Skip to content

Plugins WordPress dangereux & vulnérables

Avec plus de 47 000 plugins dans le dépôt officiel de WordPress et des milliers d'autres disponibles sur divers autres marchés et sites, trouver ceux qui fonctionnent bien est une tâche ardue. Trouver des plugins WordPress qui sont sécurisés et ne mettent pas en danger votre site est une tâche encore plus difficile en raison de la nature complexe de la sécurité WordPress et des plugins qui possèdent des milliers de lignes de code.
Bien que nous ne puissions pas vous aider à éviter tous les mauvais plugins, nous pouvons identifier ceux qui sont connus, et confirmer les vulnérabilités et les problèmes de sécurité. Sauf si vous savez ce que vous faites, testez quelque chose sur une installation locale. Ou si vous êtes dans la sécurité de WordPress, vous ne devriez pas utiliser les plugins dangereux énumérés ci-dessous sur des sites en production. Les problèmes expliqués dans le tableau ci-dessous sont bien connus et documentés, ce qui rend facile pour ceux qui ont de mauvaises intentions à exploiter ces failles de sécurité et d'attaquer votre site.

En énumérant les plugins sur cette page, nous voulons, sans manquer de respect pour eux ou leurs auteurs, avertir les utilisateurs de ne pas installer des versions spécifiques qui ont des problèmes de sécurité connus. Si vous sentez que votre plugin a été répertorié par défaut ou besoin d'aide pour le mettre à jour, s'il vous plaît contactez-nous.

COMMENT UTILISER CETTE PAGE ET LA LISTE DES PLUGINS VULNÉRABLES?

Si vous utilisez l'un des plugins énumérés, double-vérifiez le numéro de version afin de confirmer qu'il est l'un des plugins à problèmes connus. Si oui, retirer le plugin immédiatement! Cela inclut la désactivation et la suppression de celui-ci. Pas uniquement la désactivation. Vous pouvez également contacter l'auteur et lui demander si les problèmes ont été corrigés et si non, l'encourager à le faire.

TYPES DE VULNÉRABILITÉ

Un rappel rapide des tous les types de problèmes et vulnérabilités les plus communs auquels vous pouvez être confrontés avec WordPress. Veuillez noter que la plupart des problèmes sont une combinaison de deux ou plusieurs types énumérés ci-dessous.

Visualisation de fichier arbitraire

Au lieu de ne laisser que certaines sources de fichier à être visualisées (par exemple des modèles de plugin), l'absence de contrôle dans le code permet à l'attaquant de visualiser la source de tout fichier, y compris ceux avec des informations sensibles telles que le wp-config.php.

Téléchargement de fichier arbitraire

L'absence de filtrage de fichiers et de contenu permet de télécharger des fichiers arbitraires qui peuvent contenir du code exécutable qui, une fois exécuté, peut faire à peu près tout sur un site.

Elévation de privilèges

Une fois que l'attaquant a un compte sur le site, même s'il est seulement du type "abonné", il peut élever ses privilèges à un niveau supérieur, y compris les administratifs.

Injection SQL

En ne filtrant pas les données qui vont dans des requêtes SQL, le code malveillant peut être injecté dans les requêtes et les données supprimées, mises à jour ou insérées dans la base de données. C'est l'une des vulnérabilités les plus courantes.

Exécution de code à distance (RCE)

Au lieu de télécharger et d'exécuter du code malveillant, l'attaquant peut l'exécuter à partir d'un emplacement distant. Le code peut tout faire, détourner le site pour le supprimer complètement.

