Plugins WordPress dangereux & vulnérables

Avec plus de 47 000 plugins dans le dépôt officiel de WordPress et des milliers d'autres disponibles sur divers autres marchés et sites, trouver ceux qui fonctionnent bien est une tâche ardue. Trouver des plugins WordPress qui sont sécurisés et ne mettent pas en danger votre site est une tâche encore plus difficile en raison de la nature complexe de la sécurité WordPress et des plugins qui possèdent des milliers de lignes de code.
Bien que nous ne puissions pas vous aider à éviter tous les mauvais plugins, nous pouvons identifier ceux qui sont connus, et confirmer les vulnérabilités et les problèmes de sécurité. Sauf si vous savez ce que vous faites, testez quelque chose sur une installation locale. Ou si vous êtes dans la sécurité de WordPress, vous ne devriez pas utiliser les plugins dangereux énumérés ci-dessous sur des sites en production. Les problèmes expliqués dans le tableau ci-dessous sont bien connus et documentés, ce qui rend facile pour ceux qui ont de mauvaises intentions à exploiter ces failles de sécurité et d'attaquer votre site.

En énumérant les plugins sur cette page, nous voulons, sans manquer de respect pour eux ou leurs auteurs, avertir les utilisateurs de ne pas installer des versions spécifiques qui ont des problèmes de sécurité connus. Si vous sentez que votre plugin a été répertorié par défaut ou besoin d'aide pour le mettre à jour, s'il vous plaît contactez-nous.

COMMENT UTILISER CETTE PAGE ET LA LISTE DES PLUGINS VULNÉRABLES?

Si vous utilisez l'un des plugins énumérés, double-vérifiez le numéro de version afin de confirmer qu'il est l'un des plugins à problèmes connus. Si oui, retirer le plugin immédiatement! Cela inclut la désactivation et la suppression de celui-ci. Pas uniquement la désactivation. Vous pouvez également contacter l'auteur et lui demander si les problèmes ont été corrigés et si non, l'encourager à le faire.

TYPES DE VULNÉRABILITÉ

Un rappel rapide des tous les types de problèmes et vulnérabilités les plus communs auquels vous pouvez être confrontés avec WordPress. Veuillez noter que la plupart des problèmes sont une combinaison de deux ou plusieurs types énumérés ci-dessous.

Visualisation de fichier arbitraire

Au lieu de ne laisser que certaines sources de fichier à être visualisées (par exemple des modèles de plugin), l'absence de contrôle dans le code permet à l'attaquant de visualiser la source de tout fichier, y compris ceux avec des informations sensibles telles que le wp-config.php.

Téléchargement de fichier arbitraire

L'absence de filtrage de fichiers et de contenu permet de télécharger des fichiers arbitraires qui peuvent contenir du code exécutable qui, une fois exécuté, peut faire à peu près tout sur un site.

Elévation de privilèges

Une fois que l'attaquant a un compte sur le site, même s'il est seulement du type "abonné", il peut élever ses privilèges à un niveau supérieur, y compris les administratifs.

Injection SQL

En ne filtrant pas les données qui vont dans des requêtes SQL, le code malveillant peut être injecté dans les requêtes et les données supprimées, mises à jour ou insérées dans la base de données. C'est l'une des vulnérabilités les plus courantes.

Exécution de code à distance (RCE)

Au lieu de télécharger et d'exécuter du code malveillant, l'attaquant peut l'exécuter à partir d'un emplacement distant. Le code peut tout faire, détourner le site pour le supprimer complètement.

