WordPress : une vulnérabilité XSS affecte de nombreux plugins

En raison d’une faille Cross-Site Scripting (XSS), de nombreux plugins WordPress sont vulnérables. Une mise à jour s’impose.

En raison d’un manque de documentation au sein du Codex et d’une utilisation non appropriée de la part des développeurs des fonctions add_query_arg() et remove_query_arg() visant à filtrer les informations saisies par les utilisateurs de WordPress, de nombreux plugins WordPress sont vulnérables à une faille Cross-Site Scripting (XSS).

Certains plugins concernés par cette faille sont très populaires. Il s’agit par exemple de :

· Jetpack
· WordPress SEO
· Google Analytics de Yoast
· All In one SEO
· Gravity Forms
· Plusieurs plugins d’Easy Digital Downloads
· UpdraftPlus
· WP-E-Commerce
· WPTouch
· Download Monitor
· Related Posts for WordPress
· My Calendar
· P3 Profiler
· Give
· Plusieurs iThemes incluant Builder et Exchange
· Broken-Link-Checker
· Ninja Forms

Cette liste n’est pas exhaustive, d’autres plugins sont certainement également concernés.

La première attitude à avoir en ce moment, en tant qu’administrateur WordPress, et de se rendre sur le tableau de bord et de tout mettre à jour aussi vite que possible. De nombreuses mises à jour sont en effet d’ores et déjà disponibles pour corriger cette vulnérabilité.

Au cas où la mise à jour automatisée est activée, pas de soucis, le travail de patchage va se faire tout seul.

Il faut aussi s’assurer d’utiliser correctement les fonctions add_query_arg et remove_query_arg . L’équipe WordPress fournit plus de directives sur la façon de les utiliser.

Pour finir, voici quelques conseils qui vous seront peut-être utiles :

· Garder vos sites mis à jour.
· Restreindre l’accès au répertoire wp-admin à seulement certaines adresses IP répertoriées. Ne pas donner d’accès administrateur aux utilisateurs qui n’en ont pas vraiment besoin.
· Surveiller vos journaux.
· N’utiliser que les plugins (ou thèmes) que votre site utilise réellement pour fonctionner.
· Mieux vaut analyser votre site pour connaitre les risques. Le plugin SiteCheck peut le faire gratuitement pour vous.
· Des systèmes de prévention d’intrusions (IPS) ou Web Application Firewall (WAF) peuvent contribuer à bloquer formes les plus courantes d’exploits XSS.

Tags

Articles similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Fermer

Adblock détecté

S'il vous plaît envisager de nous soutenir en désactivant votre bloqueur de publicité