Rapport de vulnérabilité WordPress : octobre 2021, partie 2
Publié: 2021-10-13Les plugins et les thèmes vulnérables sont la première raison pour laquelle les sites Web WordPress sont piratés. Le rapport hebdomadaire sur les vulnérabilités de WordPress fourni par WPScan couvre les vulnérabilités récentes des plugins, thèmes et noyaux WordPress, et ce qu'il faut faire si vous exécutez l'un des plugins ou thèmes vulnérables sur votre site Web.
Chaque vulnérabilité aura un indice de gravité Faible , Moyen , Élevé ou Critique . La divulgation et le signalement responsables des vulnérabilités font partie intégrante de la sécurité de la communauté WordPress.
Veuillez partager ce message avec vos amis pour aider à faire passer le mot et rendre WordPress plus sûr pour tout le monde.
Vulnérabilités du cœur de WordPress
La dernière version de WordPress core est la 5.8.1 a été publiée en tant que version de sécurité et de maintenance. Comme bonne pratique, assurez-vous toujours d'exécuter la dernière version du noyau WordPress !
Vulnérabilités des plugins WordPress
Dans cette section, les dernières vulnérabilités du plugin WordPress ont été divulguées. Chaque liste de plug-ins comprend le type de vulnérabilité, le numéro de version si corrigé et l'indice de gravité.
1. Bouton d'achat facile de PayPal
Plugin : Bouton d'achat facile de PayPal
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Patché dans la version : 1.7.3
Niveau de gravité : Élevé
2. Des événements simplifiés
Plugin : événements simplifiés
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 2.2.24
Niveau de gravité : Faible
3. Meilleurs messages de BP
Plugin : BP Better Messages
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 1.9.9.41
Niveau de gravité : Élevé
Plugin : BP Better Messages
Vulnérabilité : Multiple CSRF
Patché dans la version : 1.9.9.41
Niveau de gravité : Moyen
4. Constructeur Themify
Plugin : Themify Builder
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 5.3.2
Niveau de gravité : Élevé
5. En-tête d'expiration du futur lointain
Plugin : En-tête d'expiration du futur lointain
Vulnérabilité : Mise à jour des paramètres du plugin via CSRF
Patché dans la version : 1.5
Niveau de gravité : Moyen
6. Contrôle des sources d'images
Plug-in : Contrôle de la source d'image
Vulnérabilité : Contributor+ Arbitrary Post Meta Value Change
Patché dans la version : 2.3.1
Niveau de gravité : Moyen
7. Curseur de logo et vitrine
Plugin : curseur de logo et vitrine
Vulnérabilité : Mise à jour des paramètres du plugin de l'éditeur
Patché dans la version : 1.3.37
Niveau de gravité : Faible
8. Passerelle de paiement Cardinity pour WooCommerce
Plugin : Passerelle de paiement Cardinity pour WooCommerce
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.0.7
Niveau de gravité : Élevé
9. Lecteur audio MP3 pour musique, radio et podcast par Sonaar
Plugin : Lecteur audio MP3 pour la musique, la radio et les podcasts par Sonaar
Vulnérabilité : Multiple Admin+ Cross Site Scripting
Patché dans la version : 2.4.2
Niveau de gravité : Faible
10. Don Paypal
Plugin : Don Paypal
Vulnérabilité : CSRF to Arbitrary Post Deletion
Patché dans la version : 1.3.1
Niveau de gravité : Moyen
Plugin : Don Paypal
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Patché dans la version : 1.3.1
Niveau de gravité : Élevé
11. Prochainement, en mode construction et maintenance par Dazzler
Plugin : bientôt disponible, en mode construction et maintenance par Dazzler
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.6.7
Niveau de gravité : Faible
12. Traduire WordPress – Google Language Translator
Plugin : Traduire WordPress - Google Language Translator
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 6.0.12
Niveau de gravité : Faible
13. Assistant produit de Booking.com
Plugin : Assistant de produit de Booking.com
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Faible
14. Créateur de bannière Booking.com
Plugin : Créateur de bannières Booking.com
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Faible
15. Moniteur de téléchargement simple
Plugin : moniteur de téléchargement simple
Vulnérabilité : Unauthorized Log Reset
Patché dans la version : 3.9.6
Niveau de gravité : Moyen
Plugin : moniteur de téléchargement simple
Vulnérabilité : Suppression arbitraire des vignettes