Liste des plugins WordPress, piratés, dangereux et vulnérables

Nom du pluginType de vulnérabilitéVersions Affectées Min / Max
AddblockblockerTéléchargement de fichier arbitraire0.0.1
Advanced Access Managerprivilege escalation3.0.4 / 3.2.1
Advanced Ajax Page LoaderTéléchargement de fichier arbitraire2.5.7 / 2.7.6
Advanced Video Embed Embed Videos Or PlaylistsVisualisation de fichier arbitrairen/a / 1.0
Aspose Cloud Ebook GeneratorVisualisation de fichier arbitraire1.0
Aspose Doc ExporterVisualisation de fichier arbitraire1.0
Aspose Importer ExporterVisualisation de fichier arbitraire1.0
Aspose Pdf ExporterVisualisation de fichier arbitraire1.0
Attachment ManagerTéléchargement de fichier arbitraire1.0.0 / 2.1.1
Auto AttachmentsTéléchargement de fichier arbitraire0.2.7 / 0.3
Bepro ListingsTéléchargement de fichier arbitraire2.0.54 / 2.2.0020
Blaze Slide Show For WordPressTéléchargement de fichier arbitraire2.0 / 2.7
Breadcrumbs EzExecution de code à distance (RCE)n/a
Candidate Application FormVisualisation de fichier arbitraire1.0
Category Grid View GalleryTéléchargement de fichier arbitraire0.1.0 / 0.1.1
Cherry PluginTéléchargement de fichier arbitraire1.0 / 1.2.6
Cip4 Folder Download WidgetVisualisation de fichier arbitraire1.4 / 1.10
Contus Video GalleryVisualisation de fichier arbitraire2.2 / 2.3
Cross RssVisualisation de fichier arbitraire0.5
Custom Content Type Managerremote code execution0.9.8.8
Db BackupVisualisation de fichier arbitraire1.0 / 4.5
Disclosure Policy Pluginremote file inclusion (RFI)1.0
Download Zip AttachmentsVisualisation de fichier arbitraire1
Dp ThumbnailTéléchargement de fichier arbitraire1.0
DukapressVisualisation de fichier arbitraire2.3.7 / 2.5.3
Ebook DownloadVisualisation de fichier arbitraire1.1
EcstaticTéléchargement de fichier arbitraire0.90 (x9) / 0.9933
Ecwid Shopping CartPHP Object Injection3.4.4 / 4.4.3
Enable Google AnalyticsExecution de code à distance (RCE)n/a
EstatikTéléchargement de fichier arbitraire1.0.0 / 2.2.5
FiledownloadVisualisation de fichier arbitraire0.1
Form Lightboxoption update1.1 / 2.1
Formidableinformation disclosure1.07.5 / 2.0.07
Front End UploadTéléchargement de fichier arbitraire0.3.0 / 0.5.3
Front File ManagerTéléchargement de fichier arbitraire0.1
Fs Real Estate PluginSQL injection1.1 / 2.06.03
Gi Media LibraryVisualisation de fichier arbitraire1.0.300 / 2.2.2
Google Document EmbedderSQL injection2.5 / 2.5.16
Google Mp3 Audio PlayerVisualisation de fichier arbitraire1.0.9 / 1.0.11
Gravityformsreflected cross-site scripting (XSS)1.7 / 1.9.15.11
Hb Audio Gallery LiteVisualisation de fichier arbitraire1.0.0
History CollectionVisualisation de fichier arbitraire1.1. / 1.1.1
Html5avmanagerTéléchargement de fichier arbitraire0.1.0 / 0.2.7
I Dump Iphone To WordPress Photo UploaderTéléchargement de fichier arbitraire1.1.3 / 1.8
Ibs MapproVisualisation de fichier arbitraire0.1 / 0.6
Imdb WidgetVisualisation de fichier arbitraire1.0.1 / 1.0.8
Inboundio MarketingTéléchargement de fichier arbitraire1.0.0 / 2.0
InfusionsoftTéléchargement de fichier arbitraire1.5.3 / 1.5.10
Invit0rTéléchargement de fichier arbitraire0.2 / 0.22
Is Humanremote code execution1.3.3 / 1.4.2
Jssor SliderTéléchargement de fichier arbitraire1.0 / 1.3
Like Dislike Counter For Posts Pages And CommentsSQL injection1.0 / 1.2.3
Mac Dock GalleryTéléchargement de fichier arbitraire1.0 / 2.7
Magic FieldsTéléchargement de fichier arbitraire1.5 / 1.5.5
Mailpresslocal file inclusion (LFI)5.2 / 5.4.6
Mdc Youtube DownloaderVisualisation de fichier arbitraire2.1.0
Mm Forms CommunityTéléchargement de fichier arbitraire1.0 / 2.2.6
Multi Plugin InstallerVisualisation de fichier arbitraire1.0.0 / 1.1.0
Mypixslocal file inclusion (LFI)0.3
Nmedia User File UploaderTéléchargement de fichier arbitraire1.8
Paypal Currency Converter Basic For WoocommerceVisualisation de fichier arbitraire1.0 / 1.3
Pica Photo GalleryVisualisation de fichier arbitraire1.0
PitchprintTéléchargement de fichier arbitraire7.1 / 7.1.1
Plugin NewsletterVisualisation de fichier arbitraire1.3 / 1.5
