Rapport de vulnérabilité WordPress : août 2021, partie 3

Les plugins et thèmes vulnérables sont la principale raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.

Chaque vulnérabilité aura un indice de gravité faible , moyen , élevé ou critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress.

En tant que l'un des plus grands rapports de vulnérabilité WordPress à ce jour, veuillez partager cet article avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.

Vulnérabilités principales de WordPress

1. Nettoyer la connexion

Plugin : Nettoyer la connexion
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.12.6.4
Score de gravité : Moyen

2. TrancheWP

Plugin : SliceWP
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Patché dans la version : 1.0.46
Score de gravité : Élevé

3. Gestionnaire de téléchargement WordPress

Plugin : Gestionnaire de téléchargement WordPress
Vulnérabilité : Mise à jour des paramètres de modèle d'e-mail via CSRF
Patché dans la version : 3.2.13
Score de gravité : Moyen

4. Parlez! Pétitions par courriel

Plugin : SpeakOut ! Pétitions par courriel
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 2.13.3
Score de gravité : Élevé

5. Avis sur le site

Plugin : Avis sur le site
Vulnérabilité : XSS stocké authentifié
Patché dans la version : 5.13.1
Score de gravité : Faible

6. Tuteur LMS

Plugin : Tuteur LMS
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.9.6
Score de gravité : Élevé

7. Barre de notification WPfront

Plugin : barre de notification WPfront
Vulnérabilité : XSS stocké authentifié
Patché dans la version : 2.1.08087
Score de gravité : Faible

8. Générateur de formulaires

Plugin : Générateur de formulaires
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Patché dans la version : 1.9.8.5
Score de gravité : Élevé

Plugin : Générateur de formulaires
Vulnérabilité : Script intersites stocké authentifié
Patché dans la version : 1.9.8.4
Score de gravité : Faible

9. Sauvegarde WPvivid

Plugin : Sauvegarde WPvivid
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 0.9.56
Score de gravité : Élevé

10. Ajouter à n'importe quel

Plugin : AddToAny
Vulnérabilité : XSS stocké authentifié
Patché dans la version : 1.7.46
Score de gravité : Faible

11. Arrêtez la sécurité des spammeurs

Plugin : Arrêtez la sécurité des spammeurs
Vulnérabilité : XSS stocké authentifié
Patché dans la version : 2021.18
Score de gravité : Faible

12. Mots-clés et méta

Plugin : Mots - clés et méta
Vulnérabilité : CSRF to Stored Cross-Site Scripting (XSS)
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

13. Cadre Titan

Plugin : Titan Framework
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

Affecte les plugins :

• 4k-icon-fonts-for-visual-composer – Aucun correctif connu – plugin fermé
• adblock-notify-by-bweb - Aucun correctif connu
• affiliation-pro – Pas de correctif connu – plugin fermé
• amp-extensions - Pas de correctif connu
• aoi-tori - Aucune solution connue
• génial-support - Pas de correctif connu
• betteroptin – Aucun correctif connu – plugin fermé
• border-loading-bar – Aucun correctif connu
• catchers-helpdesk - Aucune solution connue
• categories-gallery - Aucune solution connue
• categories-gallery-woocommerce – Aucune solution connue
• cf7-customizer - Aucun correctif connu
• Clinicalwp-core - Aucune solution connue
• cool-facebook-page-feed-timeline – Aucun correctif connu – plugin fermé
• custom-scroll-bar-designer – Aucun correctif connu
• custom-text-selection-colors – Aucun correctif connu
• disable-image-right-click - Aucun correctif connu
• easy-gallery-slideshow – Aucune solution connue
• easy-google-map – Aucune solution connue
• easy-justified-gallery – Aucune solution connue
• email-my-posts – Pas de correctif connu
• exit-popup-show – Aucun correctif connu
• flight-search-widget-blocks – Aucun correctif connu
• icons-with-links-widget – Aucun correctif connu – plugin fermé
• icustomizer - Aucun correctif connu
• live-chat-facebook-fanpage – Aucune solution connue
• media-mirror - Pas de correctif connu
• mobile-menu - Aucune solution connue
• popup-modal-for-youtube – Aucune solution connue
• project-app - Pas de correctif connu
• Seatgeek-Affiliate-Tickets – Aucune solution connue
• seo-dashboard-by-gutewebsites-de – Aucun correctif connu
• share-woocommerce-email – Aucun correctif connu
• simple-behace-portfolio – Aucune solution connue
• stars-menu – Aucun correctif connu – plugin fermé
• station-pro - Pas de correctif connu
• sticky-related-posts – Pas de correctif connu – plugin fermé
• tcs3 - Pas de correctif connu
• template-events-calendar – Aucun correctif connu
• ventes totales pour woocommerce - Aucune solution connue
• tr-easy-google-analytics – Aucune solution connue – plugin fermé
• venture-event-manager - Pas de correctif connu
• w3s-cf7-zoho – Aucun correctif connu
• webhotelier – Aucune solution connue
• woo-availability-date – Aucun correctif connu
• woo-whatsapp-request-quote – Aucun correctif connu – plugin fermé
• woosaleskit-bar – Aucun correctif connu – plugin fermé
• Yandex-money-button – Aucune solution connue