Liste des plugins WordPress, piratés, dangereux et vulnérables

Nom du plugin Type de vulnérabilité Versions Affectées Min / Max
Addblockblocker Téléchargement de fichier arbitraire 0.0.1
Advanced Access Manager privilege escalation 3.0.4 / 3.2.1
Advanced Ajax Page Loader Téléchargement de fichier arbitraire 2.5.7 / 2.7.6
Advanced Video Embed Embed Videos Or Playlists Visualisation de fichier arbitraire n/a / 1.0
Aspose Cloud Ebook Generator Visualisation de fichier arbitraire 1.0
Aspose Doc Exporter Visualisation de fichier arbitraire 1.0
Aspose Importer Exporter Visualisation de fichier arbitraire 1.0
Aspose Pdf Exporter Visualisation de fichier arbitraire 1.0
Attachment Manager Téléchargement de fichier arbitraire 1.0.0 / 2.1.1
Auto Attachments Téléchargement de fichier arbitraire 0.2.7 / 0.3
Bepro Listings Téléchargement de fichier arbitraire 2.0.54 / 2.2.0020
Blaze Slide Show For WordPress Téléchargement de fichier arbitraire 2.0 / 2.7
Breadcrumbs Ez Execution de code à distance (RCE) n/a
Candidate Application Form Visualisation de fichier arbitraire 1.0
Category Grid View Gallery Téléchargement de fichier arbitraire 0.1.0 / 0.1.1
Cherry Plugin Téléchargement de fichier arbitraire 1.0 / 1.2.6
Cip4 Folder Download Widget Visualisation de fichier arbitraire 1.4 / 1.10
Contus Video Gallery Visualisation de fichier arbitraire 2.2 / 2.3
Cross Rss Visualisation de fichier arbitraire 0.5
Custom Content Type Manager remote code execution 0.9.8.8
Db Backup Visualisation de fichier arbitraire 1.0 / 4.5
Disclosure Policy Plugin remote file inclusion (RFI) 1.0
Download Zip Attachments Visualisation de fichier arbitraire 1
Dp Thumbnail Téléchargement de fichier arbitraire 1.0
Dukapress Visualisation de fichier arbitraire 2.3.7 / 2.5.3
Ebook Download Visualisation de fichier arbitraire 1.1
Ecstatic Téléchargement de fichier arbitraire 0.90 (x9) / 0.9933
Ecwid Shopping Cart PHP Object Injection 3.4.4 / 4.4.3
Enable Google Analytics Execution de code à distance (RCE) n/a
Estatik Téléchargement de fichier arbitraire 1.0.0 / 2.2.5
Filedownload Visualisation de fichier arbitraire 0.1
Form Lightbox option update 1.1 / 2.1
Formidable information disclosure 1.07.5 / 2.0.07
Front End Upload Téléchargement de fichier arbitraire 0.3.0 / 0.5.3
Front File Manager Téléchargement de fichier arbitraire 0.1
Fs Real Estate Plugin SQL injection 1.1 / 2.06.03
Gi Media Library Visualisation de fichier arbitraire 1.0.300 / 2.2.2
Google Document Embedder SQL injection 2.5 / 2.5.16
Google Mp3 Audio Player Visualisation de fichier arbitraire 1.0.9 / 1.0.11
Gravityforms reflected cross-site scripting (XSS) 1.7 / 1.9.15.11
Hb Audio Gallery Lite Visualisation de fichier arbitraire 1.0.0
History Collection Visualisation de fichier arbitraire 1.1. / 1.1.1
Html5avmanager Téléchargement de fichier arbitraire 0.1.0 / 0.2.7
I Dump Iphone To WordPress Photo Uploader Téléchargement de fichier arbitraire 1.1.3 / 1.8
Ibs Mappro Visualisation de fichier arbitraire 0.1 / 0.6
Imdb Widget Visualisation de fichier arbitraire 1.0.1 / 1.0.8
Inboundio Marketing Téléchargement de fichier arbitraire 1.0.0 / 2.0
Infusionsoft Téléchargement de fichier arbitraire 1.5.3 / 1.5.10
Invit0r Téléchargement de fichier arbitraire 0.2 / 0.22
Is Human remote code execution 1.3.3 / 1.4.2
Jssor Slider Téléchargement de fichier arbitraire 1.0 / 1.3
Like Dislike Counter For Posts Pages And Comments SQL injection 1.0 / 1.2.3
Mac Dock Gallery Téléchargement de fichier arbitraire 1.0 / 2.7
Magic Fields Téléchargement de fichier arbitraire 1.5 / 1.5.5
Mailpress local file inclusion (LFI) 5.2 / 5.4.6
Mdc Youtube Downloader Visualisation de fichier arbitraire 2.1.0
Mm Forms Community Téléchargement de fichier arbitraire 1.0 / 2.2.6
Multi Plugin Installer Visualisation de fichier arbitraire 1.0.0 / 1.1.0
Mypixs local file inclusion (LFI) 0.3
Nmedia User File Uploader Téléchargement de fichier arbitraire 1.8
Paypal Currency Converter Basic For Woocommerce Visualisation de fichier arbitraire 1.0 / 1.3
Pica Photo Gallery Visualisation de fichier arbitraire 1.0
Pitchprint Téléchargement de fichier arbitraire 7.1 / 7.1.1
Plugin Newsletter Visualisation de fichier arbitraire 1.3 / 1.5
Really Simple Guest Post local file inclusion (LFI) 1.0.1 / 1.0.6