Really Simple Guest Postlocal file inclusion (LFI)1.0.1 / 1.0.6
Recent BackupsVisualisation de fichier arbitraire0.1 / 0.7
Reflex GalleryTéléchargement de fichier arbitraire1.0 / 3.0
Resume Submissions Job PostingsTéléchargement de fichier arbitraire2.0 / 2.5.3
RevsliderVisualisation de fichier arbitraire1.0 / 4.1.4
S3bubble Amazon S3 Html 5 Video With AdvertsVisualisation de fichier arbitraire0.5 / 0.7
Se Html5 Album Audio PlayerVisualisation de fichier arbitraire1.0.8 / 1.1.0
Sell DownloadsVisualisation de fichier arbitraire1.0.1
Seo WatcherTéléchargement de fichier arbitraire1.3.2 / 1.3.3
Sexy Contact FormTéléchargement de fichier arbitraire0.9.1 / 0.9.8
ShowbizVisualisation de fichier arbitraire1.0 / 1.5.2
Simple Ads Managerinformation disclosure2.0.73 / 2.7.101
Simple Download Button ShortcodeVisualisation de fichier arbitraire1.0
Simple Dropbox Upload FormTéléchargement de fichier arbitraire1.8.6 / 1.8.8
Simple Image ManipulatorVisualisation de fichier arbitraire1.0
Simplr Registration Formprivilege escalation2.2.0 / 2.4.3
Slide Show ProTéléchargement de fichier arbitraire2.0 / 2.4
Smart Slide ShowTéléchargement de fichier arbitraire2.0 / 2.4
Spicy Blogrolllocal file inclusion (LFI)0.1 / 1.0.0
Store Locator Leunrestricted email sending2.6 / 4.2.56
Tera Chartsreflected cross-site scripting (XSS)0.1 / 1.0
The Viddler WordPress Plugincross-site request forgery (CSRF)/cross-site scripting (XSS)1.2.3 / 2.0.0
Thecartpresslocal file inclusion (LFI)1.1.0 / 1.1.5
Tinymce Thumbnail GalleryVisualisation de fichier arbitrairev1.0.4 / v1.0.7
Ultimate Product CatalogueTéléchargement de fichier arbitraire1.0 / 3.1.1
User Role Editorprivilege escalation4.19 / 4.24
Website Contact Form With File UploadTéléchargement de fichier arbitraire1.1 / 1.3.4
WoopraTéléchargement de fichier arbitraire1.4.1 / 1.4.3.1
WordPress File MonitorPersistent cross-site scripting (XSS)2.0 / 2.3.3
Wp Business Intelligence LiteTéléchargement de fichier arbitraire1.0 / 1.0.7
Wp Custom PageVisualisation de fichier arbitraire0.5 / 0.5.0.1
Wp DreamworkgalleryTéléchargement de fichier arbitraire2.0 / 2.3
Wp Easycartauthenticated Téléchargement de fichier arbitraire1.1.27 / 3.0.8
Wp Ecommerce Shop Stylingauthenticated Visualisation de fichier arbitraire1.0 / 2.5
Wp Editorauthenticated Téléchargement de fichier arbitraire1.0.2 / 1.2.5.3
Wp FilemanagerVisualisation de fichier arbitraire1.2.8 / 1.3.0
Wp FlipslideshowPersistent cross-site scripting (XSS)2.0 / 2.2
Wp Homepage SlideshowTéléchargement de fichier arbitraire2.0 / 2.3
Wp Image News SliderTéléchargement de fichier arbitraire3.0 / 3.5
Wp LevoslideshowTéléchargement de fichier arbitraire2.0 / 2.3
Wp Mobile Detectorauthenticated Persistent cross-site scripting (XSS)3.0 / 3.2
Wp MonVisualisation de fichier arbitraire0.5 / 0.5.1
Wp Online StoreVisualisation de fichier arbitraire1.2.5 / 1.3.1
Wp PiwikPersistent cross-site scripting (XSS)0.10.0.1 / 1.0.9
Wp PropertyTéléchargement de fichier arbitraire1.20.0 / 1.35.0
Wp Royal GalleryPersistent cross-site scripting (XSS)2.0 / 2.3
Wp Seo Spy GoogleTéléchargement de fichier arbitraire3.0 / 3.1
Wp Slimstat ExTéléchargement de fichier arbitraire2.1 / 2.1.2
Wp Superb SlideshowTéléchargement de fichier arbitraire2.0 / 2.4
Wp SwimteamVisualisation de fichier arbitraire1 / 1.44.1077
Wp SymposiumTéléchargement de fichier arbitraire13.04 / 14.11
Wp Vertical GalleryTéléchargement de fichier arbitraire2.0 / 2.3
Wp YasslideshowTéléchargement de fichier arbitraire3.0 / 3.4
Wpeasystatslocal file inclusion (LFI)1.8
WpmarketplaceVisualisation de fichier arbitraire2.2.0 / 2.4.0
WpshopTéléchargement de fichier arbitraire1.3.1.6 / 1.3.9.5
WpstorecartTéléchargement de fichier arbitraire2.0.0 / 2.5.29
Wptf Image GalleryVisualisation de fichier arbitraire1.0.1 / 1.0.3
WsecureExecution de code à distance (RCE)2.3
Wysija NewslettersTéléchargement de fichier arbitraire1.1 / 2.6.7
Xdata ToolkitTéléchargement de fichier arbitraire1.6 / 1.9
Zingiri Web ShopTéléchargement de fichier arbitraire2.3.6 / 2.4.3
Zip AttachmentsVisualisation de fichier arbitraire1.0 / 1.4

 

ENVIE D'UN WORDPRESS MIEUX SÉCURISÉ ?