Rapport de vulnérabilité WordPress : novembre 2021, partie 4

Publié: 2021-11-25

Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.

Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress.

Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.

Voulez-vous que ce rapport soit livré dans votre boîte de réception chaque semaine ?
Abonnez-vous à l'e-mail hebdomadaire

Hébergement WordPress : GoDaddy piraté

Dans une divulgation de sécurité publiée le 21 novembre 2021, GoDaddy indique que jusqu'à 1,2 million de clients actifs et inactifs ont été exposés après que des pirates ont eu accès à sa plate-forme d'hébergement WordPress gérée.

Nous avons écrit un article pour déballer quelques-uns des détails du récent piratage de GoDaddy, comment il affecte les clients et nos recommandations sur ce qu'il faut faire si vous êtes un client d'hébergement WordPress chez GoDaddy.

Lire le message

Vulnérabilités du cœur de WordPress

La dernière version du noyau WordPress est la 5.8.2. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !

Vulnérabilités des plugins WordPress

Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.

1. Pixel Chat Lite

Plug-in : Pixel Cat Lite
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 2.6.3
Niveau de gravité : Faible

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.6.3.

Plug-in : Pixel Cat Lite
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Patché dans la version : 2.6.2
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.6.2.

2. Galerie tout-en-un

Plugin : Galerie tout-en-un
Vulnérabilité : Admin+ Local File Inclusion
Patché dans la version : 2.5.0
Niveau de gravité : Faible

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.5.0.

3. StopBadBots

Plugin : StopBadBots
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 6.67
Niveau de gravité : Critique

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 6.67.

4. Connexion temporaire sans mot de passe

Plugin : connexion temporaire sans mot de passe
Vulnérabilité : Mise à jour des paramètres du plugin Subscriber+
Patché dans la version : 1.7.1
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.7.1.

5. ProfilPresse

Plugin : ProfilePress
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.2.3
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.2.3.

Plugin : ProfilePress
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.2.3
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.2.3.

6. Calendrier des événements modernes

Plugin : Calendrier des événements modernes
Vulnérabilité : Injection SQL aveugle non authentifiée
Patché dans la version : 6.1.5
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 6.1.5.

Plugin : Calendrier des événements modernes
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 6.1.5
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 6.1.5.

7. Image en vedette automatique

Plugin : Image sélectionnée automatiquement
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.9.3
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.9.3.

8. Aucun suivi ultime

Plugin : Ultimate NoFollow
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Moyen

Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 28 septembre 2021. Désinstallez et supprimez.

9. Formulaires NEX

Plugin : NEX-Forms
Vulnérabilité : Multiple Admin+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Faible

Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 4 octobre 2021. Désinstallez et supprimez.

10. Booster de référencement

Plugin : Booster de référencement
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Moyen

Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 5 octobre 2021. Désinstallez et supprimez.

11. Journal système WP

Plugin : Journal système WP
Vulnérabilité : Script intersite stocké non authentifié
Patché dans la version : 1.0.21
Niveau de gravité : Critique

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.0.21.

12. Rotateur de citations inspirantes

Plugin : Rotateur de citations inspirantes
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Faible

Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 23 septembre 2021. Désinstallez et supprimez.

13. Exportateur à poste unique

Plugin : exportateur de publication unique
Vulnérabilité : Mise à jour des paramètres du plugin via CSRF
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Moyen

Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 23 septembre 2021. Désinstallez et supprimez.

14. Polices locales flexibles

Plug-in : polices locales Flex
Vulnérabilité : Admin+ Stored Cross-Site-Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Faible

Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 23 septembre 2021. Désinstallez et supprimez.

15. Changeur de logo WP Admin

Plugin : Changeur de logo WP Admin
Vulnérabilité : Mise à jour des paramètres du plugin via CSRF
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Moyen

Cette vulnérabilité n'a PAS été corrigée. Ce plugin a été fermé le 4 octobre 2021. Désinstallez et supprimez.

16. Base de données avancée du formulaire de contact

Plugin : Base de données avancée du formulaire de contact
Vulnérabilité : Appels AJAX non autorisés
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen

Ce plugin a été fermé le 27 septembre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

17. Boutons brillants

Plugin : Boutons brillants
Vulnérabilité : Script intersite stocké non authentifié
Patché dans la version : Pas de correctif connu
Niveau de gravité : Élevé

Ce plugin a été fermé le 27 septembre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

18. Filtrer la galerie de portefeuilles

Plugin : filtrer la galerie de portfolios
Vulnérabilité : Arbitrary Gallery Deletion via CSRF
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen

Ce plugin a été fermé le 27 septembre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

19. Limites de WP

Plugin : Limites WP
Vulnérabilité : Mise à jour des paramètres du plugin via CSRF
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen

Ce plugin a été fermé le 4 octobre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

20. Code abrégé du contenu de la page/de la publication

Plugin : code abrégé de contenu de page/publication
Vulnérabilité : Contributor+ Arbitrary Posts/Pages Access
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen

