SEO

WordPress : une vulnérabilité XSS affecte de nombreux plugins

Hicham EL ALAOUI
Rédigé par Hicham EL ALAOUI

En raison d’une faille Cross-Site Scripting (XSS), de nombreux plugins WordPress sont vulnérables. Une mise à jour s’impose.

En raison d’un manque de documentation au sein du Codex et d’une utilisation non appropriée de la part des développeurs des fonctions add_query_arg() et remove_query_arg() visant à filtrer les informations saisies par les utilisateurs de WordPress, de nombreux plugins WordPress sont vulnérables à une faille Cross-Site Scripting (XSS).

Certains plugins concernés par cette faille sont très populaires. Il s’agit par exemple de :

· Jetpack
· WordPress SEO
· Google Analytics de Yoast
· All In one SEO
· Gravity Forms
· Plusieurs plugins d’Easy Digital Downloads
· UpdraftPlus
· WP-E-Commerce
· WPTouch
· Download Monitor
· Related Posts for WordPress
· My Calendar
· P3 Profiler
· Give
· Plusieurs iThemes incluant Builder et Exchange
· Broken-Link-Checker
· Ninja Forms

Cette liste n’est pas exhaustive, d’autres plugins sont certainement également concernés.

La première attitude à avoir en ce moment, en tant qu’administrateur WordPress, et de se rendre sur le tableau de bord et de tout mettre à jour aussi vite que possible. De nombreuses mises à jour sont en effet d’ores et déjà disponibles pour corriger cette vulnérabilité.

Au cas où la mise à jour automatisée est activée, pas de soucis, le travail de patchage va se faire tout seul.

Il faut aussi s’assurer d’utiliser correctement les fonctions add_query_arg et remove_query_arg . L’équipe WordPress fournit plus de directives sur la façon de les utiliser.

Pour finir, voici quelques conseils qui vous seront peut-être utiles :

· Garder vos sites mis à jour.
· Restreindre l’accès au répertoire wp-admin à seulement certaines adresses IP répertoriées. Ne pas donner d’accès administrateur aux utilisateurs qui n’en ont pas vraiment besoin.
· Surveiller vos journaux.
· N’utiliser que les plugins (ou thèmes) que votre site utilise réellement pour fonctionner.
· Mieux vaut analyser votre site pour connaitre les risques. Le plugin SiteCheck peut le faire gratuitement pour vous.
· Des systèmes de prévention d’intrusions (IPS) ou Web Application Firewall (WAF) peuvent contribuer à bloquer formes les plus courantes d’exploits XSS.

Articles recommandés :
  1. WordPress : l’exploitation d’une faille contribue au blacklistage de 11 000 domaines
  2. WordPress : il faut passer immédiatement à la dernière version !
  3. WordPress fête son 7e anniversaire !
  4. Qu’est-ce que WordPress ?
TAGGED :
Laisser un commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les meilleurs VPN

Article récents

Cartes conceptuelles vertes de FC 25 mettant en avant un design inspiré de l'ADN, utilisées pour les modes de jeu innovants comme le Mode Rush.
Comprendre l’avenir du gaming dans l’univers du E-sport
Jeux
Les trois applications les plus efficaces pour l’espionnage sur WhatsApp
Les trois meilleures applications pour surveiller WhatsApp
Astuces & conseils
WhatsApp : numéros à éviter pour ne pas tomber dans le piège des arnaques
Fraudes WhatsApp : les numéros qu’il ne faut jamais rappeler
Astuces & conseils
Amazon, Apple, Google ou Meta : quelle entreprise génère un million de dollars en un temps record ?
Comment Google, Amazon, Apple et Meta génèrent des millions en secondes
Actualités