Le site Global Security Mag a mis à jour la liste des vulnérabilités de plusieurs plugins de WordPress. Je vous suggère donc de désinstaller ces plugins en attendant une mise à jour sécurisée
- WordPress Amazon Affiliate Link Localizer : Cross Site Scripting – 17 January 2014
- WordPress Trust Jacker : Cross Site Scripting – 17 January 2014
- WordPress MultiBlog Poster : SQL injection – 17 January 2014
- WordPress Covert Messenger : Cross Site Scripting – 17 January 2014
- WordPress GAlert : Cross Site Scripting – 17 January 2014
- WordPress Recommend to a friend : Cross Site Scripting – 14 January 2014
- WordPress AskApache Firefox Adsense : Cross Site Request Forgery 14 January 2014
- WordPress Ad-minister : Cross Site Scripting – 14 January 2014
- WordPress WP-Cron Dashboard : Cross Site Scripting – 14 January 2014
Détails sur les vulnérabilités découvertes :
Cross Site Scripting : Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d’injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page
SQL injection : Une injection SQL est un type d’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.
Cross Site Request Forgery : Les attaques de type cross-site request forgery (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l’utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés.
Les vulnérabilités : Véritable danger
Je vous rappelle que la sécurité de votre site WordPress est une chose à ne pas prendre à la légère. Si vous repérez un plugin que vous utilisez dans la liste ci-dessus, il vaut mieux le désinstaller que d’avoir à subir des problèmes.
Publié à l'origine le : 21 janvier 2014 @ 11 h 29 min