Rapport de vulnérabilité WordPress : septembre 2021, partie 3

Les plugins et thèmes vulnérables sont la principale raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.

Chaque vulnérabilité aura un indice de gravité faible , moyen , élevé ou critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress.

En tant que l'un des plus grands rapports de vulnérabilité WordPress à ce jour, veuillez partager cet article avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.

Vulnérabilités principales de WordPress

Plusieurs problèmes de sécurité de base de WordPress ont été divulgués et corrigés. WordPress 5.8.1 a été publié en tant que version de sécurité et de maintenance. En tant que meilleure pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !

1. WordPress 5.4 à 5.8

Vulnérabilité : Exposition des données via l'API REST
Patché dans la version : 5.8.1
Score de gravité : Moyen

Vulnérabilité : XSS authentifié dans Block Editor
Patché dans la version : 5.8.1
Score de gravité : Moyen

Vulnérabilité : Lodash Library Update
Patché dans la version : 5.8.1
Score de gravité : Moyen

Vulnérabilités du plugin WordPress

Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.

1. Pinterest Automatique

Plugin : Pinterest Automatique
Vulnérabilité : Mise à jour des options arbitraires non authentifiées
Patché dans la version : 4.14.4
Score de gravité : Critique

2. WordPress automatique

Plugin : WordPress Automatique
Vulnérabilité : Mise à jour des options arbitraires non authentifiées
Patché dans la version : 3.53.3
Score de gravité : Critique

3. ELEX WooCommerce Google Shopping

Plugin : ELEX WooCommerce Google Shopping
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Patché dans la version : 1.2.4
Score de gravité : Élevé

4. Enregistrement de l'utilisateur

Plugin : Enregistrement de l'utilisateur
Vulnérabilité : Low Privilege Stored Cross-Site Scripting
Patché dans la version : 2.0.2
Score de gravité : Moyen

5. uListe

Plugin : uListing
Vulnérabilité : Mise à jour arbitraire de l'option de blog via CSRF
Patché dans la version : 2.0.9
Score de gravité : Élevé

6. Réservation de l'heure du rendez-vous

Plugin : Réservation d'heure de rendez - vous
Vulnérabilité : Script intersites stocké authentifié
Patché dans la version : 1.3.16
Score de gravité : Faible

Plugin : Réservation d'heure de rendez - vous
Vulnérabilité : XSS stocké authentifié
Patché dans la version : 1.3.17
Score de gravité : Faible

7. UtilisateursWP

Plugin : UsersWP
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.2.2.29
Score de gravité : Moyen

8. Publier le calendrier éditorial de la presse

Plugin : Calendrier éditorial de PublishPress
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.5.1
Score de gravité : Élevé

9. Mieux trouver et remplacer

Plugin : Mieux rechercher et remplacer
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.2.9
Score de gravité : Élevé

10. Glossaire de l'info-bulle CM

Plugin : Glossaire de l'info-bulle CM
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Patché dans la version : 3.9.21
Score de gravité : Moyen

11. Passerelle de paiement Bitcoin / AltCoin pour WooCommerce

Plugin : passerelle de paiement Bitcoin / AltCoin pour WooCommerce
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.6.1
Score de gravité : Élevé

12. Calendrier des événements modernes Lite

Plugin : Calendrier d'événements moderne Lite
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 5.22.2
Score de gravité : Faible

13. Mon chatbot

Thème : Mon Chatbot
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

14. Dupliquer la page

Plugin : Dupliquer la page
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 4.4.3
Score de gravité : Moyen

15. Effet météorologique

Plugin : effet météo
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.3.6
Score de gravité : Faible

Plugin : effet météo
Vulnérabilité : CSRF to Stored Cross-Site Scripting
Patché dans la version : 1.3.4
Score de gravité : Élevé

16. Quiz enchaîné

Plugin : Quiz enchaîné
Vulnérabilité : Authenticated Stored Cross Site Scripting
Patché dans la version : 1.2.7.2
Score de gravité : Faible

17. Liste des personnes académiques WP

Plugin : WP Academic People List
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

18. Konnichiwa ! Adhésion

Plugin : Konnichiwa ! Adhésion
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

19. Carrousel de couverture 3D

Plugin : Carrousel de couverture 3D
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

20. Plus de Google

Plugin : Plus de Google
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

21. Authentification simpleSAMLphp

Plugin : Authentification simpleSAMLphp
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

22. Plugin de menu personnalisé

Plugin : Plugin de menu personnalisé
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

23. Widget Amis Twitter

Plugin : Widget Amis Twitter
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

24. RentPress

Plugin : RentPress
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

25. SP Gestionnaire de location

Plugin : SP Rental Manager
Vulnérabilité : Injection SQL non authentifiée
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

26. E-mail d'activation de l'utilisateur

Plugin : e-mail d'activation de l'utilisateur
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

