Collection de vulnérabilités WordPress: septembre 2020, partie 2

Fin septembre, de nouveaux plugins WordPress et des vulnérabilités de thème ont été publiés, ce qui a été notre plus grand balayage à ce jour. Dans cet article, nous présenterons les plug – ins WordPress récents, les thèmes et les principales vulnérabilités, ainsi que ce que vous devez faire si vous utilisez l’un des plug – ins ou thèmes vulnérables sur votre site. Le résumé des vulnérabilités de WordPress est divisé en trois catégories distinctes: WordPress Core, WordPress plugin et wordpress themes. Dans la partie 2 du rapport de septembre sur les vulnérabilités de base de WordPress, aucune vulnérabilité de base de WordPress n’a été identifiée le 2 septembre. Assurez – vous simplement d’exécuter la dernière version de WordPress, version 5.5.1.
Vulnérabilité du plug – in WordPress 1. Nettoyage des ressources Les versions de nettoyage des actifs avant 1.3.6.7 présentaient des vulnérabilités de falsification de demandes inter – sites et de script inter – sites. Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 1.3.6.7. 2. Menu collant, titre collant Les versions suivantes du menu sticky et de l’en – tête sticky 2.21 présentent des vulnérabilités de falsification de requêtes inter – sites et de script inter – sites. Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 2.21. 3. Cookiebot Les versions antérieures à cookiebot 3.6.1 présentent des vulnérabilités de falsification de requêtes inter – sites et de script inter – sites.
Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 3.6.1. 4. Sécurité et pare – feu intégrés WP 4.4.4 les versions suivantes de multi – one WP Security & Firewall présentent des vulnérabilités de falsification de requêtes inter – sites et de script inter – sites. Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 4.4.4. 5. Administrateur personnalisé absolument charmant Les versions de gestion personnalisées absolument fascinantes inférieures à 6.5.5 présentent des vulnérabilités de falsification de requêtes inter – sites et de script inter – sites. Vulnérabilité corrigée
Ace Le contournement de l’authentification et le détournement de session sont les deux types de vulnérabilité les plus dangereux. Les pirates informatiques peuvent exploiter ces deux vulnérabilités pour contourner la protection d’authentification et contrôler votre site Web. Aujourd’hui, nous discuterons des appareils de confiance, une méthode de sécurité fiable pour protéger votre site Web, même s’il est facile de contourner les attaques d’authentification ou de détournement de session. Un appareil de confiance est une méthode de sécurité puissante pour protéger votre site même s’il est facile de contourner les attaques d’authentification ou de détournement de session. Pourquoi avons – nous développé des appareils fiables, par exemple vous suivez toutes les meilleures pratiques de sécurité de wordpress pour protéger votre compte utilisateur. Non seulement vous utilisez un mot de passe unique et sécurisé pour chaque site, mais vous bloquez également tous les comptes en ligne par authentification à deux facteurs. Vous êtes un bon exemple de prise au sérieux de la sécurité WordPress. Cependant, même si vous avez pris toutes les mesures de sécurité, d’une certaine façon, votre site Web est toujours piraté. En outre, un attaquant a utilisé vos utilisateurs wordpress pour envahir le site. Qu’est – ce qui ne va pas chez toi, spécialiste de la sécurité? Malheureusement, même si vous avez fait tout ce qu’il fallait pour protéger votre compte d’utilisateur WordPress, il y a toujours des moyens que les pirates informatiques peuvent utiliser pour attaquer votre compte. Par exemple, WordPress génère un cookie de session chaque fois qu’il visite un site Web. Supposons que votre extension de navigateur a été abandonnée par un développeur et que vous ne Publiez plus de mises à jour de sécurité. Malheureusement, les extensions de navigateur négligées ont une vulnérabilité. Cette vulnérabilité permet à un attaquant de détourner des cookies de navigateur, y compris les cookies de session WordPress mentionnés ci – dessus. Ce type de hacker est appelé détournement
Sur la page d’accueil des paramètres de sécurité, cliquez sur le bouton configurer les paramètres. Dans les paramètres des appareils de confiance, décidez de l’utilisateur qui utilisera cette fonctionnalité, puis activez la fonctionnalité restrict et la protection contre les détournements de session. Lorsque vous activez les nouveaux paramètres de périphérique de confiance, les utilisateurs sont informés des périphériques en attente non reconnus dans la barre d’administration WordPress. Si l’appareil actuel n’a pas été ajouté à la liste des appareils de confiance, cliquez sur le lien confirmer cet appareil pour envoyer un courriel d’autorisation. Cliquez sur le bouton confirmer l’appareil dans un courriel de connexion non reconnu pour ajouter l’appareil actuel à la liste des appareils de confiance. Une fois les périphériques de confiance activés, les utilisateurs peuvent gérer les périphériques à partir de la page de profil d’utilisateur WordPress. Sur cet écran, vous pouvez approuver ou rejeter les appareils de la liste des appareils de confiance. De plus, vous pouvez choisir d’enregistrer certaines API tierces pour améliorer l’exactitude de l’identification des appareils de confiance et utiliser la cartographie d’images fixes pour voir l’emplacement approximatif des accès non reconnus. Vérifiez les paramètres des périphériques de confiance pour voir quelles intégrations sont disponibles. Le plugin de sécurité WordPress peut vous aider à protéger votre site Internet, Themes Security pro, et notre plugin de sécurité WordPress offre plus de 50 façons de protéger votre site contre les vulnérabilités de sécurité WordPress communes. Avec wordpress, l’authentification à deux facteurs, la protection contre la violence, l’exécution de mots de passe complexes et d’autres fonctionnalités, vous pouvez ajouter une couche de sécurité supplémentaire à votre site. Get themes Security pro Michael Moore organise des rappeurs chaque semaine