Failles de sécurité Plugins Thèmes WordPress semaine 07

Sécurité WordPress

Publié le 13 février 2018

WordPress 4.9.4 est maintenant disponible depuis le 6 janvier 2018. C'est une mise à jour de sécurité pour toutes les versions antérieures et nous vous recommandons vivement de mettre à jour vos sites immédiatement. La mise à jour automatique pour cette version est désactivée à cause d'un problème qui survient lors de la mise à jour 4.9.3 et empêche les mises à jour automatiques. Vous devez donc procéder à cette mise à jour manuellement à partir de l'administration WordPress.

WPServeur vous informe des dernières failles de sécurité plugins et thèmes WordPress connues :

Plugins WordPress

  • flickrRSS <= 5.3.1 - XSS and CSRF
  • PropertyHive <= 1.4.14 - Cross-Site Scripting (XSS)
  • User Control - Unauthenticated SQL Injection
  • Splashing Images <= 2.1 - Authenticated PHP Object Injection
  • Splashing Images <= 2.1 - Cross-Site Scripting (XSS)
  • Email Subscribers & Newsletters <= 3.4.7 - Unauthenticated Subscriber Download
  • Google Forms <= 0.91 - Unauthenticated Server-Side Request Forgery (SSRF)

Thèmes WordPress

  • Swape Theme - Authentication Bypass and Stored XSS
  • Enfold Theme <= 4.2 - Rewrite Portfolio Permalink Structure & Information Disclosure
  • Pinfinity Theme <= 1.9.2 - Reflected Cross-site Scripting (XSS)
  • Bridge Theme <= 11.1 - DOM Cross-Site Scripting (XSS)
  • Salutation Responsive WordPress + BuddyPress Theme <= 3.0.15 - Stored XSS
  • Avada Theme <= 5.1.4 - Stored Cross-Site Scripting (XSS) & CSRF
  • Atahualpa Theme - Authenticated Cross-Site Scripting (XSS)
  • Javo Spot Premium Theme - Unauthenticated Directory Traversal
  • PageLines Platform Theme <= 1.1.4 - Cross-Site Request Forgery (CSRF)

Failles WordPress

  • WordPress <= 4.9.4 - Application Denial of Service (DoS) (unpatched) - Protection en amont chez WPServeur
  • WordPress <= 4.9.2 - Application Denial of Service (DoS) (unpatched)
  • WordPress 3.7-4.9.1 - MediaElement Cross-Site Scripting (XSS)
  • WordPress 2.8.6-4.9 - Authenticated JavaScript File Upload
  • WordPress 1.5.0-4.9 - RSS and Atom Feed Escaping
  • WordPress 3.7-4.9 - 'newbloguser' Key Weak Hashing
  • WordPress 4.3.0-4.9 - HTML Language Attribute Escaping
  • WordPress <= 4.8.2 - $wpdb->prepare() Weakness
  • WordPress 2.9.2-4.8.1 - Open Redirect
  • WordPress 3.0-4.8.1 - Path Traversal in Unzipping

Nous vous conseillons vivement de vérifier les mises à jour de ces plugins/thèmes. S'il n'y a pas de patch à jour, nous vous conseillons purement et simplement de les supprimer au plus vite de votre installation WordPress !

N'oubliez pas de mettre à jour régulièrement WordPress et ses plugins à l'aide de notre système d'auto-update.

 

Les différents types de failles de sécurité :

  • SQL injection :  faille de sécurité d’une application interagissant avec la base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.
  • XSS : Cross-Site Scripting, faille de sécurité permettant d’injecter du contenu dans une page, afin de provoquer des actions sur les navigateurs web visitant la page
  • CSRF : Cross-Site Request Forgery ou XSRF, est un type de vulnérabilité des services d'authentification web. L’objet de cette attaque est de transmettre à un utilisateur authentifié une requête HTTP falsifiée qui pointe sur une action interne au site.

Envie d'un WordPress mieux sécurisé ?


EN SAVOIR +


Support téléphonique

+33 972 497 264

Contactez nous par téléphone du lundi au vendredi de 10h00 à 12h00, de 14h00 à 18h00 et le samedi de 09h00 à 12h00.

Avis

Nobuki Kato

Je suis venu d'OVH chez qui je n'ai eu que des déboires. Ma base de donnés a failli exploser et j'ai sauvé mon site de justesse en passant chez WPServeur. Les développeurs sont toujours réactifs, me donnent des conseils pertinents. Le plus important : mon site tourne bien aujourd'hui. Dès qu'il y a un soucis, je peux compter sur eux. Merci.

MEENA GOLL

Excellent, un plaisir de travailler avec cet hébergeur. Super réactivité c'est très rassurant. Je recommande tout à fait .

tristan33

WP Serveur c'est l'assurance d'avoir le meilleur serveur pour son site wordpress avec une équipe hyper réactive, efficace et professionnelle. Que du bonheur. Merci à vous, Tristan

Articles récents

Sécurité WordPress

Failles de sécurité Plugins WordPress semaine 02

Sécurité WordPress

Failles de sécurité Plugins WordPress semaine 51

Sécurité WordPress

Failles de sécurité Plugins WordPress semaine 50

Articles en rapport