Rapport de vulnérabilité WordPress : mai 2021, partie 2

Publié: 2021-05-14

Les plugins et thèmes vulnérables sont la principale raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.

Chaque vulnérabilité comprend un indice de gravité faible , moyen , élevé ou critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde !

Dans le rapport de mai, partie 2

    Vulnérabilités principales de WordPress

    Aucune nouvelle vulnérabilité principale de WordPress n'a été divulguée ce mois-ci.

    Vulnérabilités du plugin WordPress

    1. Changement de langue d'administration simple

    Plugin : Changement de langue d'administration simple
    Vulnérabilité : Arbitrary User Locale Change
    Patché dans la version : 2.0.2
    Score de gravité : 4,3 Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.0.2+.

    2. Expédier à Courrier

    Plugin : Expédier à eCourier
    Vulnérabilité : Mise à jour des paramètres du plugin via CSRF
    Patché dans la version : 1.0.2
    Score de gravité : 5,4 Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.0.2+.

    3. Colis Tracker eCourier

    Plugin : Colis Tracker eCourier
    Vulnérabilité : Mise à jour des paramètres du plugin via CSRF
    Patché dans la version : 1.0.2
    Score de gravité : 5,4 Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.0.2+.

    4. Curseur de produit PickPlugins pour WooCommerce

    Plugin : curseur de produit PickPlugins pour WooCommerce
    Vulnérabilité : Reflected Cross-Site Scripting
    Patché dans la version : 1.13.22
    Score de gravité : 7,1 Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.13.22+.

    5. Hana Flv Player

    Plugin : Hana Flv Player
    Vulnérabilité : Script intersites stocké authentifié
    Patché dans la version : aucun correctif connu
    Score de gravité : 3,8 Faible

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    6. Connecteur Hotjar

    Plugin : Connecticateur Hotjar
    Vulnérabilité : Script intersites stocké authentifié
    Patched in Version : Pas de correctif connu – plugin fermé
    Score de gravité : 3,8 Faible

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    7. GA Google Analytics

    Plugin : GA Google Analytics
    Vulnérabilité : Script intersites stocké authentifié
    Patché dans la version : aucun correctif connu
    Score de gravité : 5,9 Moyen

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    8. Cibler le premier plugin

    Plugin : premier plug- in cible
    Vulnérabilité : Script cross-site stocké non authentifié via la clé de licence
    Patché dans la version : 1.0
    Score de gravité : 7,2 Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.0+.

    9. Leads-5050 informations sur les visiteurs

    Plugin : Leads-5050 Visitor Insights
    Vulnérabilité : Modification de licence non autorisée
    Patché dans la version : 1.1.0
    Score de gravité : 7,1 Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.1.0+.

    10. DSGVO Tout en un pour WP

    Plugin : DSGVO Tout en un pour WP
    Vulnérabilité : Script cross-site stocké non authentifié
    Patché dans la version : 4.0
    Score de gravité : 8,3 Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 4.0+.

    11. UltimateWoo

    Plugin : UltimateWoo
    Vulnérabilité : PHP Object Injection
    Patched in Version : Aucun correctif connu – plugin fermé
    Score de gravité : 5,6 Moyen

    Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plugin jusqu'à ce qu'un correctif soit publié.

    12. Membre ultime

    Plugin : membre ultime
    Vulnérabilité : Authenticated Reflected Cross-Site Scripting
    Patché dans la version : 2.1.20
    Score de gravité : 4,4 Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.1.20+.

    13. Optimisation automatique

    Plugin : optimisation automatique
    Vulnérabilité : Script intersites stocké authentifié
    Patché dans la version : 2.8.4
    Score de gravité : 6,6 Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.8.4+.

    14. Zlick Paywall

    Plugin : Zlick Paywall
    Vulnérabilité : CSRF Bypass
    Patché dans la version : 2.2.2
    Score de gravité : 3.1 Faible

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.2.2+.

