Collection de vulnérabilités WordPress: octobre 2019, partie 2

À la fin du mois d’octobre, plusieurs nouveaux plugins WordPress et vulnérabilités thématiques ont été publiés, donc nous aimerions vous tenir au courant. Dans cet article, nous vous présentons les dernières vulnérabilités des plugins et des thèmes WordPress et ce que vous devez faire si vous utilisez l’un des plugins ou thèmes vulnérables sur votre site. Nous avons divisé le résumé des vulnérabilités de WordPress en quatre catégories: 1. WordPress core 2. Plugin wordpress 3. Thème WordPress 4. * Nous incluons les violations de l’ensemble du réseau, car il est également essentiel de comprendre les vulnérabilités en dehors de l’écosystème WordPress. Une vulnérabilité logicielle du serveur peut exposer des données sensibles. Une vulnérabilité à la base de données pourrait exposer les identifiants d’utilisateur de votre site, ouvrant la porte à un attaquant pour accéder à votre site.
Remarque: Vous pouvez accéder directement au tableau récapitulatif des vulnérabilités pour la fin d’octobre 2019 ci – dessous. Aucune vulnérabilité WordPress n’a été détectée fin octobre 2019. Plusieurs nouvelles vulnérabilités du plugin wordpress ont été découvertes en octobre. Assurez – vous de mettre à jour le plug – in ou de le désinstaller complètement comme recommandé ci – dessous. 1. Paquet de référencement intégré All in one SEO Pack 3.2.6 and earlier are vulnerable to storage Cross – site scripting attacks. Un attaquant doit exploiter la vulnérabilité en utilisant un utilisateur authentifié. Si un attaquant peut accéder à un utilisateur administrateur, il peut exécuter du Code PHP et détruire le serveur.
Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 3.2.7. 2. Vérifier les liens déconnectés Les versions 1.11.8 et antérieures du vérificateur de liens fracturés sont vulnérables aux attaques de script inter – site authentifiées. Désinstaller et supprimer
Plug – in. Manage WP ne maintient pas activement les plug – ins et ne publie pas de correctifs. 3. Event Manager Events Manager 5.9.5 et plus tôt est vulnérable aux attaques de script inter – site de stockage. Que devez – vous faire cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 5.9.6. 4. Loi européenne sur les biscuits La version 3.0.6 et les versions antérieures de la loi sur les cookies de l’UE sont vulnérables aux attaques de script inter – sites. Cette vulnérabilité permet à un attaquant d’insérer du HTML et du JavaScript arbitraires pour modifier la couleur de police, la couleur de fond et les paramètres de texte « désactiver les cookies » dans le plug – in. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 3.1. 5. Réduire au minimum la vitesse Fast Velocity minify 2.7.6 et plus tôt a une vulnérabilité qui permet aux attaquants authentifiés de découvrir le chemin racine complet de l’installation WordPress. La vulnérabilité du chemin complet lui – même n’est pas importante. Cependant, la connaissance du chemin racine donnera à l’attaquant les informations nécessaires pour exploiter d’autres vulnérabilités plus graves.
Que devez – vous faire cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 2.7.7. 6. Amélioration de la syntaxe du stylo fluorescent Syntax highlighter 3.5.0 et plus tôt sont vulnérables aux attaques de script inter – site. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 3.5.1. 7. Publier HTML WP WP HTML mail version 2.9.0.3 et plus tôt est vulnérable aux attaques par injection HTML. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 2.9.1. 8. Facture de tranche La version 3.8.2 de la facture slice et les versions antérieures présentent des vulnérabilités supplémentaires. Les vulnérabilités comprennent l’injection SQL authentifiée, les scripts inter – sites de réflexion authentifiés et la divulgation d’informations non authentifiées auxquelles l’accès est autorisé.
Moins une fois par semaine pour effectuer la mise à jour. Les mises à jour automatiques aident les mises à jour automatiques sont un bon choix pour les sites WordPress qui ne changent pas souvent. Par manque d’attention, ces sites sont souvent négligés et vulnérables aux attaques. Même avec les paramètres de sécurité recommandés, l’exécution d’un logiciel vulnérable sur un site peut fournir aux attaquants un point d’accès au site.
