Depuis que j’ai débuté cette rubrique, il y a près de deux ans, je n’avais jamais vu une telle liste de plugin comportant des failles de sécurité.
Heureusement que de très nombreux développeurs sont réactifs lorsque des failles de sécurité leurs sont signalées, car au lieu de cinquante cinq failles non corrigées, il y aurait quatre vingt et un plugin contenant de failles.
Plus grave encore, Marcin Probola du site Cinu a testé les 1000 premiers plugin disponibles sur le répertoire WordPress, et il a constaté que 103 d’entre eux, totalisant au total plus de 4.000.000 d’installations actives, contenaient des failles non corrigées!
Une fois de plus, les détracteurs de WordPress vont s’en donner à cœur joie, arguant que le CMS n’est pas sécurisé, et que blablabla…
Comme je le disais en début de cet article, de très nombreux développeurs sont très réactifs et ne tarderont pas à corriger les vulnérabilités découvertes. Faute de les corriger dans un temps « raisonnable » les responsables du répertoire WordPress devrait supprimer ces plugin. Que pensez-vous de cette idée?
Alerte de sécurité WordPress – 25-11-2015
Nous vous informons régulièrement des problèmes de sécurité liés au monde WordPress, core, thème et plugin, ne passez pas à côté de l’information qui vous pourrait être vitale.
[Tweet « Failles de sécurité détectées dans 55 plugin et thèmes WordPress »]
[alert-note]Une injection SQL est un type d’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.[/alert-note]
- Simple Fields version <=1.4.10 – Cross-Site Scripting
- WR ContactForm version <=1.1.9 – Injection SQL
- Plugmatter Optin Feature Box <=2.0.13 – Injection SQL
- Pinpoint Booking System version <=2.0 – Injection SQL
- Olevmedia Shortcodes version <=1.1.8 – Cross-Site Scripting
- Ad Inserter version <=1.5.5 – Cross-Site Scripting
- NEX-Forms version <=4.0 – Injection SQL
- Role Scoper version <=1.3.64 – Cross-Site Scripting
- Quiz And Survey Master version <=4.4.2 – Injection SQL
- Email Users version <=4.7.5 – Cross-Site Scripting
- SendPress Newsletters version <=1.1.7.21 – Injection SQL
- Auto Affiliate Links version <=4.9.9.4 – Injection SQL
- GoCodes version <=1.3.5 – Cross-Site Scripting & Injection SQL
- Microblog Poster version <=1.6.0 – Injection SQL
- Broken Link Manager version <=0.4.5 – Injection SQL
- Huge IT Google Map version <=2.2.5 – Injection SQL
- WTI Like Post version <=1.4.2 – Injection SQL
- WP Page Widget version <=2.7 – Cross-Site Scripting
- WP-Stats-Dashboard version <=2.9.4 – Injection SQL
- WP Shop version version <=3.4.3.15 – Injection SQL
- Awesome Filterable Portfolio version version <=1.8.6 – Injection SQL
- Smart Manager for WooCommerce & WPeC version <=3.9.6 – Injection SQL
- Yet Another Stars Rating version <=0.9.0 – Injection SQL
- Plugin Central version <=2.5 – Cross-Site Scripting
- Contact Form Maker version <=1.7.30 – Injection SQL
- SoundCloud Is Gold version <=2.3.1 – Cross-Site Scripting
- Smart Slider 2 version <=2.3.11 – Cross-Site Scripting
- WordPress Meta Robots version <=2.1 – Injection SQL
- Contact Form Manager version <=1.4.1 – Cross-Site Scripting
- FV WordPress Flowplayer version <=6.0.3.3 – Cross-Site Scripting
- Multi Plugin Installer version <=1.1.0 – Traversée de R&épertoire
- GigPress version <=2.3.10 – & Injection SQL
- iQ Block Country version <=1.1.19 – Cross-Site Scripting
- Manual Image Crop version <=1.10 – Cross-Site Scripting
- Portfolio Gallery version <=1.5.7 – Cross-Site Scripting
- WP Keyword Link version <=1.7 – Cross-Site Scripting
- SEO Rank Reporter version <=2.2.2 – Cross-Site Scripting
- Websimon Tables version <=1.3.4 – Cross-Site Scripting
- WP Crontrol version <=1.2.3 – Cross-Site Scripting
- WP Legal Pages version <=1.0.1 – Cross-Site Scripting
- Kiwi Logo Carousel version <=1.7.1 – Cross-Site Scripting
- Contact Bank version <=2.0.225 – Cross-Site Scripting
- EZP Coming Soon Page version <=1.0.0 – Cross-Site Scripting
- Email newsletter version <=20.13.6 – Cross-Site Scripting
- Email Subscribers version <=2.9 – Multiple Cross-Site Scripting & Injection SQL
- YITH Maintenance Mode version <=1.1.4 – Cross-Site Scripting
- WordPress Custom Sidebars – Cross Site Scripting
- WordPress WP-DownloadManager – Cross Site Scripting
- WP-Client version 3.8.7 – Cross Site Scripting
- Social Share Button version <= 2.1 – Cross-Site Scripting
- Woocommerce Abandoned Cart Lite version <= 1.8 – Injection SQL
- PlugNedit Adaptive Editor version <= 5.2.0 – Cross-Site Scripting
- Multicons version <= 2.1 – Cross-Site Scripting
- Page Restrict version <= 2.2.1 – Cross-Site Scripting
- Email Encoder Bundle version <= 1.4.1 – Cross-Site Scripting
- OnePress Social Locker <= 4.2.0 – Cross-Site Scripting
- Child Theme Creator by Orbisius version <= 1.2.6 – Exécution de code distant
- Post video players version <= 1.136 – Cross-Site Scripting
- Job Manager version <= 0.7.24 – Cross-Site Scripting
- Easy Coming Soon version <= 1.8.1 – Cross-Site Scripting
- Smooth Slider version <= 2.6.5 – Injection SQL
- Anti-Spam by CleanTalk version <= 5.21 – Cross-Site Scripting
- Social Media Widget by Acurax version <= 2.2 – Cross-Site Scripting
- Crazy Bone version <= 0.5.5 – Cross-Site Scripting
- Gallery Bank version <= 3.0.229 – Injection SQL
- qTranslate X version <= 3.4.3 – Cross-Site Scripting
- SEO Redirection Plugin version <= 2.8 – Cross-Site Scripting
- Subscribe To Comments Reloaded version <= 150611 – Cross-Site Scripting
- Image Gallery version <= 1.5.1 – Cross-Site Scripting
- Alpine PhotoTile for Instagram version <= 1.2.7.5 – Cross-Site Scripting
- 404 to 301 version <= 2.0.2 – Injection SQL
- Theme Test Drive version <= 2.9 – Upload de fichiers & Cross Site Scripting
- WP Database Backup version <= 3.3 – Cross-Site Scripting
- My Link Order version <= 4.3 – Cross-Site Scripting
- Easy Social Icons version <= 1.2.3.1 – Injection SQL
- WP Job Manager version <= 1.23.7 – Cross-Site Scripting
- WP Google Map Plugin version <= 2.3.9 – Cross-Site Scripting
- Visitor Maps and Who’s Online version <= 1.5.8.6 – Cross-Site Scripting
- Add Link to Facebook version <= 2.2.7 – Cross-Site Scripting
[Tweet « Vulnérabilités découvertes dans 55 plugin et thèmes WordPress »]
Aucune faille n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!
Conseils pour sécuriser votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Login LockDown
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!
Publié à l'origine le : 25 novembre 2015 @ 15 h 27 min