Patché dans la version : 3.9.6
Niveau de gravité : Moyen
Plugin : moniteur de téléchargement simple
Vulnérabilité : Accès au journal non authentifié
Patché dans la version : 3.9.6
Niveau de gravité : Moyen
Plugin : moniteur de téléchargement simple
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 3.9.5
Niveau de gravité : Élevé
Plugin : moniteur de téléchargement simple
Vulnérabilité : Contributor+ Stored Cross-Site Scripting via File Thumbnail
Patché dans la version : 3.9.5
Niveau de gravité : Élevé
16. Chat bidirectionnel
Plugin : chat bidirectionnel
Vulnérabilité : Multiple CSRF
Patché dans la version : 3.1.5
Niveau de gravité : Moyen
Plugin : chat bidirectionnel
Vulnérabilité : Admin+ Local File Inclusion
Patché dans la version : 3.1.5
Niveau de gravité : Faible
17. WP-Rappel
Plugin : WP-Recall
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : 16.24.48
Niveau de gravité : Élevé
18. Tableau d'emploi JobSearch WP
Plugin : JobSearch WP Job Board
Vulnérabilité : mise à jour des options de blog arbitraires pour les abonnés +
Patché dans la version : 1.8.2
Niveau de gravité : Élevé
Plugin : JobSearch WP Job Board
Vulnérabilité : Mise à jour des paramètres du plugin non authentifié
Patché dans la version : 1.8.2
Niveau de gravité : Moyen
Plugin : JobSearch WP Job Board
Vulnérabilité : Subscriber+ Add/Update Schedule Calls
Patché dans la version : 1.8.2
Niveau de gravité : Moyen
19. Panier de commerce électronique TheCartPress
Plugin: Panier d'achat de commerce électronique TheCartPress
Vulnérabilité : CSRF vers Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
20. API MStore
Plug-in : API MStore
Vulnérabilité : Téléchargement de fichier PHP non authentifié
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Critique
21. Media File Renamer - Renommer automatiquement et manuellement
Plugin : Media File Renamer - Renommer automatiquement et manuellement
Vulnérabilité : Media Title/Filename/Locking State Update via CSRF
Patché dans la version : 5.2.7
Niveau de gravité : Moyen
22. Chat de lot
Plugin : chat par lots
Vulnérabilité : Subscriber+ Arbitrary Categories Add/Set/Delete to Posts
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Moyen
23. qTraduire X
Plugin : qTranslate X
Vulnérabilité : Multiple Admin+ Stored Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Faible
24. Informations sur les voyages dans le monde
Plugin : Informations sur les voyages dans le monde
Vulnérabilité : Reflected Cross-Site Scripting
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
25. Enquête WP Plus
Plugin : WP Survey Plus
Vulnérabilité : Subscriber+ AJAX Calls
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
26. Page Plan du site WP
Plugin : Page de plan de site WP
Vulnérabilité : Admin+ Stored Cross Site Scripting
Patché dans la version : Pas de correctif connu
Niveau de gravité : Faible
27. WP Bannerize 2.0.0
Plugin : WP Bannerize 2.0.0
Vulnérabilité : Injection SQL authentifiée
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
28. Génie WP Favicon
Plugin : Genie WP Favicon
Vulnérabilité : Changement arbitraire de favicon via CSRF
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Moyen
29. Renommer Phoenix Media
Plugin : Renommer Phoenix Media
Vulnérabilité : Author Arbitrary Media File Renoming
Patché dans la version : 3.4.4
Niveau de gravité : Moyen
30. Statistiques en temps réel sur le trafic des visiteurs
Plugin : Statistiques en temps réel sur le trafic des visiteurs
Vulnérabilité : Subscriber+ SQL Injection
Patché dans la version : 3.9
Niveau de gravité : Élevé
31. Boutons de partage AddToAny
Plugin : Boutons de partage AddToAny
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.7.48
Niveau de gravité : Faible
32. Formidable constructeur de formulaires
Plugin : Formidable Form Builder
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 5.0.07
Niveau de gravité : Faible
33. Sécurité à l'épreuve des balles
Plug-in : sécurité pare-balles
Vulnérabilité : Divulgation d'informations sensibles
Patché dans la version : 5.2
Niveau de gravité : Moyen
34. WP Toutes les exportations
Plugin : WP All Export
Vulnérabilité : Admin+ Stored Cross-Site Scripting
Patché dans la version : 1.3.1
Niveau de gravité : Faible
35. Rediriger la page d'erreur 404 vers la page d'accueil ou la page personnalisée avec les journaux
