Failles de sécurité Plugins Thèmes Elegant Themes semaine 03

Les thèmes et plugins d'Elegant Themes ont été mis à jour pour corriger une exposition non-intentionnelle des extraits RSS des pages et articles protégés par mot de passe. Ce problème affecte l'ensemble des thèmes et le plugin Divi Builder. La mise à jour de votre thème et plugin vers la dernière version corrige cette faille.

 

Le problème

WordPress permet aux articles (et aux pages) d'être protégés par un mot de passe. Lorsque les posts protégés par mot de passe sont affichés ou affichés dans un flux de publication, le contenu de la publication est masqué en attendant l'authentification par mot de passe. Les thèmes et plugins n'ont pas traité ces messages correctement lors de l'affichage des extraits. Des extraits de post pour les articles et pages protégées par mot de passe ont été affichées par erreur sur les pages d'index des thèmes et dans les modules Divi Builder post-basés. Les extraits incluent généralement les premiers 40 mots d'un message, sauf indication contraire. Le contenu de la publication complète et les URL de publication ont été correctement protégés.

Êtes-vous affecté?

Ce problème affecte uniquement les utilisatueurs qui ont publié des articles (ou page) et des messages protégés par mot de passe. Seuls les courts extraits de ces articles étaient potentiellement exposés dans le contenu du site Web frontal. Cela n'affecte pas l'authentification de l'administrateur WordPress ni aucune autre authentification par mot de passe sur votre site Web.

Comment le réparer?

La mise à jour de vos thèmes et plugins va résoudre ce problème. Vous pouvez mettre à jour vos thèmes ou plugins à partir de votre tableau de bord WordPress, ou vous pouvez télécharger les dernières versions à partir de la zone des membres et les mettre à jour manuellement. Cela affecte tous les thèmes et le plugin Divi Builder. Si vous utilisez l'un de ces produits et que vous avez publié des messages protégés par mot de passe, nous vous recommandons d'effectuer la mise à jour vers la dernière version.

Vous pouvez télécharger les Thèmes et extensions Elegant Themes sur la page Thèmes et Plugins Premium WPServeur / Elegant Themes ou faire les mises à jour directement à partir de l'administration de vos WordPress.

Nous vous conseillons vivement de vérifier les mises à jour de ces plugins/thèmes. S'il n'y a pas de patch à jour, nous vous conseillons purement et simplement de les supprimer au plus vite de votre installation WordPress !

N'oubliez pas de mettre à jour régulièrement WordPress et ses plugins à l'aide de notre système d'auto-update.

 

Les différents types de failles de sécurité :

  • SQL injection :  faille de sécurité d’une application interagissant avec la base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.
  • XSS : Cross-Site Scripting, faille de sécurité permettant d’injecter du contenu dans une page, afin de provoquer des actions sur les navigateurs web visitant la page
  • CSRF : Cross-Site Request Forgery ou XSRF, est un type de vulnérabilité des services d'authentification web. L’objet de cette attaque est de transmettre à un utilisateur authentifié une requête HTTP falsifiée qui pointe sur une action interne au site.

Envie d'un WordPress mieux sécurisé ?