Résumé des vulnérabilités WordPress : août 2020, partie 2
Publié: 2020-10-29De nouvelles vulnérabilités de plugins et de thèmes WordPress ont été divulguées au cours de la deuxième quinzaine d'août, nous souhaitons donc vous tenir au courant. Dans cet article, nous couvrons les récentes vulnérabilités des plugins WordPress, des thèmes et des cœurs et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Le résumé des vulnérabilités WordPress est divisé en trois catégories différentes : le noyau WordPress, les plugins WordPress et les thèmes WordPress.
Vulnérabilités principales de WordPress
Aucune vulnérabilité principale de WordPress n'a été divulguée en août. Cependant, août a apporté une nouvelle version majeure de WordPress. Notez simplement que nous avons reçu de nombreux rapports sur les sites Web de rupture de mise à jour 5.5, voici donc un guide sur les sites Web de rupture de WordPress 5.5 : comment y remédier.
Voir les nouveautés de WordPress 5.5
WordPress 5.5 « Eckstine » est sorti ! Cette version majeure de WordPress se concentre sur «la vitesse, la recherche et la sécurité», y compris plus de 1500 modifications apportées à l'interface de l'éditeur de blocs, plus de 150 améliorations et demandes de fonctionnalités, plus de 300 corrections de bogues, et plus encore. Découvrez les nouveautés de WordPress 5.5.
Vulnérabilités du plugin WordPress
1. Membre ultime
Les versions Ultimate Member inférieures à 2.1.7 présentent une vulnérabilité de redirection ouverte non authentifiée.
2. Quiz et Survey Master
Les versions de Quiz et Survey Master inférieures à 7.0.1 présentent des vulnérabilités de suppression arbitraire de fichiers et de téléchargement arbitraire de fichiers.
3. Vendre des médias
Les versions de Sell Media inférieures à 2.4.2 présentent une vulnérabilité de script intersites reflété non authentifié.
4. WordPress fancyBox Lightbox
Les versions de WordPress fancyBox Lightbox inférieures à 1.0.2 ont une vulnérabilité de script inter-sites stocké authentifié.
5. WordPress Colorbox Lightbox
Les versions de WordPress Colorbox Lightbox inférieures à 1.1.3 présentent une vulnérabilité de script intersites stocké authentifié.
6. Vendre une photo
Toutes les versions de Sell Photo Authenticated Stored Cross-Site Scripting.
7. Lightbox réactif2
Les versions Responsive Lightbox2 inférieures à la 1.0.3 présentent une vulnérabilité de script intersites stocké authentifié.
8. Galerie NextGEN Vendre une photo
Toutes les versions de NextGEN Gallery Sell Photo ont une vulnérabilité Authenticated Stored Cross-Site Scripting.
9. Téléchargement facile des médias
Les versions d'Easy Media Download inférieures à 1.1.5 présentent une vulnérabilité de script inter-sites stocké authentifié.
10. Gestionnaire de liens internes
Toutes les versions d'Internal Links Manager présentent plusieurs vulnérabilités de scripts intersites stockés et authentifiés.
11. Témoignage élégant
Toutes les versions d'Elegant Testimonial présentent plusieurs vulnérabilités de scripts intersites stockés et authentifiés.
12. Cliquez en haut
Les versions Click to top ci-dessous 1.2.7 ont une vulnérabilité Authenticated Stored Cross-Site Scripting.
13. Avis des clients WP
Les versions de WP Customer Reviews inférieures à 3.4.3 présentent plusieurs vulnérabilités XSS stockées non authentifiées et authentifiées à faible privilège.
14. Règles de remise pour WooCommerce
Les règles de remise pour les versions WooCommerce inférieures à 2.1.0 présentent de multiples vulnérabilités.
15. Gestionnaire d'accès avancé
Les versions d'Advanced Access Manager inférieures à 6.6.2 présentent des vulnérabilités de contournement d'autorisation authentifiée et d'escalade de privilèges.
16. WooCommerce - NAB Transaction
WooCommerce - Les versions NAB Transact inférieures à 2.1.2 ont une vulnérabilité de contournement de paiement.
17. Formes Kali
Les versions de Kali Forms inférieures à 2.1.2 présentent de multiples vulnérabilités.
18. RSVP Maker
Les versions de RSVPMaker inférieures à 7.8.2 présentent une vulnérabilité d'injection SQL non authentifiée.
19. Optimisation automatique
Les versions Autoptimize inférieures à 2.7.7 présentent une vulnérabilité de téléchargement de fichier arbitraire authentifié.
Vulnérabilités du thème WordPress
1. NourritureBoulangerie
Les versions 1.9 et inférieures de FoodBakery ont une vulnérabilité XSS réfléchie non authentifiée.
2. Konzept
Les versions de Konzept inférieures à 2.5 ont une vulnérabilité XSS réfléchie non authentifiée.
3. Nova Lite
Les versions de Nova Lite inférieures à 1.3.9 présentent une vulnérabilité de script inter-sites réfléchi non authentifié.
4. Maison Villas
Toutes les versions de Home Villas présentent de multiples vulnérabilités de scripts intersites.
5. Magazine Géo
Toutes les versions de Geo Magazine ont une vulnérabilité XSS réfléchie non authentifiée.
Protégez WordPress avec l'analyse de site de sécurité iThemes
Saviez-vous que 60 % des violations de sites Web impliquent des vulnérabilités pour lesquelles un correctif était disponible mais non appliqué ? Cela signifie qu'avoir un logiciel avec des vulnérabilités connues installé sur votre site donne aux pirates les plans dont ils ont besoin pour prendre le contrôle de votre site.
Chaque jour, il devient de plus en plus difficile de garder une trace de chaque vulnérabilité WordPress divulguée . Vous devez comparer cette liste aux versions des plugins et des thèmes que vous avez installés sur votre site… et vous assurer que vous êtes constamment mis à jour.
Pour résoudre ce problème, nous sommes ravis d'annoncer aujourd'hui que le plugin iThemes Security Pro déploie un meilleur moyen de protéger vos sites contre les vulnérabilités logicielles , le principal coupable des sites WordPress piratés et compromis.
La nouvelle analyse améliorée du site de sécurité WordPress optimisée par iThemes effectue des vérifications automatiques des vulnérabilités connues du site Web et, si un correctif est disponible, iThemes Security Pro appliquera désormais automatiquement le correctif pour vous… afin que vous n'ayez pas à le faire. Ouf. c'est une certaine tranquillité d'esprit.
Un plugin de sécurité WordPress peut aider à sécuriser votre site Web
iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application stricte des mots de passe et plus encore, vous pouvez ajouter une couche de sécurité supplémentaire à votre site Web.
Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.
