À la fin du mois d’octobre, plusieurs nouveaux plugins WordPress et vulnérabilités thématiques ont été publiés, donc nous aimerions tenir au courant. Dans nous présentons les dernières vulnérabilités des plugins et des thèmes WordPress et ce que devez faire si utilisez l’un des plugins ou thèmes vulnérables sur votre site. Nous avons divisé le résumé des vulnérabilités de WordPress en quatre catégories: 1. WordPress core 2. Plugin wordpress 3. Thème WordPress 4. * Nous incluons les violations de l’ensemble du réseau, car il est également essentiel de comprendre les vulnérabilités en dehors de l’écosystème WordPress. Une vulnérabilité logicielle du serveur peut exposer des données sensibles. Une vulnérabilité à la base de données pourrait exposer les identifiants damp;rsquoutilisateur de votre site, ouvrant la porte à un attaquant pour accéder à votre site.
Remarque: Vous pouvez accéder directement au tableau récapitulatif des vulnérabilités pour la fin damp;rsquooctobre 2019 ci dessous. Aucune vulnérabilité WordPress n’a été détectée fin octobre 2019. Plusieurs nouvelles vulnérabilités du plugin wordpress ont été découvertes en octobre. Assurez de mettre à jour le plug in ou de le désinstaller complètement comme recommandé ci dessous. 1. Paquet de référencement intégré All in one SEO Pack 3.2.6 and earlier are vulnerable to storage Cross site scripting attacks. Un attaquant doit exploiter la vulnérabilité en utilisant un utilisateur authentifié. un attaquant peut accéder à un utilisateur administrateur, il peut exécuter du Code PHP et détruire le serveur.
Ce que devez faire cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 3.2.7. 2. Vérifier les liens déconnectés Les versions 1.11.8 et antérieures du vérificateur de liens fracturés sont vulnérables aux attaques de script inter site authentifiées. Désinstaller et supprimer
Plug in. Manage WP ne maintient pas activement les plug ins et ne publie pas de correctifs. 3. Event Manager Events Manager 5.9.5 et plus tôt est vulnérable aux attaques de script inter site de stockage. Que devez faire cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 5.9.6. 4. Loi européenne sur les biscuits
La version 3.0.6 et les versions antérieures de la loi sur les cookies de lamp;rsquoUE sont vulnérables aux attaques de script inter sites. Cette vulnérabilité permet à un attaquant damp;rsquoinsérer du HTML et du JavaScript arbitraires pour modifier la couleur de police, la couleur de fond et les paramètres de texte « désactiver les cookies » dans le plug in. Ce que devez faire cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 3.1. 5. Réduire au minimum la vitesse Fast Velocity minify 2.7.6 et plus tôt a une vulnérabilité qui permet aux attaquants authentifiés de découvrir le chemin racine complet de l’installation WordPress. La vulnérabilité du chemin complet lui même namp;rsquoest pas importante. Cependant, la connaissance du chemin racine donnera à lamp;rsquoattaquant les informations nécessaires pour exploiter damp;rsquoautres vulnérabilités plus graves.
Que devez faire cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 2.7.7. 6. Amélioration de la syntaxe du stylo fluorescent Syntax highlighter 3.5.0 et plus tôt sont vulnérables aux attaques de script inter site. Ce que devez faire cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 3.5.1. 7. Publier HTML WP WP HTML mail version 2.9.0.3 et plus tôt est vulnérable aux attaques par injection HTML. Ce que devez faire cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 2.9.1. 8. Facture de tranche La version 3.8.2 de la facture slice et les versions antérieures présentent des vulnérabilités supplémentaires. Les vulnérabilités comprennent lamp;rsquoinjection SQL authentifiée, les scripts inter sites de réflexion authentifiés et la divulgation damp; non authentifiées auxquelles lamp;rsquoaccès est autorisé.
Moins une fois par semaine pour effectuer la mise à jour. Les mises à jour automatiques aident les mises à jour automatiques sont un bon choix pour les sites WordPress qui ne changent pas souvent. Par manque damp;rsquoattention, ces sites sont souvent négligés et vulnérables aux attaques. Même avec les paramètres de sécurité recommandés, lamp;rsquoexécution damp;rsquoun logiciel vulnérable sur un site peut fournir aux attaquants un point damp;rsquoaccès au site.