Ce plugin a été fermé le 4 octobre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

21. Page d'inclusion améliorée

Plugin : page Inclure améliorée
Vulnérabilité : Contributor+ Arbitrary Posts/Pages Access
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen

Ce plugin a été fermé le 8 octobre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

22. Médiamatique

Plugin : Mediamatic
Vulnérabilité : Subscriber+ SQL Injection
Patché dans la version : Pas de correctif connu
Niveau de gravité : Élevé

Ce plugin a été fermé le 11 octobre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

23. Afficher les métadonnées des publications

Plugin : Afficher les métadonnées des publications
Vulnérabilité : Contributor+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen

Ce plugin a été fermé le 21 octobre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

24. Lien vers le haut

Plugin : Lien ToTop
Vulnérabilité : Injection d'objet PHP non authentifiée
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen

Ce plugin a été fermé le 21 octobre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

25. Codes courts méta utilisateur

Plugin : méta-shortcodes utilisateur
Vulnérabilité : Contributor+ Unauthorized Arbitrary User Metadata Access
Patché dans la version : Pas de correctif connu
Niveau de gravité : Élevé

Ce plugin a été fermé le 12 octobre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

26. Collection de citations

Plugin : Collection de citations
Vulnérabilité : Admin+ SQL Injection
Patché dans la version : Pas de correctif connu
Niveau de gravité : Moyen

Ce plugin a été fermé le 13 octobre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

27. Notifications push pour WordPress (Lite)

Plugin : Notifications push pour WordPress (Lite)
Vulnérabilité : Mise à jour des paramètres via CSRF
Patché dans la version : 6.0.1
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 6.0.1.

28. Presse sportive

Plugin : SportsPress
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 2.7.9
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.7.9.

29. Fenêtre contextuelle de connexion/d'inscription

Plugin : fenêtre contextuelle de connexion/d'inscription
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 2.2
Niveau de gravité : Élevé

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 2.2.

30. Aperçu des e-mails pour WooCommerce

Plugin : Aperçu des e-mails pour WooCommerce
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 2.0.0
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.0.0.5.

31. Interface utilisateur WP

Plugin : Interface utilisateur WP
Vulnérabilité : Adhésion, Profil, Inscription & Post Submission Plugin pour WordPress
Patché dans la version : 3.5.25
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 3.5.25.

32. Directorist - Plugin d'annuaire d'entreprises

Plugin : Directorist - Plugin d'annuaire d'entreprises
Vulnérabilité : CSRF vers Remote File Upload
Patché dans la version : 7.0.6.2
Niveau de gravité : Critique

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 7.0.6.2.

33. Formulaires d'inscription faciles

Plugin : Formulaires d'inscription faciles
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu
Niveau de gravité : Élevé

Ce plugin a été fermé le 12 novembre 2021 et n'est pas disponible au téléchargement. Cette fermeture est temporaire, dans l'attente d'un examen complet. Nous vous recommandons de désinstaller et de supprimer jusqu'à ce qu'un correctif soit trouvé.

34. WP Réinitialiser Pro

Plugin : WP Reset Pro
Vulnérabilité : Subscriber+ Database Reset
Patché dans la version : 5.99
Niveau de gravité : Critique

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 5.99.

Plugin : WP Reset Pro
Vulnérabilité : Database Reset via CSRF
Patché dans la version : 5.99
Niveau de gravité : Critique

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 5.99.

35. WordPress + Microsoft Office 365

Plugin : WordPress + Microsoft Office 365
Vulnérabilité : Script intersite stocké non authentifié
Patché dans la version : 15.4
Niveau de gravité : Critique

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 15.4.

36. Message en double

Plugin : message en double
Vulnérabilité : Injection SQL authentifiée
Patché dans la version : 1.2.0
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.2.0.

37. Migration de sauvegarde

Plug-in : migration de sauvegarde
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.1.6
Niveau de gravité : Moyen

La vulnérabilité est corrigée, vous devez donc mettre à jour vers la version 1.1.6.

Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables

Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.

1. Installez le plug-in iThemes Security Pro

Le plugin iThemes Security Pro renforce votre site WordPress contre les moyens les plus courants de piratage des sites Web. Avec plus de 30 façons de sécuriser votre site dans un plugin facile à utiliser.

2. Activer l'analyse du site pour rechercher les vulnérabilités connues

La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.

3. Surveiller les modifications de fichiers

La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.

Obtenez iThemes Security Pro avec surveillance de la sécurité des sites Web 24h/24 et 7j/7

iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.

  • Scanner de site pour les vulnérabilités des plugins et des thèmes
  • Détection de changement de fichier
  • Tableau de bord de sécurité du site Web en temps réel
  • Journaux de sécurité WordPress
  • Appareils de confiance
  • reCAPTCHA
  • Protection contre la force brute
  • Authentification à deux facteurs
  • Liens de connexion magiques
  • Escalade des privilèges
  • Vérification et refus des mots de passe compromis

Économisez 40% sur iThemes Security Pro