Résumé des vulnérabilités WordPress : avril 2020, partie 1

Publié: 2020-08-18

De nouvelles vulnérabilités de plugins et de thèmes WordPress ont été divulguées au cours de la première quinzaine d'avril, nous souhaitons donc vous tenir au courant. Dans cet article, nous couvrons les récentes vulnérabilités des plugins WordPress, des thèmes et des cœurs et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.

Le résumé des vulnérabilités WordPress est divisé en quatre catégories différentes :

  1. Noyau WordPress
  2. Plugins WordPress
  3. Thèmes WordPress

Vulnérabilités principales de WordPress

Aucune vulnérabilité WordPress n'a été divulguée en 2020.

Vulnérabilités du plugin WordPress

Plusieurs nouvelles vulnérabilités de plugin WordPress ont été découvertes ce mois-ci jusqu'à présent. Assurez-vous de suivre l'action suggérée ci-dessous pour mettre à jour le plugin ou le désinstaller complètement.

1. IMPress pour le courtier IDX

IMPress pour IDX Broker sous la version 2.6.2 a une création de poste authentifiée, une modification/suppression et un script inter-sites stocké authentifié (XSS) via des vulnérabilités non protégées 'idx_update_recaptcha_key'.

Les vulnérabilités ont été corrigées et vous devez mettre à jour vers la version 2.6.2.

2. Bannières contextuelles CM pour WordPress

Les bannières contextuelles CM pour les versions de WordPress inférieures à 1.4.11 présentent une vulnérabilité XSS stockée authentifiée.

La vulnérabilité a été corrigée et vous devez mettre à jour vers la version 1.4.11.

3. Classement des mathématiques

Les versions de Rank Math inférieures à 1.0.4.1 présentent des vulnérabilités de création de redirection et d'escalade de privilèges.

Les vulnérabilités ont été corrigées et vous devez mettre à jour vers la version 1.4.1.

4. LifterLMS

Les versions de LifterLMS inférieures à 3.37.15 ont une vulnérabilité d'écriture de fichier arbitraire.

La vulnérabilité a été corrigée et vous devez mettre à jour vers la version 3.37.15.

5. Générateur de pages Elementor

Les versions d'Elementor Page Builder inférieures à 2.9.6 présentent une vulnérabilité d'escalade de privilèges en mode sans échec authentifié.

La vulnérabilité a été corrigée et vous devez mettre à jour vers la version 2.9.6.

6. ApprendreDash

Les versions de LearnDash inférieures à 3.1.6 présentent une vulnérabilité d'injection SQL non authentifiée.

La vulnérabilité a été corrigée et vous devez mettre à jour vers la version 3.1.6.

7. Connectez-vous par Auth0

Les versions Login by Auth0 inférieures à 4.0.0 présentent de multiples vulnérabilités.

La vulnérabilité a été corrigée et vous devez mettre à jour vers la version 4.0.0.

8. WordPress WP-Recherche avancée

Les versions de WordPress WP-Advanced-Search inférieures à 3.3.6 ont une vulnérabilité d'injection SQL non authentifiée.

La vulnérabilité a été corrigée et vous devez mettre à jour vers la version 3.3.6.

9. Formulaire de contact 7 Datepicker

Toutes les versions de Contact Form 7 Datepicker ont une vulnérabilité Authenticated Stored Cross-Site Scripting.

Supprimez le plugin, il a été fermé sur le référentiel de plugins WordPress.org en attente d'examen.

10. Galerie de photos d'art

Toutes les versions d'Art-Picture-Gallery ont une vulnérabilité de téléchargement de fichier arbitraire non authentifié.

Supprimez le plugin, il a été fermé sur le référentiel de plugins WordPress.org en attente d'examen.

11. WP Dernières informations modifiées

Les versions de WP Last Modified Info inférieures à 1.6.6 ont une vulnérabilité XSS Authenticated Stored.

La vulnérabilité a été corrigée et vous devez mettre à jour vers la version 1.6.6.

12. WP Lead Plus X

Toutes les versions de WP Lead Plus X ont une vulnérabilité Cross-Site Request Forgery.

Supprimez le plugin jusqu'à ce qu'un correctif soit publié.

13. Addons ultimes pour Gutenberg

Les versions Ultimate Addons for Gutenberg inférieures à 1.14.8 présentent une vulnérabilité de modification des paramètres authentifiés.

La vulnérabilité a été corrigée et vous devez mettre à jour vers la version 1.14.8.

14. Klarna Checkout pour WooCommerce

Les versions de Klarna Checkout pour WooCommerce inférieures à 2.0.10 présentent une vulnérabilité de désactivation, d'activation et d'installation de plug-in arbitraire authentifié.

15. Tickera - Billetterie d'événements WordPress

Tickera - Les versions de billetterie d'événements WordPress inférieures à 3.4.6.9 présentent une vulnérabilité d'exposition de données sensibles non authentifiées.

La vulnérabilité a été corrigée et vous devez mettre à jour vers la version 3.4.6.9.

16. Sondage réactif

Toutes les versions de Responsive Poll ont une authentification cassée et des contrôles de capacité manquants sur les appels AJAX.

