Rapport de vulnérabilité WordPress : novembre 2021, partie 3

Publié: 2021-11-20

Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.

Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress.

Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.

Voulez-vous que ce rapport soit livré dans votre boîte de réception chaque semaine ?
Abonnez-vous à l'e-mail hebdomadaire

Vulnérabilités du cœur de WordPress

La dernière version du noyau WordPress est la 5.8.2. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !

1. Wordpress

Vulnérabilité : Certificat DST Root CA X3 expiré
Patché dans la version : 5.8.2
Explication : Le fichier wp-includes/certificates/ca-bundle.crt contient une DST Root CA X3 qui a expiré le 30 septembre 2021, déclenchant un avertissement de sécurité dans certains cas.

La vulnérabilité a été corrigée, alors assurez-vous que vous utilisez WordPress 5.8.2.

Vulnérabilités des plugins WordPress

Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.

1. Inscriptions au calendrier des événements

Plugin : Inscriptions au calendrier des événements
Vulnérabilité : Injection SQL non authentifiée
Patché dans la version : 2.7.6
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.7.6.

2. ConnexionWP

Plugin : LoginWP
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.0.0.5
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.0.0.5.

3. Commutateur de devises WooCommerce

Plugin : Commutateur de devises WooCommerce
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.3.7.1
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.3.7.1.

4. Protection du contenu de la copie sécurisée et verrouillage du contenu

Plugin : Protection du contenu de copie sécurisée et verrouillage du contenu
Vulnérabilité : Subscriber+ Email Address Disclosure
Patché dans la version : 2.8.2
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.8.2.

5. Bookly

Plugin : Bookly
Vulnérabilité : Staff Member Stored Cross-Site Scripting
Patché dans la version : 20.3.1
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 20.3.1.

6. Journal des e-mails

Plugin : Journal des e-mails
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 2.4.8
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.4.8.

7. Tawk.to Chat en direct

Plugin : Tawk.to Live Chat
Vulnérabilité : Abonné + Surveillance des visiteurs et suppression du chat
Patché dans la version : 0.6.0
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 0.6.0.

8. Accès aux données WP

Plugin : Accès aux données WP
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 5.0.0
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 5.0.0.

9. Lecteur PDF.js

Plug-in : visionneuse PDF.js
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Patché dans la version : 2.0.2
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.0.2.

10. Sauvegarde et restauration

Plugin : Sauvegarde et restauration
Vulnérabilité : Admin+ Arbitrary File Deletion
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen

Cette vulnérabilité n'a PAS été corrigée. Désinstallez et supprimez le plug-in jusqu'à ce qu'un correctif soit publié.

11. LearnPress

Plugin : LearnPress
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : 4.1.4
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 4.1.4.

12. Obtenez des valeurs de champ personnalisées

Plugin : obtenir des valeurs de champ personnalisées
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Patché dans la version : 4.0.1
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 4.0.1.

13. Forfait de réservation

Plugin : Forfait de réservation
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.5.11
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.5.11.

14. Évaluation du bouton J'aime

Plugin : Évaluation du bouton J'aime
Vulnérabilité : Exportation de vote non autorisée vers la divulgation d'adresses e-mail et IP
Patché dans la version : 2.6.38
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.6.38.

15. Formes de caldeira

Plugin : Formulaires Caldera
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.9.5
Niveau de gravité : Faible

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.9.5.

16. Modèles de démarrage

Plugin : Modèles de démarrage
Vulnérabilité : Contributor+ Block Import to Stored XSS
Patché dans la version : 2.7.1
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.7.1.

17. Courriel du formulaire de contact

Plugin : Courriel du formulaire de contact
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.3.25
Niveau de gravité : Faible

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.3.25.

18. Galerie vidéo - Galerie Vimeo et YouTube

Plugin : Galerie de vidéos - Galerie Vimeo et YouTube
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.1.5
Niveau de gravité : Faible

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.1.5.

19. Messages WordPress populaires

Plugin : Articles populaires de WordPress
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 5.3.4
Niveau de gravité : Faible

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 5.3.4.

Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables

Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.

1. Installez le plug-in iThemes Security Pro

Le plugin iThemes Security Pro renforce votre site WordPress contre les moyens les plus courants de piratage des sites Web. Avec plus de 30 façons de sécuriser votre site dans un plugin facile à utiliser.

2. Activer l'analyse du site pour rechercher les vulnérabilités connues

La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.

3. Surveiller les modifications de fichiers

La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.

Obtenez iThemes Security Pro avec surveillance de la sécurité des sites Web 24h/24 et 7j/7

iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.

  • Scanner de site pour les vulnérabilités des plugins et des thèmes
  • Détection de changement de fichier
  • Tableau de bord de sécurité du site Web en temps réel
  • Journaux de sécurité WordPress
  • Appareils de confiance
  • reCAPTCHA
  • Protection contre la force brute
  • Authentification à deux facteurs
  • Liens de connexion magiques
  • Escalade des privilèges
  • Vérification et refus des mots de passe compromis

Obtenez iThemes Security Pro