Rapport de vulnérabilité WordPress : décembre 2021, partie 3
Publié: 2021-12-16Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. Nouveau dans ce rapport : les vulnérabilités sont désormais classées par nombre d'installations actives, plutôt que par date de divulgation.
Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.
Nouvelles WordPress
Alors que la période de l'année pour les achats en ligne bat son plein, les cybercriminels sont occupés à tenter de « pirater la planète ». Wordfence a récemment signalé une vague massive d'attaques qui ont ciblé 1,6 million de sites WordPress en seulement 36 heures !
Enfin, BleepingComputer a récemment signalé que des pirates avaient installé du code de skimmer dans des plugins aléatoires. Pour renforcer la sécurité des sites de commerce électronique, nous recommandons d'exiger une authentification à deux facteurs pour tous les utilisateurs administrateurs, d'activer des appareils de confiance, de détecter les modifications de fichiers et de lire et d'examiner régulièrement les journaux de sécurité de WordPress.
Vulnérabilités du cœur de WordPress
La dernière version du noyau WordPress est la 5.8.2. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !
Vulnérabilités des plugins WordPress
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.
1. Élémentaire
Plugin : Elementor
Vulnérabilité : DOM Cross-Site-Scripting
Installation active : 5+ millions
Patché dans la version : 3.4.8
Niveau de gravité : Élevé
2. AscendancePlus
Plugin : UpdraftPlus
Vulnérabilité : Reflected Cross-Site Scripting
Installation active : 3+ millions
Patché dans la version : 1.16.66
Niveau de gravité : Élevé
3. Factures et bons de livraison PDF WooCommerce
Plugin : Factures et bons de livraison PDF WooCommerce
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 300 000+
Patché dans la version : 2.10.5
Niveau de gravité : Élevé
4. Fonctionnalités de PublishPress
Plugin : Fonctionnalités de PublishPress
Vulnérabilité : mise à jour des options arbitraires non authentifiées vers la compromission du blog
Installations actives : 100 000+
Patché dans la version : 2.3.1
Niveau de gravité : Critique
Plugin : PublishPress Capabilities Pro
Vulnérabilité : mise à jour des options arbitraires non authentifiées vers la compromission du blog
Patché dans la version : 2.3.1
Niveau de gravité : Critique
5. Chat gratuit
Plugin : Chaty Gratuit
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 100 000+
Patché dans la version : 2.8.3
Niveau de gravité : Élevé
Plugin : Chaty Pro
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 2.8.2
Niveau de gravité : Élevé
6. Modules complémentaires PowerPack pour Elementor
Plugin : modules complémentaires PowerPack pour Elementor
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 60 000+
Patché dans la version : 2.6.2
Niveau de gravité : Élevé
7. Calendrier de réservation
Plugin : Calendrier de réservation
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 60 000+
Patché dans la version : 8.9.2
Niveau de gravité : Élevé
8. 10Flux de photos sociales sur le Web
Plugin : 10Web Social Photo Feed
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Installations actives : 60 000+
Patché dans la version : 1.4.29
Niveau de gravité : Élevé
9. Avis sur le site
Plugin : Avis sur le site
Vulnérabilité : Script intersite stocké non authentifié
Installations actives : 40 000+
Patché dans la version : 5.17.3
Niveau de gravité : Élevé
10. Pack booster de vitesse
Plugin : Pack d'accélération de la vitesse
Vulnérabilité : Admin+ SQL Injection
Installations actives : 30 000+
Patché dans la version : 4.3.3.1
Niveau de gravité : Moyen
11. Solution de marché multifournisseur pour WooCommerce
Plugin : solution de marché multifournisseur pour WooCommerce
Vulnérabilité : Appels AJAX non authentifiés
Installations actives : 10 000+
Patché dans la version : 3.8.4
Niveau de gravité : Élevé
12. Fenêtre modale
Plugin : fenêtre modale
Vulnérabilité : RFI menant à RCE via CSRF
Installations actives : 10 000+
Patché dans la version : 5.2.2
Niveau de gravité : Élevé
13. Codeur WP
Plugin : Codeur WP
Vulnérabilité : RFI menant à RCE via CSRF
Installations actives : 10 000+
Patché dans la version : 2.5.2
Niveau de gravité : Élevé
14. InscriptionMagic
Plugin : RegistrationMagic
Vulnérabilité : Admin+ SQL Injection
Installations actives : 10 000+
Patché dans la version : 5.0.1.6
Niveau de gravité : Moyen
Plugin : RegistrationMagic
Vulnérabilité : Bypass d'authentification
Installations actives : 10 000+
Patché dans la version : 5.0.1.8
Niveau de gravité : Critique
15. Les événements simplifiés
Plugin : événements simplifiés
Vulnérabilité : Subscriber+ SQL Injection
Installations actives : 6 000+
Patché dans la version : 2.2.36
Niveau de gravité : Élevé
16. Générateur de boutons
Plugin : Générateur de boutons
Vulnérabilité : RFI menant à RCE via CSRF
Installations actives : 5 000+
Patché dans la version : 2.3.3
Niveau de gravité : Élevé
17. Onglet – Accordéon, FAQ
Plugin : Onglet – Accordéon, FAQ
Vulnérabilité : Appels AJAX non authentifiés
Installations actives : 2000+
Patché dans la version : 1.3.2
Niveau de gravité : Critique
18. Classement des étoiles
Plugin : Classement par étoiles
Vulnérabilité : Commentaires par déni de service
Installations actives : 800+
Patché dans la version : 3.5.1
Niveau de gravité : Moyen
19. WPcalc
Plugin : WPcalc
Vulnérabilité : Injection SQL authentifiée
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Moyen
Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables
Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.
1. Installez le plug-in iThemes Security Pro
Le plugin iThemes Security Pro renforce votre site WordPress contre les moyens les plus courants de piratage des sites Web. Avec plus de 30 façons de sécuriser votre site dans un plugin facile à utiliser.
2. Activer l'analyse du site pour rechercher les vulnérabilités connues
La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.
3. Activer la détection de changement de fichier
La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.
Obtenez iThemes Security Pro avec surveillance de la sécurité des sites Web 24h/24 et 7j/7
iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.