Supprimez le plugin, il a été fermé sur le référentiel de plugins WordPress.org en attente d'examen.

17. Assistant de la médiathèque

Les versions de Media Library Assistant inférieures à 2.82 présentent des vulnérabilités de script intersite stocké authentifié et d'inclusion de fichiers locaux limités non authentifiés.

La vulnérabilité a été corrigée et vous devez mettre à jour vers la version 2.82.

Thèmes WordPress

Aucune vulnérabilité de thème n'a été divulguée en avril 2020.

Comment être proactif sur les vulnérabilités des thèmes et plugins WordPress

L'exécution de logiciels obsolètes est la principale raison pour laquelle les sites WordPress sont piratés. Il est crucial pour la sécurité de votre site WordPress que vous ayez une routine de mise à jour. Vous devez vous connecter à vos sites au moins une fois par semaine pour effectuer des mises à jour.

Les mises à jour automatiques peuvent aider

Les mises à jour automatiques sont un excellent choix pour les sites Web WordPress qui ne changent pas très souvent. Le manque d'attention laisse souvent ces sites négligés et vulnérables aux attaques. Même avec les paramètres de sécurité recommandés, l'exécution de logiciels vulnérables sur votre site peut donner à un attaquant un point d'entrée sur votre site.

À l'aide de la fonction de gestion des versions du plug-in iThemes Security Pro, vous pouvez activer les mises à jour automatiques de WordPress pour vous assurer d'obtenir les derniers correctifs de sécurité. Ces paramètres aident à protéger votre site avec des options pour mettre à jour automatiquement vers de nouvelles versions ou pour augmenter la sécurité des utilisateurs lorsque le logiciel du site est obsolète.

Options de mise à jour de la gestion des versions
  • Mises à jour WordPress – Installez automatiquement la dernière version de WordPress.
  • Mises à jour automatiques des plugins – Installez automatiquement les dernières mises à jour des plugins. Cela devrait être activé, sauf si vous maintenez activement ce site quotidiennement et installez les mises à jour manuellement peu de temps après leur publication.
  • Mises à jour automatiques du thème – Installez automatiquement les dernières mises à jour du thème. Cela devrait être activé sauf si votre thème a des personnalisations de fichiers.
  • Contrôle granulaire des mises à jour de plugins et de thèmes – Vous pouvez avoir des plugins/thèmes que vous souhaitez soit mettre à jour manuellement, soit retarder la mise à jour jusqu'à ce que la version ait eu le temps de s'avérer stable. Vous pouvez choisir Personnalisé pour avoir la possibilité d'attribuer à chaque plugin ou thème une mise à jour immédiate ( Activer ), ne pas mettre à jour automatiquement ( Désactiver ) ou une mise à jour avec un délai d'un nombre de jours spécifié ( Délai ).
Renforcement et alerte aux problèmes critiques
  • Renforcez le site lors de l'exécution d'un logiciel obsolète - Ajoutez automatiquement des protections supplémentaires au site lorsqu'une mise à jour disponible n'a pas été installée depuis un mois. Le plugin iThemes Security activera automatiquement une sécurité plus stricte lorsqu'une mise à jour n'a pas été installée depuis un mois. Premièrement, cela forcera tous les utilisateurs qui n'ont pas activé le double facteur à fournir un code de connexion envoyé à leur adresse e-mail avant de se reconnecter. Deuxièmement, cela désactivera l'éditeur de fichiers WP (pour empêcher les gens d'éditer le plugin ou le code de thème) , les pingbacks XML-RPC et bloquent plusieurs tentatives d'authentification par requête XML-RPC (les deux rendant XML-RPC plus fort contre les attaques sans avoir à le désactiver complètement).
  • Rechercher d'autres anciens sites WordPress - Cela vérifiera les autres installations WordPress obsolètes sur votre compte d'hébergement. Un seul site WordPress obsolète avec une vulnérabilité pourrait permettre aux attaquants de compromettre tous les autres sites sur le même compte d'hébergement.
  • Envoyer des notifications par e-mail – Pour les problèmes nécessitant une intervention, un e-mail est envoyé aux utilisateurs de niveau administrateur.

Gérer plusieurs sites WP ? Mettre à jour les plugins, les thèmes et le noyau à la fois à partir du tableau de bord de synchronisation iThemes

iThemes Sync est notre tableau de bord central pour vous aider à gérer plusieurs sites WordPress. À partir du tableau de bord Sync, vous pouvez afficher les mises à jour disponibles pour tous vos sites, puis mettre à jour les plugins, les thèmes et le noyau WordPress en un seul clic . Vous pouvez également recevoir des notifications quotidiennes par e-mail lorsqu'une nouvelle mise à jour de version est disponible.

Essayez Sync GRATUITEMENT pendant 30 joursEn savoir plus

Un plugin de sécurité WordPress peut aider à sécuriser votre site Web

iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 30 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application stricte des mots de passe et plus encore, vous pouvez ajouter une couche de sécurité supplémentaire à votre site Web.

En savoir plus sur la sécurité WordPress avec 10 conseils clés. Téléchargez l'ebook maintenant : Un guide de la sécurité WordPress
Télécharger maintenant