    15. Liste de souhaits et comparaison ThemeHigh WooCommerce

    Plugin : liste de souhaits et comparaison ThemeHigh WooCommerce
    Vulnérabilité : Appel AJAX non autorisé
    Patché dans la version : 1.0.5
    Score de gravité : 7,2 Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.0.5+.

    16. Cadeaux simples

    Plugin : Cadeaux simples
    Vulnérabilité : Script Cross-Site reflété non authentifié
    Patché dans la version : 2.36.2
    Score de gravité : 7,1 Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.36.2+.

    17. Réservations de restaurants ReDi

    Plugin : Réservations de restaurants ReDi
    Vulnérabilité : Script cross-site stocké non authentifié
    Patché dans la version : 21.0426
    Score de gravité : 7,1 Élevé

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 21.0426+.

    18. Pack de référencement tout en un

    Plugin : Pack de référencement tout en un
    Vulnérabilité : Exécution de code à distance
    Patché dans la version : 4.1.0.2
    Score de gravité : 6,6 Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 4.1.0.2+.

    19. LifterLMS

    Plugin : LifterLMS
    Vulnérabilité : Script inter-sites stocké authentifié dans Modifier le profil
    Patché dans la version : 4.21.1
    Score de gravité : 7,4 Élevé

    Vulnérabilité : Script inter-sites reflété via le code de coupon lors du paiement
    Patché dans la version : 4.21.1
    Score de gravité : 6.1 Moyen

    La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 4.21.1+.

    Vulnérabilités du thème WordPress

    Aucune nouvelle vulnérabilité de thème n'a été divulguée ce mois-ci.

    Une note sur la divulgation responsable

    Vous vous demandez peut-être pourquoi une vulnérabilité serait divulguée si elle donne aux pirates un exploit à attaquer. Eh bien, il est très courant qu'un chercheur en sécurité trouve et signale en privé la vulnérabilité au développeur du logiciel avant qu'elle ne soit rendue publique.

    Avec la divulgation responsable , le rapport initial du chercheur est remis en privé aux développeurs de la société propriétaire du logiciel, mais avec un accord selon lequel tous les détails seront publiés une fois qu'un correctif sera disponible. Pour les vulnérabilités de sécurité importantes, il peut y avoir un léger retard dans la divulgation de la vulnérabilité pour donner à plus de personnes le temps de corriger.

    Le chercheur en sécurité peut fournir une date limite au développeur du logiciel pour répondre au rapport ou pour fournir un correctif. Si ce délai n'est pas respecté, le chercheur peut divulguer publiquement la vulnérabilité pour faire pression sur le développeur pour qu'il publie un correctif.

    Divulguer publiquement une vulnérabilité et introduire apparemment une vulnérabilité Zero-Day - un type de vulnérabilité qui n'a pas de correctif et qui est exploitée à l'état sauvage - peut sembler contre-productif. Mais c'est le seul levier dont dispose un chercheur pour faire pression sur le développeur pour qu'il corrige la vulnérabilité.

    Si un pirate informatique découvrait la vulnérabilité, il pourrait utiliser discrètement l'exploit et causer des dommages à l'utilisateur final (c'est vous), tandis que le développeur du logiciel reste satisfait de laisser la vulnérabilité non corrigée. Le Project Zero de Google a des directives similaires en ce qui concerne la divulgation des vulnérabilités. Ils publient tous les détails de la vulnérabilité après 90 jours, que la vulnérabilité ait été corrigée ou non.

    Comment protéger votre site WordPress contre les plugins et thèmes vulnérables

    Il existe trois excellentes façons de protéger automatiquement vos sites Web contre les thèmes et les plugins vulnérables :

    1. Activation des mises à jour automatiques pour les plugins et les thèmes
    2. Scanner de site du plugin iThemes Security Pro
    3. Gestion des versions dans iThemes Security

    1. Activer les mises à jour automatiques pour les plugins et les thèmes

    À partir de WordPress 5.5, vous pouvez activer les mises à jour automatiques pour les plugins et les thèmes. Pourquoi les mises à jour automatiques seraient-elles intégrées au cœur de WordPress ? Les plugins et thèmes obsolètes sont toujours la principale raison pour laquelle les sites WordPress sont piratés. Les versions de versions incluent souvent des correctifs de sécurité importants pour fermer les vulnérabilités (vérifiez simplement combien de problèmes de sécurité avec les thèmes et les plugins sont divulgués de mois en mois dans notre résumé des vulnérabilités WordPress). C'est pourquoi toujours exécuter la dernière version de tout plugin ou thème que vous avez installé sur votre site est une bonne pratique de sécurité.

