La raison principale pour laquelle les sites WordPress se font pirater a toujours été et restera toujours les extensions et thèmes vulnérables. Le rapport hebdomadaire produit par WPScan couvre les vulnérabilités d’extensions, de thèmes et de la plateforme WordPress elle-même, et quoi faire si vous avez un de ceux-ci installé sur votre site web.
Chaque vulnérabilité sont classée par degré de sévérité, soit basse, moyenne, haute ou critique. La mention et le signalement responsable des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. S’il-vous-plaît partager cette articles avec vos amis, collègues et associer pour aider à faire en sorte que WordPress reste une plateforme sécuritaire pour tous!
Vulnérabilités de WordPress
La version 6.0.3 de WordPress est un correctif publié le 17 octobre 2022. C’est un correctif qui corrige plusieurs failles de sécurité. Comme c’est un correctif de sécurité, nous vous conseillons de mettre à jour vos site le plus vite possible. Même si votre site se met à jour automatiquement, aller revérifier pour être certain que ce soit fait.
1. WP
Vulnérabilité: XSS stockés via wp-mail.php
Corrigé en version: 6.0.3
Sévérité: Moyenne
Démarche à suivre: Le problème a déjà été corrigé, vous devriez donc mettre à jour l’extension.
Vulnérabilités des extensions
Dans cette section, nous avons toutes les dernières vulnérabilités d’extension. Chaque mention d’extension inclus le type de vulnérabilité, le nombre d’installations actives, la version du correctif si corrigé, le degré de sévérité et la démarche à suivre.
1. Complianz - Free
Extension: Complianz – GDPR/CCPA Cookie Consent
Installations: 400 000+
Vulnérabilité: Traducteur SQLi
Corrigé en version: 6.3.4
Sévérité: Moyenne
2. Gutenberg
Extension: Gutenberg
Installations: 300 000+
Vulnérabilité: Multiple XSS stocké
Corrigé en version: 14.3.1
Sévérité: Basse
3. Fluent Form
Extension: Contact Form Plugin – Fastest Contact Form Builder Plugin for WordPress by Fluent Forms
Installations: 200 000+
Vulnérabilité: Injection de CSV
Corrigé en version: 4.3.13
Sévérité: Basse
4. WP All Import
Extension: Import any XML or CSV File to WordPress
Installations: 100 000+
Vulnérabilité: Accès au répertoire Admin+ via téléversement, téléversement arbitraire de Admin+ vers RCE
Corrigé en version: 3.6.9
Sévérité: Moyenne
5. Import and Export Users and Customers
Extension: Import and Export Users and Customers
Installations: 70 000+
Vulnérabilité: Injection de CSV par Abonné+
Corrigé en version: 1.20.5
Sévérité: Moyenne
6. Easy Digital Downloads
Extension: Easy Digital Downloads – Simple eCommerce for Selling Digital Files
Installations: 50 000+
Vulnérabilité: Effacement arbitraire d’articles via CSRF
Corrigé en version: 3.0
Sévérité: Moyenne
7. eCommerce Product Catalog Plugin for WordPress
Extension: eCommerce Product Catalog Plugin for WordPress
Installations: 10 000+
Vulnérabilité: XSS réflété, XSS réflété via AJAX
Corrigé en version: 3.0.72
Sévérité: Moyenne
8. WP Attachments
Extension: WP Attachments
Installations: 5 000+
Vulnérabilité: scripts intersite Admin+ stocké
Corrigé en version: 5.0.5
Sévérité: Basse
9. Chat Bubble
Extension: Chat Bubble – Floating Chat with Contact Chat Icons, Messages, Telegram, Email, SMS, Call me back
Installations: 1 000+
Vulnérabilité: scripts intersite d’authentification stocké
Corrigé en version: 2.3
Sévérité: Haute
10. Role Based Pricing for WooCommerce
Extension: Role Based Pricing for WooCommerce
Vulnérabilité: Téléversement arbitraire Subscriber+, désérialisation PHAR Subscriber+
Corrigé en version: 1.6.2
Sévérité: Haute
11. Product Stock Manager
Extension: Product Stock Manager
Vulnérabilité: Appels AJAX non autorisé par Subscriber+
Corrigé en version: 1.0.5
Sévérité: Haute
12. AliExpress Dropshipping and Fulfilment for WooCommerce
Extension: AliExpress Dropshipping and Fulfilment for WooCommerce
Vulnérabilité: Exposition de données sensibles non authentifiées
Corrigé en version: 1.1.1
Sévérité: Haute
13. Complianz – Premium
Extension: Complianz
Vulnérabilité: Traducteur SQLi
Corrigé en version: 6.3.6
Sévérité: Moyenne
14. WooCommerce Dropshipping
Extension: WooCommerce Dropshipping
Vulnérabilité: SQLi non authentifé
Corrigé en version: 4.4
Sévérité: Haute
Vulnérabilités d’extensions sans correction
1. AB Press Optimizer
Extension: AB Press Optimizer
Vulnérabilité: scripts intersite Admin+ stocké
Installations: 10+
Corrigé en version: Pas de correctif
Sévérité: Basse
2. Highlight Focus
Extension: Highlight Focus
Vulnérabilité: scripts intersite Admin+ stocké
Corrigé en version: Pas de correctif
Sévérité: Basse
3. WP Hide
Extension: Wp-Hide
Vulnérabilité: Mises à jour de réglages non authentifiées
Corrigé en version: Pas de correctif
Sévérité: Moyenne
4. WPB Show Core
Extension: WPB Show Core
Vulnérabilité: scripts intersite réflétés
Corrigé en version: Pas de correctif
Sévérité: Moyenne
Vulnérabilités de thèmes WordPress
Bonne nouvelle! Aucun thème n’est présentement vulnérable. Pour l’instant, le thème que vous utilisez, peu importe lequel c’est, est tout à fait sécuritaire.
Source: iThemes
Besoin d'aide pour garder votre site WordPress à jour ?
Josée Barrette
J’ai commencé à travailler dans le milieu du web en 2005 comme chargée de projet/coordonatrice. Par la suite, j’ai dirigé des équipes de productions et de chargés de projet. En 2014, j’ai décidé de mettre mes connaissances et mon expérience au service des petites entreprises et des travailleurs autonomes.