Avec la fonctionnalité de gestion de version du plug in themes Security pro, pouvez activer les mises à jour automatiques wordpress pour assurer de recevoir les derniers correctifs de sécurité. Ces paramètres aident à protéger votre site en mettant automatiquement à jour les nouvelles versions ou en offrant des options pour améliorer la sécurité des utilisateurs lorsque le logiciel du site expire. Gérer les options de mise à jour pour les mises à jour de la version WordPress: Installer automatiquement la dernière version de WordPress. Mise à jour automatique du plug in: installe automatiquement les dernières mises à jour du plug in. Cette fonctionnalité devrait être activée à moins que ne mainteniez activement ce site tous les jours et que namp;rsquoinstalliez manuellement les mises à jour peu de temps après leur publication. Mise à jour automatique du thème: installe automatiquement les dernières mises à jour du thème. Cette option doit être activée à moins que le sujet namp;rsquoait une personnalisation de fichier. Contrôle à grain fin des mises à jour des plug ins et des thèmes: devrez peut être mettre à jour manuellement les plug ins thèmes ou retarder les mises à jour jusquamp;rsquoà ce que la version soit stable. Vous pouvez choisir de personnaliser les possibilités damp;rsquoassigner des mises à jour instantanées (activées), des mises à jour non automatiques (désactivées) ou des mises à jour retardées (retardées) pour un certain nombre de jours par plug in ou sujet.
Questions de renforcement et de rappel
A a été réparé et devriez le mettre à jour à la version 3.2.7. Les versions 1.11.8 et antérieures du vérificateur de liens fracturés sont vulnérables aux attaques de script inter site authentifiées. Retirez le plug in. Manage WP ne maintient pas activement les plug ins et ne publie pas de correctifs. Events Manager 5.9.5 et plus tôt est vulnérable aux attaques de script inter site de stockage. Cette vulnérabilité a été corrigée et devriez mettre à jour la version 5.9.6. La version 3.0.6 et les versions antérieures de la loi sur les cookies de lamp;rsquoUE sont vulnérables aux attaques de script inter sites. Cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 3.1. Fast Velocity minify 2.7.6 et plus tôt a une vulnérabilité qui permet aux attaquants authentifiés de découvrir le chemin racine complet de l’installation WordPress. Cette vulnérabilité a été corrigée et devriez mettre à jour la version 2.7.7. Syntax highlighter 3.5.0 et plus tôt sont vulnérables aux attaques de script inter site. Cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 3.5.1. WP HTML mail version 2.9.0.3 et plus tôt est vulnérable aux attaques par injection HTML. Cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 2.9.1. La version 3.8.2 de la facture slice et les versions antérieures présentent des vulnérabilités supplémentaires. Les vulnérabilités comprennent lamp;rsquoinjection SQL authentifiée, les scripts inter sites de réflexion authentifiés, la divulgation damp; non authentifiées qui permettent lamp;rsquoaccès aux factures, et lamp;rsquoabsence de contrôles de falsification et damp;rsquoauthentification des demandes inter sites. Cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 3.8.4. Le plug in zoho CRM Lead Magnet version 1.6.9 est vulnérable aux attaques de script inter site authentifiées. Cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 1.6.9.1. Les informations sur lamp;rsquoauteur version 1.3.9 et plus tôt sont vulnérables aux attaques de script inter site authentifiées. Cette vulnérabilité a été corrigée, devriez
Mise à jour vers la version 1.4.0. Les modèles de courriel version 1.3 et plus tôt sont vulnérables aux attaques par injection HTML. Cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 1.3.1. Groundhogg version 1.3.11.3 et plus tôt sont vulnérables aux scripts inter sites authentifiés et aux attaques damp;rsquoinjection SQL. Cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 2.0.9.11. Les modèles de courriel WP version 2.2.10 et plus tôt sont vulnérables aux attaques par injection HTML. Cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 2.2.11. Injob themes version 3.3.7 et plus tôt sont vulnérables aux attaques de script inter site. Cette vulnérabilité a été corrigée et devriez la mettre à jour à la version 3.3.8. Le plugin de sécurité WordPress peut aider à protéger votre site et à économiser 35% de réduction jusqu’au 31 octobre. Notre plugin de sécurité WordPress, Themes Security pro, offre plus de 30 façons de protéger votre site des vulnérabilités de sécurité WordPress communes. Avec wordpress, l’authentification à deux facteurs, la protection contre la violence, l’exécution de mots de passe complexes et d’autres fonctionnalités, pouvez ajouter une couche de sécurité supplémentaire à votre site. Profitez damp;rsquoune réduction de 25% sur ithemes *: jusquamp;rsquoau 31 octobre 201 à 23: 59 (CT), tout achat de plug ins, de thèmes, de paquets combinés et damp;rsquohôtes, ainsi que le Code de coupon treat35. Va chercher la sécurité damp;rsquoisemus. Michael Moore organise chaque semaine des rapports de vulnérabilité wordpress pour aider à sécuriser votre site. En tant que Directrice des produits Themes, elle nous aide à continuer damp;rsquoaméliorer notre gamme de produits themes. Camp;rsquoest un super nerd qui aime apprendre toutes les techniques, anciennes et nouvelles. Michael sort avec sa femme et sa fille, lit des livres ou écoute de la musique quand il ne travaille pas.
Collection de vulnérabilités WordPress: octobre 2019, partie 2
