Webmaster

WordPress : une vulnérabilité XSS affecte de nombreux plugins

En raison d’une faille Cross-Site Scripting (XSS), de nombreux plugins WordPress sont vulnérables. Une mise à jour s’impose.

En raison d’un manque de documentation au sein du Codex et d’une utilisation non appropriée de la part des développeurs des fonctions add_query_arg() et remove_query_arg() visant à filtrer les informations saisies par les utilisateurs de WordPress, de nombreux plugins WordPress sont vulnérables à une faille Cross-Site Scripting (XSS).

Certains plugins concernés par cette faille sont très populaires. Il s’agit par exemple de :

· Jetpack
· WordPress SEO
· Google Analytics de Yoast
· All In one SEO
· Gravity Forms
· Plusieurs plugins d’Easy Digital Downloads
· UpdraftPlus
· WP-E-Commerce
· WPTouch
· Download Monitor
· Related Posts for WordPress
· My Calendar
· P3 Profiler
· Give
· Plusieurs iThemes incluant Builder et Exchange
· Broken-Link-Checker
· Ninja Forms

Cette liste n’est pas exhaustive, d’autres plugins sont certainement également concernés.

La première attitude à avoir en ce moment, en tant qu’administrateur WordPress, et de se rendre sur le tableau de bord et de tout mettre à jour aussi vite que possible. De nombreuses mises à jour sont en effet d’ores et déjà disponibles pour corriger cette vulnérabilité.

Au cas où la mise à jour automatisée est activée, pas de soucis, le travail de patchage va se faire tout seul.

Il faut aussi s’assurer d’utiliser correctement les fonctions add_query_arg et remove_query_arg . L’équipe WordPress fournit plus de directives sur la façon de les utiliser.

Pour finir, voici quelques conseils qui vous seront peut-être utiles :

· Garder vos sites mis à jour.
· Restreindre l’accès au répertoire wp-admin à seulement certaines adresses IP répertoriées. Ne pas donner d’accès administrateur aux utilisateurs qui n’en ont pas vraiment besoin.
· Surveiller vos journaux.
· N’utiliser que les plugins (ou thèmes) que votre site utilise réellement pour fonctionner.
· Mieux vaut analyser votre site pour connaitre les risques. Le plugin SiteCheck peut le faire gratuitement pour vous.
· Des systèmes de prévention d’intrusions (IPS) ou Web Application Firewall (WAF) peuvent contribuer à bloquer formes les plus courantes d’exploits XSS.

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Do NOT follow this link or you will be banned from the site!

Adblock détecté

S'il vous plaît envisager de nous soutenir en désactivant votre bloqueur de publicité