Rapport de vulnérabilité WordPress : janvier 2022, partie 1
Publié: 2022-01-06Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress. Nouveau dans ce rapport : les vulnérabilités sont désormais classées par nombre d'installations actives, plutôt que par date de divulgation.
Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde !
Récapitulatif du rapport sur les vulnérabilités de WordPress 2021 : 1 263 vulnérabilités divulguées ; 98 % de plugins
- En 2021, un total de 1 263 vulnérabilités de plugins et de thèmes ont été divulguées. Les vulnérabilités des plugins WordPress représentaient 98 % de toutes les vulnérabilités signalées.
- Septembre 2021 a vu le plus grand nombre de vulnérabilités signalées, avec un total de 323 vulnérabilités divulguées au cours de ce seul mois.
- Les types de vulnérabilités de plug-in les plus courants divulgués en 2021 étaient les scripts intersites (XSS) et les injections SQL. La plupart des auteurs de plugins ont publié des correctifs, tandis que certains plugins restent encore fermés.
- En raison de l'augmentation des divulgations de vulnérabilités, nous avons changé la fréquence du rapport de vulnérabilité à une fois par semaine, plutôt que deux fois par mois.
- Grâce à vos commentaires, nous avons également commencé à répertorier les divulgations de plugins dans l'ordre ou les installations actives. Nous avons également commencé à regrouper les plugins par gratuits et pro, avec une section distincte pour les plugins fermés et les plugins sans correctif connu.
Vulnérabilités du cœur de WordPress
La dernière version du noyau WordPress est la 5.8.2. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !
Vulnérabilités des plugins WordPress
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, les installations actives, le numéro de version si corrigé et l'indice de gravité.
1. AscendancePlus
Plugin : UpdraftPlus
Vulnérabilité : Reflected Cross-Site Scripting
Installation active : 3+ millions
Patché dans la version : 1.16.569
Niveau de gravité : Élevé
Plugin : UpdraftPlus
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Installation active : 3+ millions
Patché dans la version : 1.6.59
Niveau de gravité : Faible
Plugin : UpdraftPlus
Vulnérabilité : Admin+ Local File Inclusion
Installation active : 3+ millions
Patché dans la version : 1.16.59
Niveau de gravité : Moyen
2. Convertisseur WebP pour les médias
Plugin : Convertisseur WebP pour les médias
Vulnérabilité : Redirection ouverte non authentifiée
Installations actives : 100 000+
Patché dans la version : 4.0.3
Niveau de gravité : Moyen
3. WOOF – Filtre de produits pour WooCommerce
Plugin : WOOF - Filtre de produits pour WooCommerce
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 100 000+
Patché dans la version : 1.2.6.3
Niveau de gravité : Élevé
4. LearnPress
Plugin : LearnPress
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Installations actives : 100 000+
Patché dans la version : 4.1.3.2
Niveau de gravité : Moyen
5. Clonage de page de publication WP
Plugin : WP Post Page Clone
Vulnérabilité : Accès non autorisé à la publication
Installations actives : 80 000+
Patché dans la version : 1.2
Niveau de gravité : Moyen
6. Types de fichiers supplémentaires WP
Plug-in : Types de fichiers supplémentaires WP
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Installations actives : 50 000+
Patché dans la version : 0.5.1
Niveau de gravité : Élevé
7. Tuteur LMS
Plugin : Tutor LMS
Vulnérabilité : Subscriber+ Stored Cross-Site Scripting
Installations actives : 40 000+
Patché dans la version : 1.9.12
Niveau de gravité : Élevé
Plugin : Tutor LMS
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 40 000+
Patché dans la version : 1.9.12
Niveau de gravité : Élevé
8. Tableau de bord personnalisé et page de connexion
Plugin : Tableau de bord personnalisé et page de connexion
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Installations actives : 40 000+
Patché dans la version : 7.0
Niveau de gravité : Moyen
9. FAQ ultime
Plugin : FAQ ultime
Vulnérabilité : Création de FAQ arbitraire par Subscriber+
Installations actives : 30 000+
Patché dans la version : 2.1.2
Niveau de gravité : Moyen
10. Interface utilisateur WP
Plugin : Interface utilisateur WP
Vulnérabilité : SQL Injection to Reflected Cross-Site Scripting
Installations actives : 30 000+
Patché dans la version : 3.5.26
Niveau de gravité : Élevé
11. myCred
Plugin : myCred
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 20 000+
Patché dans la version : 2.4
Niveau de gravité : Élevé
12. Effets de survol d'image ultimes
Plugin : effets de survol d'image ultimes
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 20 000+
Patché dans la version : 9.7.1
Niveau de gravité : Élevé
13. Québec
Plugin : Qubely
