Rapport de vulnérabilité WordPress : novembre 2021, partie 1
Publié: 2021-11-03Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress.
Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.
Vulnérabilités du cœur de WordPress
La dernière version du noyau WordPress est la 5.8.1. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !
Vulnérabilités des plugins WordPress
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.
1. Avis Plus
Plugin : Avis Plus
Vulnérabilité : Abonné+ Avis DoS
Patché dans la version : 1.2.14
Niveau de gravité : Faible
2. Galerie de diaporamas
Plugin : Galerie de diaporamas
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.7.4
Niveau de gravité : Faible
3. MainWP Enfant
Plugin : MainWP Child
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 4.1.8
Niveau de gravité : Moyen
4. Catalogue de produits de commerce électronique pour WordPress
Plugin : Catalogue de produits de commerce électronique pour WordPress
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.0.39
Niveau de gravité : Élevé
5. Falang multilingue pour WordPress
Plugin : Falang multilingue pour WordPress
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.3.18
Niveau de gravité : Élevé
6. Gestionnaire de leçons vidéo
Plugin : Gestionnaire de leçons vidéo
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.7.2
Niveau de gravité : Faible
7. Vérification orthographique WP
Plugin : Vérification orthographique WP
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 9.3
Niveau de gravité : Élevé
8. Commerce électronique - Authentification à deux facteurs
Plugin : Ecommerce – Authentification à deux facteurs
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.0.5
Niveau de gravité : Élevé
9. Chargeur MAZ
Plugin : chargeur MAZ
Vulnérabilité : Arbitrary Loader Deletion via CSRF
Patché dans la version : Pas de correctif connu
Niveau de gravité : Élevé
10. Porte des âges
Plugin : Age Gate
Vulnérabilité : Paramètres d'importation non authentifiés
Patché dans la version : 2.17.1
Niveau de gravité : Critique
11. Message en double
Plugin : message en double
Vulnérabilité : Injection SQL authentifiée
Patché dans la version : 1.2.0
Niveau de gravité : Moyen
12. Avis
Plug-in : notification
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 8.0.0
Niveau de gravité : Faible
13. Répertoire des entreprises de Connections
Plugin : Annuaire des entreprises Connections
Vulnérabilité : Admin+ CSV Injection
Patché dans la version : 9.7
Niveau de gravité : Moyen
14. Balises médias
Plugin : balises média
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Faible
15. À propos de la boîte d'auteur
Plugin : À propos de la boîte d'auteur
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Patché dans la version : 1.0.2
Niveau de gravité : Moyen
16. Abonnements et adhésions pour PayPal
Plugin : Abonnements et adhésions pour PayPal
Vulnérabilité : Reflected Cross-Site Scripting via le paramètre de page
Patché dans la version : 1.1.3
Niveau de gravité : Élevé
17. Acceptez les dons avec PayPal
Plugin : Accepter les dons avec PayPal
Vulnérabilité : Reflected Cross-Site Scripting via le paramètre de page
Patché dans la version : 1.3.1
Niveau de gravité : Élevé
18. Événements PayPal faciles
Plugin : Événements PayPal faciles
Vulnérabilité : Reflected Cross-Site Scripting via le paramètre de page
Patché dans la version : 1.1.2
Niveau de gravité : Élevé
19. Popup n'importe quoi
Plugin : Popup n'importe quoi
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Patché dans la version : 2.0.4
Niveau de gravité : Élevé
20. Gestionnaire de tâches JS
Plugin : gestionnaire de tâches JS
Vulnérabilité : Installation/Activation de plugin arbitraire non authentifié
Patché dans la version : 1.1.9
Niveau de gravité : Critique
21. Modification de la date et de l'heure en masse
Plugin : modification de la date et de l'heure en masse
Vulnérabilité : Autorisation manquante
Patché dans la version : 1.12
Niveau de gravité : Moyen
22. Formes Ninja
Plugin : Formulaires Ninja
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 3.6.4
Niveau de gravité : Moyen
23. Exportation de pièces jointes WP
Plugin : Exportation de pièces jointes WP
Vulnérabilité : Téléchargement de messages non authentifiés
Patché dans la version : 0.2.4
Niveau de gravité : Élevé
24. Curseur de texte de contenu sur le message
Plugin : Curseur de texte de contenu sur la publication
Vulnérabilité : Authenticated Stored Cross-Site Scripting (XSS)
Patché dans la version : 6.9
Niveau de gravité : Moyen
25. Importateur de démo HashThemes
Plugin : Importateur de démo HashThemes
Vulnérabilité : Contrôle d'accès incorrect à la réinitialisation du blog
Patché dans la version : 1.1.2
Niveau de gravité : Critique
26. Inscriptions au calendrier des événements
Plugin : Inscriptions au calendrier des événements
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 2.7.5
Niveau de gravité : Élevé
27. Mang Board WP
Plugin : Mang Board WP
Vulnérabilité : Injection SQL
Patché dans la version : 1.6.9
Niveau de gravité : Élevé
28. OptinMonster
Plugin : OptinMonster
Vulnérabilité : Endpoints REST-API non protégés
Patché dans la version : 2.6.5
Niveau de gravité : Élevé
29. NextScripts : affiche automatique des réseaux sociaux
Plugin : NextScripts : affiche automatique des réseaux sociaux
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 4.3.21
Niveau de gravité : Élevé
30. Flux de publication sociale Smash Balloon
Plugin : Smash Balloon Social Post Feed
Vulnérabilité : Mise à jour des paramètres du plugin arbitraire de l'abonné + vers le XSS stocké
Patché dans la version : 4.0.1
Niveau de gravité : Élevé
31. WP-Pro-Quiz
Plugin : WP-Pro-Quiz
Vulnérabilité : Suppression arbitraire de quiz via CSRF
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Moyen
32. Formulaire de contact par Supsystic
Plugin : Formulaire de contact par Supsystic
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Version corrigée : pas de correctif connu
Niveau de gravité : Faible
33. WP-Stats
Plugin : WP-Stats
Vulnérabilité : CSRF vers Stored Cross-Site Scripting (XSS)
Patché dans la version : 2.52
Niveau de gravité : Élevé
Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables
Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.
1. Installez le plug-in iThemes Security Pro
Le plugin iThemes Security Pro renforce votre site WordPress contre les moyens les plus courants de piratage des sites Web. Avec plus de 30 façons de sécuriser votre site dans un plugin facile à utiliser.
2. Activer l'analyse du site pour rechercher les vulnérabilités connues
La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.
3. Surveiller les modifications de fichiers
La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.
Obtenez iThemes Security Pro avec surveillance de site Web 24h/24 et 7j/7
iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.