En raison d’une faille Cross-Site Scripting (XSS), de nombreux plugins WordPress sont vulnérables. Une mise à jour s’impose.
En raison d’un manque de documentation au sein du Codex et d’une utilisation non appropriée de la part des développeurs des fonctions add_query_arg() et remove_query_arg() visant à filtrer les informations saisies par les utilisateurs de WordPress, de nombreux plugins WordPress sont vulnérables à une faille Cross-Site Scripting (XSS).
Certains plugins concernés par cette faille sont très populaires. Il s’agit par exemple de :
· Jetpack
· WordPress SEO
· Google Analytics de Yoast
· All In one SEO
· Gravity Forms
· Plusieurs plugins d’Easy Digital Downloads
· UpdraftPlus
· WP-E-Commerce
· WPTouch
· Download Monitor
· Related Posts for WordPress
· My Calendar
· P3 Profiler
· Give
· Plusieurs iThemes incluant Builder et Exchange
· Broken-Link-Checker
· Ninja Forms
Cette liste n’est pas exhaustive, d’autres plugins sont certainement également concernés.
La première attitude à avoir en ce moment, en tant qu’administrateur WordPress, et de se rendre sur le tableau de bord et de tout mettre à jour aussi vite que possible. De nombreuses mises à jour sont en effet d’ores et déjà disponibles pour corriger cette vulnérabilité.
Au cas où la mise à jour automatisée est activée, pas de soucis, le travail de patchage va se faire tout seul.
Il faut aussi s’assurer d’utiliser correctement les fonctions add_query_arg et remove_query_arg . L’équipe WordPress fournit plus de directives sur la façon de les utiliser.
Pour finir, voici quelques conseils qui vous seront peut-être utiles :
· Garder vos sites mis à jour.
· Restreindre l’accès au répertoire wp-admin à seulement certaines adresses IP répertoriées. Ne pas donner d’accès administrateur aux utilisateurs qui n’en ont pas vraiment besoin.
· Surveiller vos journaux.
· N’utiliser que les plugins (ou thèmes) que votre site utilise réellement pour fonctionner.
· Mieux vaut analyser votre site pour connaitre les risques. Le plugin SiteCheck peut le faire gratuitement pour vous.
· Des systèmes de prévention d’intrusions (IPS) ou Web Application Firewall (WAF) peuvent contribuer à bloquer formes les plus courantes d’exploits XSS.
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.