    Désormais, le noyau WordPress vous permettra de définir des plugins et des thèmes à mettre à jour automatiquement à partir de vos pages admin WordPress > Plugins > Plugins installés et apparence > Thèmes. De cette façon, vous pouvez toujours savoir que votre site exécute le dernier code disponible.

    2. Activez le scanner de site du plugin iThemes Security Pro

    Le scanner de site du plugin iThemes Security Pro est un autre moyen de sécuriser et de protéger votre site Web WordPress contre la principale cause de tous les piratages logiciels : les plugins obsolètes et les thèmes présentant des vulnérabilités connues. Le scanner de site recherche sur votre site les vulnérabilités connues et applique automatiquement un correctif s'il en existe un.

    Les 3 types de vulnérabilités WordPress vérifiés par le scanner de site iThemes Security Pro :

    1. Vulnérabilités principales de WordPress
    2. Vulnérabilités des plugins
    3. Vulnérabilités du thème

    Pour activer l'analyse de site sur votre site, accédez aux paramètres d'iThemes Security Pro et cliquez sur le bouton Activer dans le module de paramètres d' analyse de site .

    Pour déclencher une analyse de site manuelle, cliquez sur le bouton Analyser maintenant sur le widget d'analyse de site situé dans la barre latérale droite des paramètres de sécurité.

    Les résultats de l'analyse du site s'afficheront dans le widget.

    Si l'analyse du site détecte une vulnérabilité, cliquez sur le lien de vulnérabilité pour afficher la page de détails.

    Sur la page de vulnérabilité de l'analyse du site, vous verrez s'il existe un correctif disponible pour la vulnérabilité. Si un correctif est disponible, vous pouvez cliquer sur le bouton Mettre à jour le plug- in pour appliquer le correctif sur votre site Web.

    Il peut y avoir un délai entre le moment où un correctif est disponible et la mise à jour de la base de données des vulnérabilités de sécurité iThemes pour refléter le correctif. Dans ce cas, vous pouvez désactiver la notification pour ne plus recevoir d'alertes liées à la vulnérabilité.

    Important : vous ne devez pas désactiver une notification de vulnérabilité tant que vous n'avez pas confirmé que votre version actuelle inclut un correctif de sécurité ou que la vulnérabilité n'affecte pas votre site.

    3. Activer la gestion des versions dans iThemes Security Pro

    La fonction de gestion des versions d'iThemes Security Pro vous permet d'avoir un peu plus de contrôle sur les mises à jour automatiques pour WordPress, les plugins et les thèmes.

    Voici les trois façons dont iThemes Security Pro Version Management offre plus de flexibilité par rapport aux mises à jour automatiques par défaut de WordPress.

    1. Gestion simplifiée des plugins et des thèmes - gérez toutes vos mises à jour de plugins et de thèmes à partir des paramètres de gestion de version.
    2. Ajoutez des délais personnalisés pour les mises à jour des plugins et des thèmes – Les mises à jour automatiques de WordPress offrent uniquement la possibilité d'appliquer les mises à jour immédiatement. Le planificateur de mise à jour vous permet de créer un délai personnalisé. Retarder peut être une bonne option pour les plugins ou les thèmes qui ont tendance à nécessiter des versions de suivi pour résoudre les problèmes après une version majeure.
    3. Appliquer uniquement les mises à jour qui corrigent les vulnérabilités connues – appliquez uniquement les mises à jour qui corrigent les vulnérabilités connues. Cette option est parfaite si vous souhaitez exécuter manuellement toutes vos mises à jour mais que vous souhaitez recevoir immédiatement les correctifs de sécurité.