14. WP Fusion Lite

Plugin : WP Fusion Lite
Vulnérabilité : CSRF à la suppression de données
Patché dans la version : 3.37.30
Score de gravité : Moyen

Plugin : WP Fusion Lite
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Patché dans la version : 3.37.30
Score de gravité : Élevé

Plugin : WP Fusion Lite
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Patché dans la version : 3.37.31
Score de gravité : Élevé

15. Bloquer et arrêter les mauvais robots

Plugin : Bloquer et arrêter les robots malveillants
Vulnérabilité : Injections SQL authentifiées
Patché en Version : 6.60
Score de gravité : Moyen

16. Calendrier de réservation simple WP

Plugin : Calendrier de réservation simple WP
Vulnérabilité : Injections SQL authentifiées
Patché dans la version : 2.0.6
Score de gravité : Moyen

17. Abonnements payants des membres

Plugin : abonnements payants pour les membres
Vulnérabilité : Injections SQL authentifiées
Patché dans la version : 2.4.2
Score de gravité : Moyen

18. Favicon par RealFaviconGenerator

Plugin : Favicon par RealFaviconGenerator
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Patché dans la version : 1.3.22
Score de gravité : Élevé

19. Alipay

Plugin : Alipay
Vulnérabilité : Injection SQL Authentifiée
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

20. Cashtomer

Plugin : Cashtomer
Vulnérabilité : Injection SQL Authentifiée
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

21. Adhésion WordPress SwiftCloud.io

Plugin : Adhésion WordPress SwiftCloud.io
Vulnérabilité : Injection SQL Authentifiée
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

22. Adhésion WordPress SwiftCloud.io

Plugin : Surligneur de commentaires
Vulnérabilité : Injection SQL Authentifiée
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

23. Gestionnaire de témoignages facile

Plugin : Gestionnaire de témoignages facile
Vulnérabilité : Injection SQL Authentifiée
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

24. Intégrer une vidéo Youtube

Plugin : Intégrer une vidéo Youtube
Vulnérabilité : Injection SQL Authentifiée
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

25. Quiz et Survey Master

Plugin : Quiz et Survey Master
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 7.1.14
Score de gravité : Élevé

26. Prendre rendez-vous en ligne

Plugin : Prise de rendez-vous en ligne
Vulnérabilité : Authenticated Stored Cross-Site Scripting (XSS)
Patché dans la version : 1.39
Score de gravité : Faible

27. Authentificateur Google de miniOrange

Plugin : Google Authenticator de miniOrange
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 5.4.40
Score de gravité : Élevé

28. Authentification à deux facteurs

Plugin : Authentification à deux facteurs
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.0.8
Score de gravité : Élevé

29. Temps de prière quotidien

Plugin : Heure de prière quotidienne
Vulnérabilité : XSS stocké authentifié
Patché dans la version : 2021.08.10
Score de gravité : Faible

30. Générateur de vue de poste personnalisé

Plugin : Générateur de vues de poste personnalisé
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

