Rapport de vulnérabilité WordPress : décembre 2021, partie 5
Publié: 2021-12-29Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. Nouveau dans ce rapport : les vulnérabilités sont désormais classées par nombre d'installations actives, plutôt que par date de divulgation.
Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde !
Vulnérabilités du cœur de WordPress
La dernière version du noyau WordPress est la 5.8.2. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !
Vulnérabilités des plugins WordPress
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, les installations actives, le numéro de version si corrigé et l'indice de gravité.
1. Module complémentaire de base de données du formulaire de contact 7
Plugin : module complémentaire de base de données du formulaire de contact 7
Vulnérabilité : Script intersite stocké non authentifié
Installations actives : 400 000+
Patché dans la version : 1.2.6.2
Niveau de gravité : Moyen
Plugin : module complémentaire de base de données du formulaire de contact 7
Vulnérabilité : Suppression de formulaire arbitraire via CSRF
Installations actives : 400 000+
Patché dans la version : 1.2.6.2
Niveau de gravité : Moyen
2. Formulaires faciles pour Mailchimp
Plugin : Formulaires faciles pour Mailchimp
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 100 000+
Patché dans la version : 6.8.6
Niveau de gravité : Moyen
3. Relevanssi – Une meilleure recherche
Plugin : Relevanssi – Une meilleure recherche
Vulnérabilité : Script intersite stocké non authentifié
Installations actives : 100 000+
Patché dans la version : 4.14.3
Niveau de gravité : Élevé
4. Newsletter, SMTP, e-mail marketing et formulaires d'abonnement par Sendinblue
Plugin : newsletter, SMTP, e-mail marketing et formulaires d'abonnement par Sendinblue
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 90 000+
Patché dans la version : 3.1.25
Niveau de gravité : Élevé
5. Flux de produits PRO pour WooCommerce
Plugin : Product Feed PRO pour WooCommerce
Vulnérabilité : Mise à jour des paramètres de l'abonné + vers le XSS stocké
Installations actives : 80 000+
Patché dans la version : 11.0.7
Niveau de gravité : Élevé
6. Grille de publication
Plugin : Grille de publication
Vulnérabilité : Contributor+ SQL Injection
Installations actives : 60 000+
Patché dans la version : 2.1.13
Niveau de gravité : Moyen
7. Entrées du formulaire de contact
Plugin : Entrées du formulaire de contact
Vulnérabilité : Script intersite stocké non authentifié
Installations actives : 40 000+
Patché dans la version : 1.2.4
Niveau de gravité : Élevé
8. Billets d'événement
Plugin : Billets d'événement
Vulnérabilité : Open Redirect
Installations actives : 40 000+
Patché dans la version : 5.2.2
Niveau de gravité : Moyen
9. Champs personnalisés avancés : étendus
Plugin : Champs personnalisés avancés : étendus
Vulnérabilité : Admin+ SQL Injection
Installations actives : 40 000+
Patché dans la version : 0.8.8.7
Niveau de gravité : Moyen
10. Acceptez les dons avec PayPal
Plugin : Accepter les dons avec PayPal
Vulnérabilité : Arbitrary Post Deletion via CSRF
Installations actives : 30 000+
Patché dans la version : 1.3.4
Niveau de gravité : Élevé
11. Champ de la galerie de photos ACF
Plugin : Champ de la galerie de photos ACF
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 30 000+
Patché dans la version : 1.7.5
Niveau de gravité : Moyen
12. Moniteur de téléchargement simple
Plugin : moniteur de téléchargement simple
Vulnérabilité : Multiple CSRF
Installations actives : 30 000+
Patché dans la version : 3.9.11
Niveau de gravité : Moyen
13. Protégez WP Admin
Plugin : Protéger WP Admin
Vulnérabilité : Désactivation du plugin non authentifié
Installations actives : 30 000+
Patché dans la version : 3.6.2
Niveau de gravité : Moyen
14. Sauvegarde et mise en scène par WP Time Capsule
Plugin : Sauvegarde et mise en scène par WP Time Capsule
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 20 000+
Patché dans la version : 1.22.7
Niveau de gravité : Élevé
15. Calendrier des événements
Plugin : Calendrier des événements
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 20 000+
Patché dans la version : 1.1.51
Niveau de gravité : Élevé
Plugin : Calendrier des événements
Vulnérabilité : Subscriber+ Event Creation
Installations actives : 20 000+
Patché dans la version : 1.1.51
Niveau de gravité : Moyen
16. Réservations de restaurants cinq étoiles
Plugin : Réservations de restaurants cinq étoiles
Vulnérabilité : Subscriber+ Stored Cross-Site Scripting
Installations actives : 20 000+
Patché dans la version : 2.4.8
Niveau de gravité : Élevé
17. Forum d'Asgaros
Plugin : Forum Asgaros
Vulnérabilité : Admin+ SQL Injection via forum_id
Installations actives : 20 000+
Patché dans la version : 1.15.15
Niveau de gravité : Moyen
18. WP125
Plug-in : WP125
Vulnérabilité : Suppression arbitraire d'annonces via CSRF
Installations actives : 10 000+