Recent Backups Visualisation de fichier arbitraire 0.1 / 0.7
Reflex Gallery Téléchargement de fichier arbitraire 1.0 / 3.0
Resume Submissions Job Postings Téléchargement de fichier arbitraire 2.0 / 2.5.3
Revslider Visualisation de fichier arbitraire 1.0 / 4.1.4
S3bubble Amazon S3 Html 5 Video With Adverts Visualisation de fichier arbitraire 0.5 / 0.7
Se Html5 Album Audio Player Visualisation de fichier arbitraire 1.0.8 / 1.1.0
Sell Downloads Visualisation de fichier arbitraire 1.0.1
Seo Watcher Téléchargement de fichier arbitraire 1.3.2 / 1.3.3
Sexy Contact Form Téléchargement de fichier arbitraire 0.9.1 / 0.9.8
Showbiz Visualisation de fichier arbitraire 1.0 / 1.5.2
Simple Ads Manager information disclosure 2.0.73 / 2.7.101
Simple Download Button Shortcode Visualisation de fichier arbitraire 1.0
Simple Dropbox Upload Form Téléchargement de fichier arbitraire 1.8.6 / 1.8.8
Simple Image Manipulator Visualisation de fichier arbitraire 1.0
Simplr Registration Form privilege escalation 2.2.0 / 2.4.3
Slide Show Pro Téléchargement de fichier arbitraire 2.0 / 2.4
Smart Slide Show Téléchargement de fichier arbitraire 2.0 / 2.4
Spicy Blogroll local file inclusion (LFI) 0.1 / 1.0.0
Store Locator Le unrestricted email sending 2.6 / 4.2.56
Tera Charts reflected cross-site scripting (XSS) 0.1 / 1.0
The Viddler WordPress Plugin cross-site request forgery (CSRF)/cross-site scripting (XSS) 1.2.3 / 2.0.0
Thecartpress local file inclusion (LFI) 1.1.0 / 1.1.5
Tinymce Thumbnail Gallery Visualisation de fichier arbitraire v1.0.4 / v1.0.7
Ultimate Product Catalogue Téléchargement de fichier arbitraire 1.0 / 3.1.1
User Role Editor privilege escalation 4.19 / 4.24
Website Contact Form With File Upload Téléchargement de fichier arbitraire 1.1 / 1.3.4
Woopra Téléchargement de fichier arbitraire 1.4.1 / 1.4.3.1
WordPress File Monitor Persistent cross-site scripting (XSS) 2.0 / 2.3.3
Wp Business Intelligence Lite Téléchargement de fichier arbitraire 1.0 / 1.0.7
Wp Custom Page Visualisation de fichier arbitraire 0.5 / 0.5.0.1
Wp Dreamworkgallery Téléchargement de fichier arbitraire 2.0 / 2.3
Wp Easycart authenticated Téléchargement de fichier arbitraire 1.1.27 / 3.0.8
Wp Ecommerce Shop Styling authenticated Visualisation de fichier arbitraire 1.0 / 2.5
Wp Editor authenticated Téléchargement de fichier arbitraire 1.0.2 / 1.2.5.3
Wp Filemanager Visualisation de fichier arbitraire 1.2.8 / 1.3.0
Wp Flipslideshow Persistent cross-site scripting (XSS) 2.0 / 2.2
Wp Homepage Slideshow Téléchargement de fichier arbitraire 2.0 / 2.3
Wp Image News Slider Téléchargement de fichier arbitraire 3.0 / 3.5
Wp Levoslideshow Téléchargement de fichier arbitraire 2.0 / 2.3
Wp Mobile Detector authenticated Persistent cross-site scripting (XSS) 3.0 / 3.2
Wp Mon Visualisation de fichier arbitraire 0.5 / 0.5.1
Wp Online Store Visualisation de fichier arbitraire 1.2.5 / 1.3.1
Wp Piwik Persistent cross-site scripting (XSS) 0.10.0.1 / 1.0.9
Wp Property Téléchargement de fichier arbitraire 1.20.0 / 1.35.0
Wp Royal Gallery Persistent cross-site scripting (XSS) 2.0 / 2.3
Wp Seo Spy Google Téléchargement de fichier arbitraire 3.0 / 3.1
Wp Slimstat Ex Téléchargement de fichier arbitraire 2.1 / 2.1.2
Wp Superb Slideshow Téléchargement de fichier arbitraire 2.0 / 2.4
Wp Swimteam Visualisation de fichier arbitraire 1 / 1.44.1077
Wp Symposium Téléchargement de fichier arbitraire 13.04 / 14.11
Wp Vertical Gallery Téléchargement de fichier arbitraire 2.0 / 2.3
Wp Yasslideshow Téléchargement de fichier arbitraire 3.0 / 3.4
Wpeasystats local file inclusion (LFI) 1.8
Wpmarketplace Visualisation de fichier arbitraire 2.2.0 / 2.4.0
Wpshop Téléchargement de fichier arbitraire 1.3.1.6 / 1.3.9.5
Wpstorecart Téléchargement de fichier arbitraire 2.0.0 / 2.5.29
Wptf Image Gallery Visualisation de fichier arbitraire 1.0.1 / 1.0.3
Wsecure Execution de code à distance (RCE) 2.3
Wysija Newsletters Téléchargement de fichier arbitraire 1.1 / 2.6.7
Xdata Toolkit Téléchargement de fichier arbitraire 1.6 / 1.9
Zingiri Web Shop Téléchargement de fichier arbitraire 2.3.6 / 2.4.3
Zip Attachments Visualisation de fichier arbitraire 1.0 / 1.4

 

Vous avez envie d'un WordPress plus sécurisé ?

Scroll To Top