Une nouvelle vulnérabilité dans le plugin wordpress a été divulguée fin juillet, donc nous aimerions tenir au courant. Nous avons divisé le résumé des vulnérabilités de WordPress en quatre catégories: 1. WordPress core 2. Plugin wordpress 3. Thème WordPress 4. * Nous incluons les violations de l’ensemble du réseau, car il est également essentiel de comprendre les vulnérabilités en dehors de l’écosystème WordPress. Une vulnérabilité logicielle du serveur peut exposer des données sensibles. Une vulnérabilité à la base de données pourrait exposer les identifiants damp;rsquoutilisateur de votre site, ouvrant la porte à un attaquant pour accéder à votre site.
Aucune vulnérabilité WordPress n’a été détectée depuis juillet 2019. Vulnérabilité du plugin wordpress plusieurs nouvelles vulnérabilités du plugin wordpress ont été découvertes en juillet. Assurez de mettre à jour le plug in ou de le désinstaller complètement comme recommandé ci dessous. 1. Onesignal web Push Notification Onesignal – Web push notification version 1.17.5 et plus tôt est vulnérable aux attaques xss stockées. Ce que devriez faire et cette vulnérabilité namp;rsquoa pas été corrigée. Supprimez le plug in jusquamp;rsquoà ce que le développeur publie une mise à jour avec un correctif. 2. Migration intégrée du WP
Toutes les versions de migration WP 6.97 et antérieures sont vulnérables aux attaques xss de stockage authentifiées. Ce que devez faire pour corriger cette vulnérabilité, devriez mettre à jour la version 7.0. 3. WPS Hidden Access right WPS hide login version 1.5.2.2 et plus tôt a un bogue qui permet d’accéder à la page de connexion WordPress. Ce que devez faire cette vulnérabilité a été corrigée et devriez mettre à jour la version 1.5.3. De plus, jetez un coup d’œil aux 5 meilleurs mythes de sécurité de WordPress qui ont disparu. Changer lamp;rsquoURL de connexion namp;rsquoest pas aussi sûr que le pensez et peut causer plus de problèmes.
A a été réparé et devriez mettre à jour la version 5.6.0. 12. Inscription simple Lamp;rsquoabonnement simple version 3.8.4 et plus tôt est vulnérable aux attaques de falsification de demandes inter sites. Ce que devez faire cette vulnérabilité a été corrigée et devriez mettre à jour la version 3.8.5. 13. Formulaire de contact principal 7 DB Les plug ins avancés 7 DB contact module version 1.6.1 et plus tôt sont vulnérables aux attaques damp;rsquoinjection SQL. Ce que devez faire cette vulnérabilité a été corrigée et devriez mettre à jour la version 1.7.1. 14. Page entrante et mode de maintenance
Les prochaines versions de la page et du mode de maintenance 1.8.0 et plus tôt sont vulnérables aux attaques xss de stockage non authentifiées. Ce que devez faire pour corriger cette vulnérabilité, devriez mettre à jour la version 11.8.2. 15. Panier simple paypal ultra fourni par WordPress Les chariots paypal ultra simples de WordPress version 4.4 et plus tôt sont vulnérables aux demandes de spoofing inter site et à la vérification des types de fichiers. Ce que devez faire pour corriger cette vulnérabilité, devriez mettre à jour la version 4.5. 16. Abonnez à une catégorie spécifique de flux RSS
Les abonnements RSS spécifiques à la catégorie, version 4.4 et plus tôt, sont vulnérables aux attaques de falsification de demandes inter sites et de contrôle de type de fichier. Ce que devez faire pour corriger cette vulnérabilité, devriez mettre à jour la version 4.5. 17 rendez Les versions 1.1.45 et antérieures du plug in damp;rsquoabonnement à lamp;rsquoheure de rendez sont vulnérables aux attaques de script inter sites. Ce que devez faire cette vulnérabilité a été corrigée et devriez mettre à jour la version 1.1.46. Les thèmes WordPress n’ont pas de nouvelles vulnérabilités de thème à la fin de juillet. La principale raison pour laquelle le site WordPress est piraté est de se prémunir activement contre les vulnérabilités dans les thèmes et les plug ins WordPress qui exécutent des logiciels obsolètes. Camp;rsquoest profond.
Pour garantir la sécurité du site WordPress, avez une routine de mise à jour. Vous devriez visiter le site au moins une fois par semaine pour effectuer des mises à jour.
Les mises à jour automatiques aident les mises à jour automatiques sont un bon choix pour les sites WordPress qui ne changent pas souvent. Par manque damp;rsquoattention, ces sites sont souvent négligés et vulnérables aux attaques. Même avec les paramètres de sécurité recommandés, lamp;rsquoexécution damp;rsquoun logiciel vulnérable sur un site peut fournir aux attaquants un point damp;rsquoaccès au site. Avec la fonctionnalité de gestion de version du plug in themes Security pro, pouvez activer les mises à jour automatiques wordpress pour assurer de recevoir les derniers correctifs de sécurité. Ces paramètres aident à protéger votre site en mettant automatiquement à jour les nouvelles versions ou en offrant des options pour améliorer la sécurité des utilisateurs lorsque le logiciel du site expire.