27. WP Google Maps

Plugin : WP Google Maps
Vulnérabilité : Multiple Admin+ Stored Cross-Site Scripting
Patché dans la version : 8.1.13
Score de gravité : Faible

28. Géorépertoire

Plugin : Géorépertoire
Vulnérabilité : Authenticated (admin+) Stored Cross-Site Scripting (XSS)
Patché dans la version : 2.1.1.3
Score de gravité : Moyen

29. TraduirePresse

Plugin : TranslatePress
Vulnérabilité : Script intersites stocké authentifié
Patché dans la version : 2.0.9
Score de gravité : Faible

30. Compteur de titre de poste

Plugin : Compteur de titre de poste
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

31. Insertion vidéo YouTube

Plugin : Inserteur vidéo YouTube
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

32. Avis

Plugin : Avis
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

33. DJ EmailPublier

Plugin : DJ EmailPublish
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

34. Encore un autre plugin bol.com

Plugin : Encore un autre plugin bol.com
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

35. WP-T-Wap

Plugin : WP-T-Wap
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

36. SEO sur la page + bouton de chat Whatsapp

Plugin : On Page SEO + Bouton de chat Whatsapp
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

37. WP Scripts

Plugin : WP Scrippets
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

38. Cartes et lieux de conception WP

Plugin : WP Design Maps & Places
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

39. Formulaires de capture d'agent sage

Plugin : Formulaires de capture d'agent Wise
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

40. Modifier les commentaires XT

Plugin : Modifier les commentaires XT
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

41. RSVP Maker Excel

Plugin : RSVPMaker Excel
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

42. Barre de chargement à la frontière

Plugin : Border Loading Bar
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

43. Vignettes emmêlées simples

Plugin : Vignettes emmêlées simples
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

44. WordPress Simple Boutique

Plugin : WordPress Simple Boutique
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

45. Passerelle de paiement WooCommerce par catégorie

Plugin : Passerelle de paiement WooCommerce par catégorie
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

46. ​​Données de site Web personnalisées

Plugin : Données de site Web personnalisées
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

47. Recherche avancée

Plugin : Recherche avancée
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

48. Intégration de Moneybird pour WooCommerce

Plugin : Intégration de Moneybird pour WooCommerce
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

49. Analyse d'araignée

Plugin : Spideranalyse
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

50. Abonnez-vous à l'OSD

Plugin : OSD S'abonner
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

51. Feedify Web Push Notifications

Plugin : Feedify Web Push Notifications
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

52. Texte déroulant et défilant

Plugin : Texte déroulant et défilant
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

53. Intégration GNU-Mailman

Plugin : Intégration GNU-Mailman
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

54. Bibliothèque de bogues

Plugin : Bibliothèque de bogues
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

55. SMS OVH

Plugin : SMS OVH
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

56. MoolaMojo

Plugin : MoolaMojo
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

57. WordPress InviteBox Plugin

Plugin : WordPress InviteBox Plugin
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : aucun correctif connu
Score de gravité : Moyen

58. wp-publications

Plugin : wp-publications
Vulnérabilité : Local File Inclusion
Patché dans la version : aucun correctif connu
Score de gravité : Élevé

59. Calendrier et programme des événements par MotoPress

Plugin : Horaires et calendrier des événements par MotoPress
Vulnérabilité : Author+ Stored Cross-Site Scripting
Patché dans la version : 2.3.19
Score de gravité : Moyen

60. Suppression de lien de commentaire et autres outils de commentaire

Plugin : suppression du lien de commentaire et autres outils de commentaire
Vulnérabilité : Suppression arbitraire de commentaires via CSRF
Patché dans la version : 2.1.6
Score de gravité : Moyen

61. Calendrier de réservation simple WP

Plugin : Calendrier de réservation simple WP
Vulnérabilité : Injection SQL Authentifiée
Patché dans la version : 2.0.6
Score de gravité : Moyen

62. Bloquer et arrêter les mauvais robots

Plugin : Bloquer et arrêter les robots malveillants
Vulnérabilité : Injections SQL authentifiées
Patché en Version : 6.60
Score de gravité : Moyen

63. Abonnements payants des membres

Plugin : abonnements payants pour les membres
Vulnérabilité : Injection SQL Authentifiée
Patché dans la version : 2.4.2
Score de gravité : Moyen

64. Accordéon facile

Plugin : Accordéon facile
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 2.0.22
Score de gravité : Faible

Vulnérabilités du thème WordPress

1. Envelopper

Thème : Enfold
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Patché dans la version : 4.8.4
Score de gravité : Moyen

Une note sur la divulgation responsable

Vous vous demandez peut-être pourquoi une vulnérabilité serait divulguée si elle donne aux pirates un exploit à attaquer. Eh bien, il est très courant qu'un chercheur en sécurité trouve et signale en privé la vulnérabilité au développeur du logiciel.

