Rapport de vulnérabilité WordPress : novembre 2021, partie 2
Publié: 2021-11-10Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress.
Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.
Vulnérabilités du cœur de WordPress
La dernière version du noyau WordPress est la 5.8.1. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !
Vulnérabilités des plugins WordPress
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.
1. Galerie du concours
Plugin : Galerie de concours
Vulnérabilité : Subscriber+ Email Address Disclosure
Patché dans la version : 13.1.0.7
Niveau de gravité : Moyen
Plugin : Galerie de concours
Vulnérabilité : Contrôles d'accès manquants à l'injection SQL non authentifiée / Divulgation d'adresse e-mail
Patché dans la version : 13.1.0.6
Niveau de gravité : Élevé
2. Vérifier et enregistrer les e-mails
Plugin : vérifier et enregistrer les e-mails
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.0.4
Niveau de gravité : Élevé
3. Gestionnaire PDF BSK
Plugin : Gestionnaire de PDF BSK
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 3.1.2
Niveau de gravité : Moyen
4. Calculateur de coût élégant
Plugin : calculateur de coût élégant
Vulnérabilité : Subscriber+ Appels AJAX non autorisés vers XSS stocké
Patché dans la version : 7.0.4
Niveau de gravité : Élevé
5. Boutique Page WP
Plugin : Page de la boutique WP
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.2.8
Niveau de gravité : Moyen
6. Ibtana - Compléments de produits de commerce électronique
Plugin : Ibtana - Compléments de produits de commerce électronique
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 0.2.4
Niveau de gravité : Élevé
7. Agrégateur RSS WP
Plugin : Agrégateur RSS WP
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 4.19.2
Niveau de gravité : Faible
8. Générer des blocs
Plugin : GenerateBlocks
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Patché dans la version : 1.4.0
Niveau de gravité : Moyen
9. Envoyer un e-mail avant le téléchargement
Plugin : envoyer un e-mail avant le téléchargement
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 6.8
Niveau de gravité : Moyen
10. myCred
Plugin : myCred
Vulnérabilité : Subscriber+ SQL Injection
Patché dans la version : 2.3
Niveau de gravité : Élevé
11. Google Maps Facile
Plugin : Google Maps Facile
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.10.1
Niveau de gravité : Faible
12. Mon calendrier
Plugin : Mon calendrier
Vulnérabilité : Subscriber+ Reflected Cross-Site Scripting
Patché dans la version : 3.2.18
Niveau de gravité : Moyen
13. Générateur de formulaires ARForms
Plugin : Générateur de formulaires ARForms
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.5
Niveau de gravité : Faible
14. Outils WP DSGVO
Plugin : Outils WP DSGVO
Vulnérabilité : Unauthenticated Arbitrary Post Deletion
Patché dans la version : 3.1.24
Niveau de gravité : Élevé
15. WP Toutes les importations
Plugin : WP All Import
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 3.6.3
Niveau de gravité : Faible
16. WPS Masquer la connexion
Plugin : WPS Masquer la connexion
Vulnérabilité : Protection Bypass avec Referer-Header
Patché dans la version : 1.9.1
Niveau de gravité : Moyen
17. WP Google Fonts
Plugin : WP Google Fonts
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.1.5
Niveau de gravité : Moyen
18. Gestionnaire d'événements pour WooCommerce
Plugin : gestionnaire d'événements pour WooCommerce
Vulnérabilité : Importation de modèle d'élément arbitraire non authentifié
Patché dans la version : 3.5.3
Niveau de gravité : Moyen
Plugin : gestionnaire d'événements pour WooCommerce
Vulnérabilité : Réinitialisation des options arbitraires non authentifiées
Patché dans la version : 3.5.3
Niveau de gravité : Élevé
19. AutomatorWP
Plugin : AutomatorWP
Vulnérabilité : Autorisation manquante et élévation de privilèges
Patché dans la version : 1.7.6
Niveau de gravité : Moyen
20. Curseur de logo et vitrine
Plugin : curseur de logo et vitrine
Vulnérabilité : Mise à jour des paramètres du plugin de l'éditeur
Patché dans la version : 1.3.37
Niveau de gravité : Faible
21. Liste de prix élégante
Plugin : Liste de prix élégante
Vulnérabilité : Téléchargement d'image arbitraire non authentifié
Patché dans la version : 6.9.0
Niveau de gravité : Moyen
Plugin : Liste de prix élégante
Vulnérabilité : Subscriber+ Arbitrary Image Upload
Patché dans la version : 6.9.1
Niveau de gravité : Moyen
22. Débogage WP
Plugin : débogage WP
Vulnérabilité : Mise à jour des paramètres du plugin non authentifié
Patché dans la version : 2.11.0
Niveau de gravité : Moyen
23. Liste des hôtels
Plug-in : liste d'hôtels
Vulnérabilité : Authenticated Stored Cross-Site Scripting
Patché dans la version : 1.3.3
Niveau de gravité : Moyen
24. Suivi des e-mails
Plugin : suivi des e-mails
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 5.2.6
Niveau de gravité : Élevé
25. Formulaire de contact par Supsystic
Plugin : Formulaire de contact par Supsystic
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.7.20
Niveau de gravité : Faible
26. Menu du restaurant par MotoPress
Plugin : Menu du restaurant par MotoPress
Vulnérabilité : Admin+ Stored Cross Site Scripting
Patché dans la version : 2.4.2
Niveau de gravité : Faible
27. Redirection SEO
Plugin : Redirection SEO
Vulnérabilité : Subscriber+ SQL Injection
Patché dans la version : 8.2
Niveau de gravité : Moyen
28. Tuteur LMS
Plugin : Tutor LMS
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.9.11
Niveau de gravité : Moyen
29. Formes Ninja
Plugin : Formulaires Ninja
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 3.6.4
Niveau de gravité : Moyen
30. Inscriptions au calendrier des événements
Plugin : Inscriptions au calendrier des événements
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 2.7.5
Niveau de gravité : Élevé
Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables
Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.
1. Installez le plug-in iThemes Security Pro
Le plugin iThemes Security Pro renforce votre site WordPress contre les moyens les plus courants de piratage des sites Web. Avec plus de 30 façons de sécuriser votre site dans un plugin facile à utiliser.
2. Activer l'analyse du site pour rechercher les vulnérabilités connues
La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.
3. Surveiller les modifications de fichiers
La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.
Obtenez iThemes Security Pro avec surveillance de site Web 24h/24 et 7j/7
iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.