Gérer les options de mise à jour pour les mises à jour de la version WordPress: Installer automatiquement la dernière version de WordPress. Mise à jour automatique du plug in: installe automatiquement les dernières mises à jour du plug in. Cette fonctionnalité devrait être activée à moins que ne mainteniez activement ce site tous les jours et que namp;rsquoinstalliez manuellement les mises à jour peu de temps après leur publication. Mise à jour automatique du thème: installe automatiquement les dernières mises à jour du thème. Cette option doit être activée à moins que le sujet namp;rsquoait une personnalisation de fichier. Contrôle à grain fin des mises à jour des plug ins et des thèmes: devrez peut être mettre à jour manuellement les plug ins thèmes ou retarder les mises à jour jusquamp;rsquoà ce que la version soit stable. Au lieu de mettre à jour automatiquement
Désactiver) ou retarder la mise à jour damp;rsquoun certain nombre de jours (retard). Renforcer et rappeler les questions clés renforcer le site lors de lamp;rsquoexécution de logiciels obsolètes: Ajouter automatiquement une protection supplémentaire au site lorsque les mises à jour disponibles ne sont pas installées dans un délai damp;rsquoun mois. Lorsquamp;rsquoaucune mise à jour namp;rsquoest installée depuis un mois, le plug in de sécurité themes permet automatiquement une sécurité plus stricte. Premièrement, il obligera tous les utilisateurs qui namp;rsquoont pas activé le double facteur à fournir le Code damp;rsquoaccès à leur adresse électronique avant de se connecter à nouveau. Deuxièmement, il désactivera lamp;rsquoéditeur de fichiers WP (pour empêcher les gens damp;rsquoéditer le plug in ou le Code de sujet), le ping back XML RPC et bloquera les tentatives damp;rsquoauthentification multiples pour chaque demande XML RPC (les deux rendront le XML RPC plus résistant aux attaques sans avoir à le désactiver complètement). Découvrez d’autres anciens sites WordPress – ceci vérifiera si d’autres installations WordPress obsolètes sont disponibles sur votre compte d’hébergement. Un site WordPress obsolète avec une vulnérabilité pourrait permettre à un attaquant de détruire tous les autres sites sur le même compte d’hébergement. Envoyer une notification par courriel: un courriel sera envoyé aux utilisateurs au niveau de lamp;rsquoAdministrateur pour toute question nécessitant une action. Violations de lamp;rsquoensemble du Web 1. La fuite de données de capital One a mis en danger plus de 100 millions de Paige « errant » Thompson, un ancien employé damp;rsquoAWS, en envahissant un serveur AWS qui stocke des renseignements sur les clients de capital one. Une fois quamp;rsquoun hacker, connu sous le nom d amp;lsquo« errant », a accédé au serveur, il a pu obtenir des renseignements sur plus de 100 millions de clients de capital one. La plupart des données quamp;rsquoelle a pu recueillir sont sans importance, comme les noms, les courriels et les adresses physiques. En damp;rsquoautres termes, nous ne devons pas minimiser la gravité du défaut. Paige
Elle a réussi à obtenir un million de numéros de sécurité sociale canadiens, 140 000 numéros de sécurité sociale et 80 000 numéros de compte bancaire. La possession du nom, de lamp;rsquoadresse et du numéro de sécurité sociale damp;rsquoune personne est le seul moyen de voler son identité et de commencer à prêter en son nom. La violation de capital one namp;rsquoest quamp;rsquoune des nombreuses violations qui auraient pu être évitées. Le serveur AWS namp;rsquoest pas configuré correctement, ce qui permet aux pirates informatiques damp;rsquoaccéder aux données sensibles des clients. Même les violations damp;rsquoequifax dans les nouvelles peuvent être évitées. Equifax namp;rsquoa quamp;rsquoà appliquer les correctifs de sécurité publiés trois mois avant lamp;rsquoattaque. Il y a une leçon malheureuse à tirer de la vulnérabilité Capital One: partagez vos renseignements personnels en ligne, devriez attendre à ce quamp;rsquoils finissent par causer des fuites de données. Le plugin de sécurité WordPress peut aider à protéger votre site Internet, Themes Security pro, et notre plugin de sécurité WordPress offre plus de 30 façons de protéger votre site des vulnérabilités de sécurité WordPress communes. Avec l’authentification à deux facteurs de WordPress, la protection contre la violence, l’exécution de mots de passe complexes et d’autres fonctionnalités, pouvez ajouter une couche de sécurité supplémentaire à votre site. En savoir plus sur la sécurité WordPress avec 10 conseils clés. Télécharger le livre électronique maintenant: le Guide de sécurité WordPress Télécharger maintenant pour la sécurité des themes Michael Moore organise chaque semaine des rapports de vulnérabilité wordpress pour aider à sécuriser votre site. En tant que Directrice des produits Themes, elle nous aide à continuer damp;rsquoaméliorer notre gamme de produits themes. Camp;rsquoest un super nerd qui aime apprendre toutes les techniques, anciennes et nouvelles. Michael sort avec sa femme et sa fille, lit des livres ou écoute de la musique quand il ne travaille pas.
Collection de vulnérabilités WordPress: juillet 2019, partie 2
