Rapport de vulnérabilité WordPress : décembre 2021, partie 2
Publié: 2021-12-15Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress.
Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.
Actualités WordPress : Fuite de données Gravatar
Cette semaine, Gravatar, un service mondial pour les avatars uniques, a été violé – bien que Gravatar assure qu'il n'y a pas eu de piratage.
Les données ont été supprimées, ce qui n'est pas une violation car les mots de passe et autres informations privées n'ont pas été pris. Au lieu de cela, les informations accessibles au public ont été recueillies d'une manière qui n'est normalement pas facile à obtenir. Théoriquement, quelqu'un devrait connaître le nom d'utilisateur de l'utilisateur Gravatar afin d'accéder à l'adresse e-mail de cet utilisateur. Le scraping a permis à l'attaquant de télécharger les noms d'utilisateur et les e-mails en même temps.
Vulnérabilités du cœur de WordPress
La dernière version du noyau WordPress est la 5.8.2. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !
Vulnérabilités des plugins WordPress
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.
1. Gestionnaire d'événements
Plugin : Gestionnaire d'événements
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 5.9.8
Niveau de gravité : Moyen
Plugin : Gestionnaire d'événements
Vulnérabilité : Cross-Site Scripting (XSS)
Patché dans la version : 5.9.8
Niveau de gravité : Faible
2. Avis riches par Starfish
Plugin : avis enrichis par Starfish
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 1.9.6
Niveau de gravité : Moyen
3. Typebot
Plugin : Typebot
Vulnérabilité : Admin+ Stored Cross Site Scripting
Patché dans la version : 1.4.3
Niveau de gravité : Faible
4. Formulaire de contact et formulaire de contact Elementor Builder
Plugin : Formulaire de contact et formulaire de contact Elementor Builder
Vulnérabilité : Script intersite stocké non authentifié
Patché dans la version : 1.6.4
Niveau de gravité : Élevé
5. Gestionnaire de téléchargement
Plugin : gestionnaire de téléchargement
Vulnérabilité : Subscriber+ Stored Cross-Site Scripting
Patché dans la version : 3.2.22
Niveau de gravité : Élevé
6. Agrégateur RSS WP
Plugin : Script intersite stocké pour l'abonné +
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 4.19.3
Niveau de gravité : Élevé
7. Buttonizer - Bouton d'action flottant intelligent
Plugin : Buttonizer - Bouton d'action flottant intelligent
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 2.5.5
Niveau de gravité : Faible
8. Journalisation des messages WP
Plugin : WP Mail Logging
Vulnérabilité : Framework Redux obsolète
Patché dans la version : 1.10.0
Niveau de gravité : Moyen
9. Stétique
Plugin : Stetic
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
10. Formulaire de contact avec Captcha
Plugin : Formulaire de contact avec Captcha
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
11. Assistance géniale
Plugin : Assistance géniale
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 6.0.7
Niveau de gravité : Élevé
12. Forums d'Asgaros
Plugin : Forums Asgaros
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.15.14
Niveau de gravité : Faible
13. Cache LiteSpeed
Plug-in : Cache LiteSpeed
Vulnérabilité : IP Check Bypass to Unauthenticated Stored XSS
Patché dans la version : 4.4.4
Niveau de gravité : Élevé
Plug-in : Cache LiteSpeed
Vulnérabilité : Admin+ Reflected Cross-Site Scripting
Patché dans la version : 4.4.4
Niveau de gravité : Élevé
14. Visioconférence avec Zoom
Plugin : Visioconférence avec Zoom
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.8.16
Niveau de gravité : Élevé
15. Booster pour Woocommerce
Plugin : Booster pour Woocommerce
Vulnérabilité : Reflected Cross-Site Scripting in PDF Invoicing Module
Patché dans la version : 5.4.9
Niveau de gravité : Élevé
Plugin : Booster pour Woocommerce
Vulnérabilité : Reflected Cross-Site Scripting dans le module général
Patché dans la version : 5.4.9
Niveau de gravité : Élevé
Plugin : Booster pour Woocommerce
Vulnérabilité : Reflected Cross-Site Scripting in Product XML Feeds Module
Patché dans la version : 5.4.9
Niveau de gravité : Élevé
16. Pack booster de vitesse
Plugin : Pack d'accélération de la vitesse
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 4.3.3.1
Niveau de gravité : Moyen
17. OMGF
Plugin : OMGF
Vulnérabilité : Admin+ Arbitrary Folder Deletion via Path Traversal
Patché dans la version : 4.5.12
Niveau de gravité : Moyen
18. CAOS
Plug-in : CAOS
Vulnérabilité : Admin+ Arbitrary Folder Deletion via Path Traversal
Patché dans la version : 4.1.9
Niveau de gravité : Moyen
19. Moteur de voyage WP
Plugin : Moteur de voyage WP
Vulnérabilité : Editor+ Stored Cross-Site Scripting
Patché dans la version : 5.3.1
Niveau de gravité : Faible
20. Télécharger le moniteur
Plugin : Télécharger le moniteur
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 4.4.5
Niveau de gravité : Moyen
21. Calculatrice hypothécaire / Calculatrice de prêt
Plugin : Calculateur d'hypothèque / Calculateur de prêt
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Patché dans la version : 1.5.17
Niveau de gravité : Moyen
22. Échantillons de variation pour WooCommerce
Plugin : Échantillons de variation pour WooCommerce
Vulnérabilité : Subscriber+ Stored Cross-Site Scripting
Patché dans la version : 2.1.2
Niveau de gravité : Élevé
23. Annonces d'affiliation ClickBank
Plugin : Annonces d'affiliation ClickBank
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
Plugin : Annonces d'affiliation ClickBank
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Faible
24. Champs personnalisés avancés
Plugin : champs personnalisés avancés
Vulnérabilité : Subscriber+ Arbitrary ACF Data/Field Groups View and Fields Move
Patché dans la version : 5.11
Niveau de gravité : Moyen
25. Chant
Plugin : Canto
Vulnérabilité : Unauthenticated Blind SSRF
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen
26. Galerie tout-en-un
Plugin : Galerie tout-en-un
Vulnérabilité : Admin+ Local File Inclusion
Patché dans la version : 2.5.0
Niveau de gravité : Faible
Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables
Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.
1. Installez le plug-in iThemes Security Pro
Le plugin iThemes Security Pro renforce votre site WordPress contre les moyens les plus courants de piratage des sites Web. Avec plus de 30 façons de sécuriser votre site dans un plugin facile à utiliser.
2. Activer l'analyse du site pour rechercher les vulnérabilités connues
La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.
3. Activer la détection de changement de fichier
La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.
Obtenez iThemes Security Pro avec surveillance de la sécurité des sites Web 24h/24 et 7j/7
iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.