Patché dans la version : 1.5.5
Niveau de gravité : Moyen
19. Gestionnaire des affiliés
Plugin : Gestionnaire d'affiliation
Vulnérabilité : Script intersite stocké non authentifié
Installations actives : 10 000+
Patché dans la version : 2.9.0
Niveau de gravité : Élevé
20. Outil de référencement intelligent
Plugin : outil de référencement intelligent
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 9 000+
Patché dans la version : 3.0.6
Niveau de gravité : Moyen
21. tarteaucitron.js – Législation Cookies & RGPD
Plugin : tarteaucitron.js – Législation Cookies & RGPD
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Installations actives : 7 000+
Patché dans la version : 1.6
Niveau de gravité : Moyen
Plugin : tarteaucitron.js – Législation Cookies & RGPD
Vulnérabilité : Admin + Stored Cross-Site Scripting
Installations actives : 7 000+
Patché dans la version : 1.6.1
Niveau de gravité : Faible
22. Booster de référencement
Plugin : Booster de référencement
Vulnérabilité : Admin+ SQL Injection
Installations actives : 4 000+
Patché dans la version : 3.8
Niveau de gravité : Moyen
23. Créateur de bannière Booking.com
Plugin : Créateur de bannières Booking.com
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Installations actives : 3 000+
Patché dans la version : 1.4.3
Niveau de gravité : Faible
24. Champs supplémentaires du profil
Plugin : champs supplémentaires de profil
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 2 000+
Patché dans la version : 1.2.4
Niveau de gravité : Élevé
25. Assistant produit de Booking.com
Plugin : Assistant de produit de Booking.com
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Installations actives : 2 000+
Patché dans la version : 1.0.2
Niveau de gravité : Faible
26. SEUR Officiel
Plugin : SEUR officiel
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Installations actives : 1 000+
Patché dans la version : 1.7.0
Niveau de gravité : Moyen
27. Intégration de la feuille de calcul
Plugin : intégration de feuille de calcul
Vulnérabilité : CSRF Bypass
Installations actives : 1 000+
Patché dans la version : 3.6.0
Niveau de gravité : Moyen
Plugin : intégration de feuille de calcul
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 1 000+
Patché dans la version : 3.6.0
Niveau de gravité : Élevé
28. Annonces d'affiliation ClickBank
Plugin : Annonces d'affiliation ClickBank
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Installations actives : 700+
Patché dans la version : 1.35
Niveau de gravité : Faible
Plugin : Annonces d'affiliation ClickBank
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Installations actives : 700+
Patché dans la version : 1.35
Niveau de gravité : Élevé
29. Stétique
Plugin : Stetic
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Installations actives : 300+
Patché dans la version : 1.0.9
Niveau de gravité : Élevé
30. Gestionnaire d'événements mobiles
Plugin : Gestionnaire d'événements mobiles
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Installations actives : 20+
Patché dans la version : 1.4.4
Niveau de gravité : Faible
Vulnérabilités du plugin WordPress : aucun correctif connu
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées dans les plugins fermés. Chaque liste de plug-ins comprend le type de vulnérabilité, la cote de gravité et la date de fermeture.
31. Tout commentaire
Plugin : AnyComment
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 4 000+
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen
Vulnérabilités du plugin WordPress : Plugin fermé
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées dans les plugins fermés. Chaque liste de plug-ins comprend le type de vulnérabilité, la cote de gravité et la date de fermeture.
32. Onglets
Plug-in : onglets
Vulnérabilité : Mise à jour de l'option arbitraire non authentifiée
Patché dans la version : 3.6.0 – plugin fermé
Niveau de gravité : Critique
33. Ajouts de codes courts
Plugin : Addons de code court
Vulnérabilité : Mise à jour de l'option arbitraire non authentifiée
Patché dans la version : 3.1.0 – plugin fermé
Niveau de gravité : Critique
Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables
Comme vous pouvez le voir dans le rapport hebdomadaire sur les vulnérabilités de WordPress, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.
1. Installez le plug-in iThemes Security Pro
Le plugin iThemes Security Pro renforce votre site WordPress contre les moyens les plus courants de piratage des sites Web. Avec plus de 30 façons de sécuriser votre site dans un plugin facile à utiliser.
2. Activer l'analyse du site pour rechercher les vulnérabilités connues
La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.
3. Activer la détection de changement de fichier
La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.
Obtenez iThemes Security Pro avec analyse de site
iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.
