Rapport de vulnérabilité WordPress : décembre 2021, partie 4
Publié: 2022-01-06Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. Nouveau dans ce rapport : les vulnérabilités sont désormais classées par nombre d'installations actives, plutôt que par date de divulgation.
Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.
Vulnérabilités du cœur de WordPress
La dernière version du noyau WordPress est la 5.8.2. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !
Vulnérabilités des plugins WordPress
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, les installations actives, le numéro de version si corrigé et l'indice de gravité.
1. Référencement tout en un
Plugin : SEO tout-en-un
Vulnérabilité : Injection SQL authentifiée
Installation active : 3+ millions
Patché dans la version : 4.1.5.3
Niveau de gravité : Élevé
Plugin : SEO tout-en-un
Vulnérabilité : Authenticated Privilege Escalation
Installation active : 3+ millions
Patché dans la version : 4.1.5.3
Niveau de gravité : Critique
2. Flux de publication sociale Smash Balloon
Plugin : Smash Balloon Social Post Feed
Vulnérabilité : Authenticated Reflected Cross-Site Scripting (XSS)
Installations actives : 200 000+
Patché dans la version : 4.1.1
Niveau de gravité : Moyen
3. Calendrier des événements modernes Lite
Plugin : Calendrier des événements modernes Lite
Vulnérabilité : Subscriber+ Category Add Leading to Stored XSS
Installations actives : 100 000+
Patché dans la version : 6.2.0
Niveau de gravité : Moyen
4. WOOCS
Plugin : WOOCS
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 60 000+
Patché dans la version : 1.3.7.3
Niveau de gravité : Élevé
5. Chat en direct clair
Plugin : chat en direct clair
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Installations actives : 60 000+
Patché dans la version : 0.32
Niveau de gravité : Élevé
6. Effets de survol d'image ultimes
Plugin : effets de survol d'image ultimes
Vulnérabilité : Mise à jour de l'option arbitraire non authentifiée
Installations actives : 20 000+
Patché dans la version : 9.7.0
Niveau de gravité : Critique
7. Système de réservation WP - Calendrier de réservation
Plugin : Système de réservation WP - Calendrier de réservation
Vulnérabilité : Authenticated Reflected Cross-Site Scripting (XSS)
Installations actives : 10 000+
Patché dans la version : 2.0.15
Niveau de gravité : Moyen
8. Générateur de pages de destination
Plugin : Générateur de page de destination
Vulnérabilité : Authenticated Reflected Cross-Site Scripting (XSS)
Installations actives : 10 000+
Patché dans la version : 1.4.9.6
Niveau de gravité : Moyen
9. Fathom Analytique
Plug-in : Fathom Analytics
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Installations actives : 2000+
Patché dans la version : 3.0.5
Niveau de gravité : Faible
10. Vrai classement
Plugin : True Ranker
Vulnérabilité : Accès à un fichier arbitraire non authentifié via la traversée de chemin
Installations actives : 200+
Patché dans la version : 2.2.4
Niveau de gravité : Faible
Vulnérabilités du plugin WordPress : Plugin fermé
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées dans les plugins fermés. Chaque liste de plug-ins comprend le type de vulnérabilité, la cote de gravité et la date de fermeture.
11. Moteur de commentaires Pro
Plugin : Comment Engine Pro
Vulnérabilité : Editor+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Faible
12. Redirection .htaccess
Plugin : redirection .htaccess
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
13. Passerelle Parsian Bank pour Woocommerce
Plugin : Parsian Bank Gateway pour Woocommerce
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
14. Vrai WYSIWYG
Plugin : Véritable WYSIWYG
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
15. Gestionnaire de liste de liens
Plugin : gestionnaire de liste de liens
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
16. Galerie d'images simples
Plugin : Galerie d'images simples
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
17. EnvioPack WooCommerce
Plugin : WooCommerce EnvioPack
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
18. Voix de poste magique
Plug-in : Magic Post Voice
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
19. Éditeur CSS H5P
Plugin : Éditeur CSS H5P
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
20. duoFAQ
Plugin : duoFAQ
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
21. Voix de poste magique
Plug-in : Magic Post Voice
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
22. Passerelle de paiement WooCommerce myghpay
Plugin : Passerelle de paiement myghpay WooCommerce
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
Vulnérabilités du plugin Premium
Dans cette section, les dernières vulnérabilités du plugin WordPress premium ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.
23. Les compléments Plus pour Elementor Pro
Plugin : Les Plus Addons pour Elementor – Pro
Vulnérabilité : Divulgation de données sensibles
Patché dans la version : 5.0.7
Niveau de gravité : Moyen
Plugin : Les Plus Addons pour Elementor – Pro
Vulnérabilité : Injection SQL non authentifiée
Patché dans la version : 5.0.7
Niveau de gravité : Moyen
24. Lets Box
Plug-in : Lets Box
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.13.3
Niveau de gravité : Moyen
25. Partager un lecteur
Plug-in : Partager un lecteur
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.15.3
Niveau de gravité : Moyen
26. Hors de la boîte
Plug-in : prêt à l'emploi
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.20.3
Niveau de gravité : Moyen
27. Utilisez votre lecteur
Plugin : utilisez votre lecteur
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.18.3
Niveau de gravité : Moyen
Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables
Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.
1. Installez le plug-in iThemes Security Pro
Le plugin iThemes Security Pro renforce votre site WordPress contre les moyens les plus courants de piratage des sites Web. Avec plus de 30 façons de sécuriser votre site dans un plugin facile à utiliser.
2. Activer l'analyse du site pour rechercher les vulnérabilités connues
La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.
3. Activer la détection de changement de fichier
La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.
Obtenez iThemes Security Pro avec surveillance de la sécurité des sites Web 24h/24 et 7j/7
iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.