31. Lecteur vidéo FV Flowplayer

Plugin : lecteur vidéo FV Flowplayer
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 7.5.3.727
Score de gravité : Élevé

32. Galerie de photos

Plugin : Galerie d'images
Vulnérabilité : XSS stocké authentifié
Patché dans la version : aucun correctif connu
Score de gravité : Faible

33. Gestionnaire de licences logicielles

Plugin : Gestionnaire de licences logicielles
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 4.4.8 (Plugin fermé)
Score de gravité : Élevé

34. Par page Ajouter à la tête

Plugin : Ajout par page à l'en-tête
Vulnérabilité : XSS stocké authentifié
Patché dans la version : aucun correctif connu
Score de gravité : Faible

Plugin : Ajout par page à l'en-tête
Vulnérabilité : CSRF to Stored XSS
Patché dans la version : 1.4.4 (Plugin fermé)
Score de gravité : Élevé

35. Securimage-WP-Fixe

Plugin : Securimage-WP-Fixe
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

36. Exportation d'images

Plugin : Exportation d'images
Vulnérabilité : Directory Traversal
Patché dans la version : aucun correctif connu
Score de gravité : Critique

37. Curseur de texte de contenu sur la publication

Plugin : curseur de texte de contenu sur la publication
Vulnérabilité : Authenticated Stored Cross-Site Scripting (XSS)
Patché dans la version : 6.9
Score de gravité : Moyen

38. Générateur de formulaire de contact

Plugin : Générateur de formulaire de contact
Vulnérabilité : Multiple Cross-Site Request Forgery (CSRF)
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

39. Calendar_plugin

Plugin : Calendrier_plugin
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

40. Ajouter une barre latérale

Plugin : Ajouter une barre latérale
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

41. Balises WP SEO

Plugin : balises WP SEO
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

42. Moova pour WooCommerce

Plugin : Moova pour WooCommerce
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

43. Rotateur de slogan jQuery

Plugin : jQuery Tagline Rotator
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

44. Tableau de prix Plugmatter Lite

Plugin : Plugmatter Pricing Table Lite
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

45. Bulletin d'information contextuel simple

Plugin : bulletin d'information contextuelle simple
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

46. ​​TypoFR

Plugin : TypoFR
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

47. WP Songbook

Plugin : WP Songbook
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

48. Relations de type de publication personnalisées

Plugin : relations de type de publication personnalisées
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

49. Appels vidéo bidirectionnels et chat aléatoire

Plugin : appels vidéo bidirectionnels et chat aléatoire
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

50. Fontaine WP

Plugin : WP Fontaine
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

51. Utilisation des médias

Plugin : Utilisation des médias
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

52. Griffonner des cartes

Plugin : Gribouillage de cartes
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

53. Jeux multijoueurs

Plugin : Jeux multijoueurs
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

54. Skaut bazar

Plugin : Skaut bazar
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

55. Alertes e-mail intelligentes

Plugin : Alertes e-mail intelligentes
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

56. Portefeuille Behance simple

Plugin : Portefeuille Behance simple
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

Vulnérabilités du thème WordPress

Une note sur la divulgation responsable

Vous vous demandez peut-être pourquoi une vulnérabilité serait divulguée si elle donne aux pirates un exploit à attaquer. Eh bien, il est très courant qu'un chercheur en sécurité trouve et signale en privé la vulnérabilité au développeur du logiciel.

Avec la divulgation responsable , le rapport initial du chercheur est remis en privé aux développeurs de la société propriétaire du logiciel, mais avec un accord selon lequel tous les détails seront publiés une fois qu'un correctif sera disponible. Pour les vulnérabilités de sécurité importantes, il peut y avoir un léger retard dans la divulgation de la vulnérabilité pour donner à plus de personnes le temps de corriger.

Le chercheur en sécurité peut fournir une date limite au développeur du logiciel pour répondre au rapport ou pour fournir un correctif. Si ce délai n'est pas respecté, le chercheur peut divulguer publiquement la vulnérabilité pour faire pression sur le développeur pour qu'il publie un correctif.