Plugin : Rediriger la page d'erreur 404 vers la page d'accueil ou la page personnalisée avec les journaux
Vulnérabilité : Log Deletion via CSRF
Patché dans la version : 1.7.9
Niveau de gravité : Moyen
36. Accéder à l'importateur de démonstration
Plugin : Accéder à l'importateur de démonstration
Vulnérabilité : Subscriber+ Arbitrary File Upload
Patché dans la version : 1.0.7
Niveau de gravité : Élevé
37. Télécharger le moniteur
Plugin : Télécharger le moniteur
Vulnérabilité : Téléchargement non authentifié des journaux
Patché dans la version : 1.9.7
Niveau de gravité : Moyen
Plugin : Télécharger le moniteur
Vulnérabilité : Reflected Cross-Site Scripting (XSS)
Patché dans la version : 1.7.1
Niveau de gravité : Moyen
Plugin : Télécharger le moniteur
Vulnérabilité : Liste d'annuaire authentifiée
Patché dans la version : 1.6.4
Niveau de gravité : Moyen
Plugin : Télécharger le moniteur
Vulnérabilité : Multiple Reflected Cross-Site Scripting
Patché dans la version : 3.3.6.2
Niveau de gravité : Moyen
38. Popups illimités
Plugin : PopUps illimités
Vulnérabilité : Author+ SQL Injection
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
39. Schreikasten
Plugin : Schreikasten
Vulnérabilité : Author+ SQL Injections
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
40. Publier du contenu XMLRPC
Plugin : Post Content XMLRPC
Vulnérabilité : Author+ SQL Injections
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
41. Formes époustouflantes
Plugin : Wow Forms
Vulnérabilité : Author+ SQL Injections
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Élevé
42. Lien hypertexte automatique
Plugin : G Auto-Hyperlien
Vulnérabilité : Author+ SQL Injection
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Moyen
43. Chameleon CSS
Plugin : Chameleon CSS
Vulnérabilité : Subscriber+ SQL Injection
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Critique
44. SpiderCatalog
Plugin : SpiderCatalog
Vulnérabilité : Author+ SQL Injection
Patché dans la version : Pas de correctif connu - plugin fermé
Niveau de gravité : Moyen
45. Conseil de soutien
Plugin : carte de support
Vulnérabilité : Agent+ Stored Cross-Site Scripting
Patché dans la version : 3.3.5
Niveau de gravité : Moyen
46. Porte des âges
Plugin : Age Gate
Vulnérabilité : Authenticated Stored Cross-Site Scripting
Patché dans la version : 2.16.4
Niveau de gravité : Moyen
47. Messages connexes en ligne
Plugin : Messages connexes en ligne
Vulnérabilité : Admin+ Cross-Site Scripting
Patché dans la version : 3.0.5
Niveau de gravité : Faible
Comment protéger votre site Web WordPress contre les plugins et thèmes vulnérables
Comme vous pouvez le voir dans ce rapport, de nombreuses nouvelles vulnérabilités de plugins et de thèmes WordPress sont divulguées chaque semaine. Nous savons qu'il peut être difficile de rester au courant de chaque divulgation de vulnérabilité signalée, c'est pourquoi le plug-in iThemes Security Pro permet de s'assurer facilement que votre site n'exécute pas un thème, un plug-in ou une version principale de WordPress avec une vulnérabilité connue.
1. Rechercher les vulnérabilités connues du site Web
Le plugin iThemes Security Pro recherche la raison n°1 pour laquelle les sites WordPress sont piratés : des plugins obsolètes et des thèmes avec des vulnérabilités connues.
2. Mise à jour automatique vers les versions sécurisées
La fonction de gestion des versions d'iThemes Security Pro s'intègre à l'analyse du site pour protéger votre site. Les thèmes, plugins et versions de base de WordPress vulnérables seront automatiquement mis à jour pour vous.
3. Surveiller les modifications de fichiers
La clé pour repérer rapidement une faille de sécurité est de surveiller les modifications de fichiers sur votre site Web. La fonction de détection de changement de fichier dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des changements se produiront sur votre site Web.
Obtenez iThemes Security Pro avec surveillance de site Web 24h/24 et 7j/7
iThemes Security Pro, notre plugin de sécurité WordPress, propose plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité courantes de WordPress. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application d'un mot de passe fort, etc., vous pouvez ajouter des couches de sécurité supplémentaires à votre site Web.