    Au-delà de cela, Version Management propose également des options pour renforcer votre site Web lorsque vous exécutez un logiciel obsolète et rechercher d'anciens sites Web.

    Pour commencer à utiliser la gestion des versions, activez le module sur la page principale des paramètres de sécurité.

    Cliquez maintenant sur le bouton Configurer les paramètres pour examiner de plus près les paramètres.

    • Mises à jour WordPress – Installez automatiquement la dernière version de WordPress.
    • Mises à jour des plugins – Installez automatiquement les dernières mises à jour des plugins. L'activation de ce paramètre désactivera la fonctionnalité des plugins de mise à jour automatique de WordPress pour éviter les conflits.
    • Mises à jour de thème – Installez automatiquement les dernières mises à jour de thème. L'activation de ce paramètre désactivera la fonctionnalité de mise à jour automatique du thème WordPress pour éviter les conflits.
    • Renforcez le site lors de l'exécution d'un logiciel obsolète - Ajoutez automatiquement des protections supplémentaires au site lorsqu'une mise à jour disponible n'a pas été installée depuis un mois.
      • Forcez tous les utilisateurs qui n'ont pas activé le double facteur à fournir un code de connexion envoyé à leur adresse e-mail avant de se reconnecter.
      • Désactivez l'éditeur de fichiers WP (qui empêche les utilisateurs de modifier le code du plugin ou du thème).
      • Désactivez les pingbacks XML-RPC et bloquez plusieurs tentatives d'authentification par requête XML-RPC (les deux rendant XML-RPC plus fort contre les attaques sans avoir à le désactiver complètement).
    • Analyser les anciens sites WordPress – Exécutez une analyse quotidienne du compte d'hébergement pour les anciens sites WordPress qui pourraient permettre à un attaquant de compromettre le serveur. Un seul site WordPress obsolète avec une vulnérabilité pourrait permettre aux attaquants de compromettre tous les autres sites sur le même compte d'hébergement.
    • Mise à jour automatique si la vulnérabilité corrige - Cette option fonctionne en tandem avec l'analyse du site iThemes Security Pro pour rechercher sur votre site Web les vulnérabilités connues de WordPress, des plugins et des thèmes et appliquer un correctif lorsqu'il est disponible.

    Examinons maintenant de plus près la configuration des mises à jour des plugins et des thèmes. Avant de commencer, je voulais rappeler rapidement que l'activation des paramètres de mise à jour du plugin et du thème désactivera la fonction de mise à jour automatique de WordPress pour éviter les conflits.

    Les paramètres de mise à jour du plugin et du thème ont trois choix.

    1. Vide/Aucun – Laisser le paramètre vide permettra à WordPress de gérer les mises à jour du plugin et du thème.
    2. Personnalisé – L'option Personnalisé vous permet de personnaliser les mises à jour précisément à votre guise. Nous allons couvrir cela plus dans un peu.
    3. Tout – Tout mettra à jour tous vos plugins ou thèmes dès qu'une mise à jour sera disponible.

    Examinons maintenant de plus près l'option Personnalisé .

    La sélection de l'option Personnalisé offre trois choix différents pour les mises à jour de votre plugin et de votre thème.

    1. Activer – Choisissez les plugins que vous souhaitez mettre à jour immédiatement après une nouvelle version.
    2. Désactiver – Utilisez cette option pour les plugins que vous souhaitez mettre à jour manuellement.
    3. Retard – L'option de retard vous permet de définir le nombre de jours pendant lesquels vous souhaitez retarder une mise à jour d'une version. Cela peut être une bonne option pour les développeurs qui ont tendance à avoir besoin de versions de suivi pour résoudre les problèmes après une version majeure.

    Obtenez iThemes Security Pro aujourd'hui

    iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application stricte des mots de passe et plus encore, vous pouvez ajouter une couche de sécurité supplémentaire à votre site Web.

    Obtenez iThemes Security Pro