SEO

WordPress : une vulnérabilité XSS affecte de nombreux plugins

Hicham EL ALAOUI
Rédigé par
Hicham EL ALAOUI
cropped hicham alaoui.webp
Rédigé parHicham EL ALAOUI
Hicham EL ALAOUI, le fondateur de Linformatique.org, est un expert et un passionné du monde de l'informatique sous toutes ses formes. Sa maîtrise s'étend au-delà des...
Suivre :

En raison d’une faille Cross-Site Scripting (XSS), de nombreux plugins WordPress sont vulnérables. Une mise à jour s’impose.

En raison d’un manque de documentation au sein du Codex et d’une utilisation non appropriée de la part des développeurs des fonctions add_query_arg() et remove_query_arg() visant à filtrer les informations saisies par les utilisateurs de WordPress, de nombreux plugins WordPress sont vulnérables à une faille Cross-Site Scripting (XSS).

Certains plugins concernés par cette faille sont très populaires. Il s’agit par exemple de :

· Jetpack
· WordPress SEO
· Google Analytics de Yoast
· All In one SEO
· Gravity Forms
· Plusieurs plugins d’Easy Digital Downloads
· UpdraftPlus
· WP-E-Commerce
· WPTouch
· Download Monitor
· Related Posts for WordPress
· My Calendar
· P3 Profiler
· Give
· Plusieurs iThemes incluant Builder et Exchange
· Broken-Link-Checker
· Ninja Forms

Cette liste n’est pas exhaustive, d’autres plugins sont certainement également concernés.

La première attitude à avoir en ce moment, en tant qu’administrateur WordPress, et de se rendre sur le tableau de bord et de tout mettre à jour aussi vite que possible. De nombreuses mises à jour sont en effet d’ores et déjà disponibles pour corriger cette vulnérabilité.

Au cas où la mise à jour automatisée est activée, pas de soucis, le travail de patchage va se faire tout seul.

Il faut aussi s’assurer d’utiliser correctement les fonctions add_query_arg et remove_query_arg . L’équipe WordPress fournit plus de directives sur la façon de les utiliser.

Pour finir, voici quelques conseils qui vous seront peut-être utiles :

· Garder vos sites mis à jour.
· Restreindre l’accès au répertoire wp-admin à seulement certaines adresses IP répertoriées. Ne pas donner d’accès administrateur aux utilisateurs qui n’en ont pas vraiment besoin.
· Surveiller vos journaux.
· N’utiliser que les plugins (ou thèmes) que votre site utilise réellement pour fonctionner.
· Mieux vaut analyser votre site pour connaitre les risques. Le plugin SiteCheck peut le faire gratuitement pour vous.
· Des systèmes de prévention d’intrusions (IPS) ou Web Application Firewall (WAF) peuvent contribuer à bloquer formes les plus courantes d’exploits XSS.

À lire aussi sur linformatique.org :
  1. WordPress : il faut passer immédiatement à la dernière version !
  2. Qu’est-ce que WordPress ?
  3. Les 5 meilleures agences de développement WordPress en France en 2024
Suivez linformatique.org sur Google Actualités pour rester informé chaque jour de l’essentiel du numérique, de l’innovation et des enjeux technologiques.
TAGGED :
Article précédent #spacegeo : la NASA lance un quizz géographique avec un astronaute
Article suivant Google : comment récupérer son compte Gmail ?
Aucun commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Windows 11 Pro à vie, au prix d’un café

Microsoft Windows 11
Licence à vie
⭐⭐⭐⭐⭐
Windows 11, plus rapide, plus sûr, plus fluide. Copilot est intégré pour une expérience intuitive.
199,00 $14.97 $
Obtenir cette offre

Articles récents

Smartphone Xiaomi Redmi A3 noir affiché de face et de dos, écran allumé
Xiaomi Redmi A3 : un smartphone pas cher qui remplit l’essentiel
Actualités
Gros plan sur l’iPhone 17 Pro en finition bleu ciel, montrant son nouveau bloc caméra rectangulaire à trois objectifs.
iPhone 17 Pro : douze nouveautés pour une montée en gamme en douceur
Actualités
Alignement des systèmes Apple sous iOS 26, avec plusieurs modèles d’iPhone affichés à gauche de la liste des OS.
Pourquoi Apple saute d’iOS 18 à iOS 26
Actualités
Trois iPads montrant les nouvelles fonctions multitâches et interface d’iPadOS 26
L’iPad peut-il vraiment remplacer votre ordinateur portable ?
Culture numérique