Divulguer publiquement une vulnérabilité et introduire apparemment une vulnérabilité Zero-Day - un type de vulnérabilité qui n'a pas de correctif et qui est exploitée à l'état sauvage - peut sembler contre-productif. Mais c'est le seul levier dont dispose un chercheur pour faire pression sur le développeur pour qu'il corrige la vulnérabilité.

Si un pirate informatique découvrait la vulnérabilité, il pourrait utiliser discrètement l'exploit et causer des dommages à l'utilisateur final (c'est vous), tandis que le développeur du logiciel reste satisfait de laisser la vulnérabilité non corrigée. Le Project Zero de Google a des directives similaires en ce qui concerne la divulgation des vulnérabilités. Ils publient tous les détails de la vulnérabilité après 90 jours, que la vulnérabilité ait été corrigée ou non.

Comment protéger votre site WordPress contre les plugins et thèmes vulnérables

Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, donc le plugin iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plugin ou une version principale de WordPress avec une vulnérabilité connue.

1. Activez le scanner de site iThemes Security Pro

Le scanner de site du plugin iThemes Security Pro analyse la première raison pour laquelle les sites WordPress sont piratés : les plugins obsolètes et les thèmes avec des vulnérabilités connues. Le scanner de site recherche sur votre site les vulnérabilités connues et applique automatiquement un correctif s'il en existe un.

Pour activer l'analyse du site sur les nouvelles installations, accédez à l'onglet Vérification du site dans le menu Fonctionnalités à l'intérieur du plug-in et cliquez sur le bouton bascule pour activer l' analyse du site .

Pour déclencher une analyse de site manuelle, cliquez sur le bouton Analyser maintenant sur la carte du tableau de bord de sécurité de l'analyse de site.

Si l'analyse du site détecte une vulnérabilité, cliquez sur le lien de vulnérabilité pour afficher la page de détails.

Sur la page de vulnérabilité de l'analyse du site, vous verrez s'il existe un correctif disponible pour la vulnérabilité. Si un correctif est disponible, vous pouvez cliquer sur le bouton Mettre à jour le plug- in pour appliquer le correctif sur votre site Web.

2. Activez la gestion des versions

La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site lorsque les logiciels obsolètes ne sont pas mis à jour assez rapidement. Même les mesures de sécurité les plus strictes échoueront si vous exécutez un logiciel vulnérable sur votre site Web. Ces paramètres aident à protéger votre site avec des options pour mettre à jour automatiquement vers de nouvelles versions si une vulnérabilité connue existe et qu'un correctif est disponible.

À partir de la page Paramètres dans iThemes Security Pro, accédez à l'écran Fonctionnalités. Cliquez sur l'onglet Vérification du site. À partir de là, utilisez la bascule pour activer la gestion des versions. À l'aide de l'équipement de configuration, vous pouvez configurer encore plus de paramètres, notamment la manière dont vous souhaitez que iThemes Security Pro gère les mises à jour de WordPress, les plugins, les thèmes et une protection supplémentaire.

Assurez-vous de sélectionner la case Mise à jour automatique si elle corrige une vulnérabilité afin qu'iThemes Security Pro mette automatiquement à jour un plugin ou un thème s'il corrige une vulnérabilité trouvée par le scanner de site.

3. Recevez une alerte par e-mail lorsque iThemes Security Pro trouve une vulnérabilité connue sur votre site

Une fois que vous avez activé la planification de l'analyse du site, accédez aux paramètres du centre de notifications du plug-in. Sur cet écran, faites défiler jusqu'à la section Résultats de l'analyse du site .

Cochez la case pour activer l'e - mail de notification , puis cliquez sur le bouton Enregistrer les paramètres .

Désormais, lors de toute analyse de site planifiée, vous recevrez un e-mail si iThemes Security Pro découvre des vulnérabilités connues. L'e-mail ressemblera à quelque chose comme ceci.

Obtenez iThemes Security Pro et reposez-vous un peu plus facilement ce soir

iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application stricte des mots de passe et plus encore, vous pouvez ajouter une couche de sécurité supplémentaire à votre site Web.

Michael Moore

Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.