Vulnérabilité : Création de FAQ arbitraire par Subscriber+
Installations actives : 10 000+
Patché dans la version : 1.7.8
Niveau de gravité : Moyen
14. Magie d'inscription
Plugin : Magie d'enregistrement
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 10 000+
Patché dans la version : 5.0.1.9
Niveau de gravité : Élevé
15. Suivi des commandes pour WooCommerce
Plugin : Suivi des commandes pour WooCommerce
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 10 000+
Patché dans la version : 1.1.10
Niveau de gravité : Élevé
16. Bibliothèque de liens
Plugin : bibliothèque de liens
Vulnérabilité : Reflected Cross-Site Scripting
Installations actives : 10 000+
Patché dans la version : 7.2.8
Niveau de gravité : Moyen
Plugin : bibliothèque de liens
Vulnérabilité : Library Settings Reset via CSRF
Installations actives : 10 000+
Patché dans la version : 7.2.8
Niveau de gravité : Moyen
Plugin : bibliothèque de liens
Vulnérabilité : Suppression de liens arbitraires non authentifiés
Installations actives : 10 000+
Patché dans la version : 7.2.8
Niveau de gravité : Moyen
17. Compagnon AF
Plug-in : Compagnon AF
Vulnérabilité : Installation et activation arbitraires de plugins via CSRF
Installations actives : 9 000+
Patché dans la version : 1.2.0
Niveau de gravité : Élevé
18. Widget de liste d'auteurs KNR
Plugin : widget de liste d'auteurs KNR
Vulnérabilité : Injection SQL non authentifiée
Installations actives : 200+
Patché dans la version : 3.0.0
Niveau de gravité : Critique
19. Informations sur l'utilisateur du cookie WP
Plugin : Informations utilisateur sur les cookies WP
Vulnérabilité : Admin+ SQL Injection
Installations actives : 200+
Patché dans la version : 1.0.9
Niveau de gravité : Moyen
Vulnérabilités du plugin WordPress : Plugin fermé
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées dans les plugins fermés. Chaque liste de plug-ins comprend le type de vulnérabilité, la cote de gravité et la date de fermeture.
20. Outils de laboratoire
Plugin : LabTools
Vulnérabilité : Subscriber+ Arbitrary Publication Deletion
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Moyen
21. Vérification de domaine
Plugin : vérification de domaine
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
22. Visionneuse du journal des erreurs
Plug-in : visionneuse du journal des erreurs
Vulnérabilité : Suppression arbitraire de fichiers texte via CSRF
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Faible
23. WP a visité les pays rechargés
Plugin : WP Visited Countries Reloaded
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.1.1- plugin fermé
Niveau de gravité : Élevé
24. Cours d'apprentissage
Plugin : Cours d'apprentissage
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 5.0 – plugin fermé
Niveau de gravité : Faible
25. Enquête parfaite
Plugin : Enquête parfaite
Vulnérabilité : Appel AJAX non autorisé vers XSS stocké / Mise à jour des paramètres d'enquête
Patché dans la version : 1.5.2 – plugin fermé
Niveau de gravité : Élevé
Plugin : Enquête parfaite
Vulnérabilité : Appel AJAX non autorisé vers XSS stocké / Mise à jour des paramètres d'enquête
Patché dans la version : 1.5.2 – plugin fermé
Niveau de gravité : Élevé
Plugin : Enquête parfaite
Vulnérabilité : Injection SQL non authentifiée
Patché dans la version : 1.5.2 – plugin fermé
Niveau de gravité : Élevé
Plugin : Enquête parfaite
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.5.2 – plugin fermé
Niveau de gravité : Élevé
Plugin : Enquête parfaite
Vulnérabilité : Script intersite stocké non authentifié
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
Vulnérabilités du plugin WordPress : aucun correctif connu
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées dans les plugins fermés. Chaque liste de plug-ins comprend le type de vulnérabilité, la cote de gravité et la date de fermeture.
26. Médiamatique
Plugin : Mediamatic
Vulnérabilité : Subscriber+ SQL Injection
Installations actives : 3 000+
Patché dans la version : Pas de correctif connu
Niveau de gravité : Élevé
Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables
Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.
1. Installez le plug-in iThemes Security Pro
Le plugin iThemes Security Pro renforce votre site WordPress contre les moyens les plus courants de piratage des sites Web. Avec plus de 30 façons de sécuriser votre site dans un plugin facile à utiliser.
2. Activer l'analyse du site pour rechercher les vulnérabilités connues
La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.
3. Activer la détection de changement de fichier
La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.
Obtenez iThemes Security Pro avec surveillance de la sécurité des sites Web 24h/24 et 7j/7
iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.
