Corrigé en version: 2.9.1
Sévérité: Basse
6. Form Vibes
Extension: Form Vibes – Database Manager for Forms
Installations: 20 000+
Vulnérabilité: SQLi Admin+
Corrigé en version: 1.4.6
Sévérité: Moyenne
7. Theme-Demo-Importer
Extension: Theme Demo Import
Installations: 10 000+
Vulnérabilité: Téléversement arbitraire de fichiers par Admin+
Corrigé en version: 1.1.1
Sévérité: Moyenne
8. Awesome Support
Extension: Awesome Support – WordPress HelpDesk & Support Plugin
Installations: 10 000+
Vulnérabilité: Téléchargement arbitraire de billets exportés Subscriber+
Corrigé en version: 6.1.2
Sévérité: Moyenne
9. Salon Booking System
Extension: Salon Booking System
Installations: 8 000+
Vulnérabilité: Scripts intersite reflétés
Corrigé en version: 7.9.4
Sévérité: Moyenne
10. HTML Forms
Extension: HTML Forms
Installations: 7 000+
Vulnérabilité: SQLi Admin+
Corrigé en version: 1.3.25
Sévérité: Moyenne
11. WP OAuth Server
Extension: WP OAuth Server (OAuth Authentication)
Installations: 4 000+
Vulnérabilité: XSS stocké dans l’Admin+
Corrigé en version: 4.2.2
Sévérité: Basse
12. Export customers list csv for WooCommerce
Extension: Export customers list CSV for WooCommerce, WordPress users CSV, export Guest customer list
Installations: 3 000+
Vulnérabilité: Injection de CSV
Corrigé en version: 2.0.69
Sévérité: Basse
13. WPSmartContracts
Extension: WPSmartContracts
Installations: 1 000+
Vulnérabilité: SQLi Author+
Corrigé en version: 1.3.12
Sévérité: Moyenne
14. OWM Weather
Extension: OWM Weather
Installations: 1 000+
Vulnérabilité: SQLI Contributor+
Corrigé en version: 5.6.9
Sévérité: Haute
15. VR Calendar
Extension: VR Calendar
Installations: 1 000+
Vulnérabilité: Suppression / mise à jour du calendrier et des préférences via CSRF
Corrigé en version: 2.3.4
Sévérité: Moyenne
16. Salat Times
Extension: Salat Times
Installations: 900+
Vulnérabilité: Scripts intersites stockés Admin+
Corrigé en version: 3.2.2
Sévérité: Basse
17. WP User Merger
Extension: WP User Merger
Installations: 200+
Vulnérabilité: SQLi Admin+ via user_id, wpsu_user_id et ID
Corrigé en version: 1.5.3
Sévérité: Moyenne
18. Jeeng Push Notifications
Extension: Jeeng Push Notifications
Installations: 10+
Vulnérabilité: Scripts intersite stocké Admin+
Corrigé en version: 2.0.4
Sévérité: Basse
19. Find and Replace All
Extension: Find and Replace All by Taraprasad Swain
Vulnérabilité: Scripts intersite reflétés
Corrigé en version: 1.3
Sévérité: Moyenne
20. 4ECPS Web Forms
Extension: 4ECPS Web Forms
Vulnérabilité: XSS stockés Admin+
Corrigé en version: 0.2.18
Sévérité: Basse
Vulnérabilités d’extensions sans correction
1. WPGForm
Extension: wpgform by Mike Walsh
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
2. Image Hover Effects Css3
Extension: Image Hover Effects Css3 by Nasir
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
3. Analytics for WP
Extension: Analytics for WP by Aman Verma
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
4. Find and Replace All
Extension: Find and Replace All by Taraprasad Swain
Vulnérabilité: Remplacements arbitraire via CSRF
Corrigé en version: Pas de correctif
Sévérité: Haute
5. AM-HiLi Affiliate Manager for Publishers
Extension: AM-HiLi Affiliate Manager for Publishers by Ayoub Media
Vulnérabilité: XSS stockés Admin+
Corrigé en version: Pas de correctif
Sévérité: Basse
6. Testimonial Slider
Extension: Testimonial Slider by DavidAnderson
Vulnérabilité: XSS stockés via CSRF
Corrigé en version: Pas de correctif
Sévérité: Moyenne
7. Showing URL in QR Code
Extension: Showing URL in QR Code by abkorim
Vulnérabilité: XSS stockés via CSRF
Corrigé en version: Pas de correctif
Sévérité: Moyenne
8. Long Form reCAPTCHA
Extension: Long Form reCAPTCHA by Ash Matadeen
Vulnérabilité: XSS stockés via Admin +
Corrigé en version: Pas de correctif
Sévérité: Basse
8. 3DPrint
Extension: 3DPrint
Vulnérabilité: Suppression arbitraire de fichier et d’annuaire via CSRF
Corrigé en version: Pas de correctif
Sévérité: Haute
8. Fancier Author Box by ThematoSoup
Extension: Fancier Author Box by ThematoSoup
Vulnérabilité: XSS stockés via Admin +
Corrigé en version: Pas de correctif
Sévérité: Basse
8. Video Thumbnails
Extension: Video Thumbnails by Sutherland Boswell
Vulnérabilité: XSS stockés via Admin +
Corrigé en version: Pas de correctif
Sévérité: Basse
8. Font Awesome 4 Menus
Extension: Font Awesome 4 Menus by New Nine Media
Vulnérabilité: XSS stockés via Admin +
Corrigé en version: Pas de correctif
Sévérité: Basse
8. AgentEasy Properties
Extension: AgentEasy Properties
Vulnérabilité: XSS stockés via Admin +
Corrigé en version: Pas de correctif
Sévérité: Basse
Vulnérabilités de thèmes WordPress
Bonne nouvelle, tous les thèmes sont sécuritaire! vous pouvez utiliser peu importe le thème que vous utilisez présentement en toute sécurité.
Besoin d'aide pour garder votre site WordPress à jour ?
Josée Barrette
J’ai commencé à travailler dans le milieu du web en 2005 comme chargée de projet/coordonatrice. Par la suite, j’ai dirigé des équipes de productions et de chargés de projet. En 2014, j’ai décidé de mettre mes connaissances et mon expérience au service des petites entreprises et des travailleurs autonomes.