Avec la divulgation responsable , le rapport initial du chercheur est remis en privé aux développeurs de la société propriétaire du logiciel, mais avec un accord selon lequel tous les détails seront publiés une fois qu'un correctif sera disponible. Pour les vulnérabilités de sécurité importantes, il peut y avoir un léger retard dans la divulgation de la vulnérabilité pour donner à plus de personnes le temps de corriger.

Le chercheur en sécurité peut fournir une date limite au développeur du logiciel pour répondre au rapport ou pour fournir un correctif. Si ce délai n'est pas respecté, le chercheur peut divulguer publiquement la vulnérabilité pour faire pression sur le développeur pour qu'il publie un correctif.

Divulguer publiquement une vulnérabilité et introduire apparemment une vulnérabilité Zero-Day - un type de vulnérabilité qui n'a pas de correctif et qui est exploitée à l'état sauvage - peut sembler contre-productif. Mais c'est le seul levier dont dispose un chercheur pour faire pression sur le développeur pour qu'il corrige la vulnérabilité.

Si un pirate informatique découvrait la vulnérabilité, il pourrait utiliser discrètement l'exploit et causer des dommages à l'utilisateur final (c'est vous), tandis que le développeur du logiciel reste satisfait de laisser la vulnérabilité non corrigée. Le Project Zero de Google a des directives similaires en ce qui concerne la divulgation des vulnérabilités. Ils publient tous les détails de la vulnérabilité après 90 jours, que la vulnérabilité ait été corrigée ou non.

Comment protéger votre site WordPress contre les plugins et thèmes vulnérables

Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, donc le plugin iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plugin ou une version principale de WordPress avec une vulnérabilité connue.

1. Activez le scanner de site iThemes Security Pro

Le scanner de site du plugin iThemes Security Pro analyse la première raison pour laquelle les sites WordPress sont piratés : les plugins obsolètes et les thèmes avec des vulnérabilités connues. Le scanner de site recherche sur votre site les vulnérabilités connues et applique automatiquement un correctif s'il en existe un.

Pour activer l'analyse du site sur les nouvelles installations, accédez à l'onglet Vérification du site dans le menu Fonctionnalités à l'intérieur du plug-in et cliquez sur le bouton bascule pour activer l' analyse du site .

Pour déclencher une analyse de site manuelle, cliquez sur le bouton Analyser maintenant sur la carte du tableau de bord de sécurité de l'analyse de site.

Si l'analyse du site détecte une vulnérabilité, cliquez sur le lien de vulnérabilité pour afficher la page de détails.

Sur la page de vulnérabilité de l'analyse du site, vous verrez s'il existe un correctif disponible pour la vulnérabilité. Si un correctif est disponible, vous pouvez cliquer sur le bouton Mettre à jour le plug- in pour appliquer le correctif sur votre site Web.

2. Activez la gestion des versions pour la mise à jour automatique si la vulnérabilité est corrigée

La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site lorsque les logiciels obsolètes ne sont pas mis à jour assez rapidement. Même les mesures de sécurité les plus strictes échoueront si vous exécutez un logiciel vulnérable sur votre site Web. Ces paramètres aident à protéger votre site avec des options pour mettre à jour automatiquement vers de nouvelles versions si une vulnérabilité connue existe et qu'un correctif est disponible.

À partir de la page Paramètres dans iThemes Security Pro, accédez à l'écran Fonctionnalités. Cliquez sur l'onglet Vérification du site. À partir de là, utilisez la bascule pour activer la gestion des versions. À l'aide de l'équipement de configuration, vous pouvez configurer encore plus de paramètres, notamment la manière dont vous souhaitez que iThemes Security Pro gère les mises à jour de WordPress, les plugins, les thèmes et une protection supplémentaire.

Assurez-vous de sélectionner la case Mise à jour automatique si elle corrige une vulnérabilité afin qu'iThemes Security Pro mette automatiquement à jour un plugin ou un thème s'il corrige une vulnérabilité trouvée par le scanner de site.

3. Recevez une alerte par e-mail lorsque iThemes Security Pro trouve une vulnérabilité connue sur votre site

Une fois que vous avez activé la planification de l'analyse du site, accédez aux paramètres du centre de notifications du plug-in. Sur cet écran, faites défiler jusqu'à la section Résultats de l'analyse du site .

Cochez la case pour activer l'e - mail de notification , puis cliquez sur le bouton Enregistrer les paramètres .

Désormais, lors de toute analyse de site planifiée, vous recevrez un e-mail si iThemes Security Pro découvre des vulnérabilités connues. L'e-mail ressemblera à quelque chose comme ceci.

Obtenez iThemes Security Pro et reposez-vous un peu plus facilement ce soir

iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application stricte des mots de passe et plus encore, vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.

Obtenez iThemes Security Pro

Michael Moore

Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.