Le site Global Security Mag a mis à jour la liste des vulnérabilités de plusieurs plugins de WordPress. Je vous suggère donc de désinstaller ces plugins en attendant une mise à jour sécurisée
- WordPress Recommend to a friend : Cross Site Scripting – 14 janvier 2014
- WordPress AskApache Firefox Adsense : Cross Site Request Forgery – 14 janvier 2014
- WordPress Ad-minister : Cross Site Scripting – 14 janvier 2014
- WordPress WP-Cron Dashboard : Cross Site Scripting – 14 janvier 2014
- WordPress DewPlayer : Cross Site Scripting – 14 janvier 2014
- WordPress Persuasion : exécution de code PHP – 8 janvier 2014
Détails sur les vulnérabilités découvertes :
Cross Site Scripting : Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d’injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page
Cross Site Request Forgery : Les attaques de type cross-site request forgery (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l’utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés.
Exécution de code PHP : Un attaquant peut uploader un fichier PHP via WordPress Contact Form 7, afin d’exécuter du code PHP.
Les vulnérabilités : Véritable danger
Je vous rappelle que la sécurité de votre site WordPress est une chose à ne pas prendre à la légère. Si vous repérez un plugin que vous utilisez dans la liste ci-dessus, il vaut mieux le désinstaller que d’avoir à subir des problèmes.
Publié à l'origine le : 15 janvier 2014 @ 9 h 08 min