Avec la fonctionnalité de gestion de version du plug – in themes Security pro, vous pouvez activer les mises à jour automatiques wordpress pour vous assurer de recevoir les derniers correctifs de sécurité. Ces paramètres aident à protéger votre site en mettant automatiquement à jour les nouvelles versions ou en offrant des options pour améliorer la sécurité des utilisateurs lorsque le logiciel du site expire. Gérer les options de mise à jour pour les mises à jour de la version WordPress: Installer automatiquement la dernière version de WordPress. Mise à jour automatique du plug – in: installe automatiquement les dernières mises à jour du plug – in. Cette fonctionnalité devrait être activée à moins que vous ne mainteniez activement ce site tous les jours et que vous n’installiez manuellement les mises à jour peu de temps après leur publication. Mise à jour automatique du thème: installe automatiquement les dernières mises à jour du thème. Cette option doit être activée à moins que le sujet n’ait une personnalisation de fichier. Contrôle à grain fin des mises à jour des plug – ins et des thèmes: vous devrez peut – être mettre à jour manuellement les plug – ins \ thèmes ou retarder les mises à jour jusqu’à ce que la version soit stable. Vous pouvez choisir de personnaliser les possibilités d’assigner des mises à jour instantanées (activées), des mises à jour non automatiques (désactivées) ou des mises à jour retardées (retardées) pour un certain nombre de jours par plug – in ou sujet. Questions de renforcement et de rappel
A a été réparé et vous devriez le mettre à jour à la version 3.2.7. Les versions 1.11.8 et antérieures du vérificateur de liens fracturés sont vulnérables aux attaques de script inter – site authentifiées. Retirez le plug – in. Manage WP ne maintient pas activement les plug – ins et ne publie pas de correctifs. Events Manager 5.9.5 et plus tôt est vulnérable aux attaques de script inter – site de stockage. Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 5.9.6. La version 3.0.6 et les versions antérieures de la loi sur les cookies de l’UE sont vulnérables aux attaques de script inter – sites. Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 3.1. Fast Velocity minify 2.7.6 et plus tôt a une vulnérabilité qui permet aux attaquants authentifiés de découvrir le chemin racine complet de l’installation WordPress. Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 2.7.7. Syntax highlighter 3.5.0 et plus tôt sont vulnérables aux attaques de script inter – site. Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 3.5.1. WP HTML mail version 2.9.0.3 et plus tôt est vulnérable aux attaques par injection HTML. Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 2.9.1. La version 3.8.2 de la facture slice et les versions antérieures présentent des vulnérabilités supplémentaires. Les vulnérabilités comprennent l’injection SQL authentifiée, les scripts inter – sites de réflexion authentifiés, la divulgation d’informations non authentifiées qui permettent l’accès aux factures, et l’absence de contrôles de falsification et d’authentification des demandes inter – sites. Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 3.8.4. Le plug – in zoho CRM Lead Magnet version 1.6.9 est vulnérable aux attaques de script inter – site authentifiées. Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 1.6.9.1. Les informations sur l’auteur version 1.3.9 et plus tôt sont vulnérables aux attaques de script inter – site authentifiées. Cette vulnérabilité a été corrigée, vous devriez
Mise à jour vers la version 1.4.0. Les modèles de courriel version 1.3 et plus tôt sont vulnérables aux attaques par injection HTML. Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 1.3.1. Groundhogg version 1.3.11.3 et plus tôt sont vulnérables aux scripts inter – sites authentifiés et aux attaques d’injection SQL. Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 2.0.9.11. Les modèles de courriel WP version 2.2.10 et plus tôt sont vulnérables aux attaques par injection HTML. Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 2.2.11. Injob themes version 3.3.7 et plus tôt sont vulnérables aux attaques de script inter – site. Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 3.3.8. Le plugin de sécurité WordPress peut vous aider à protéger votre site et à économiser 35% de réduction jusqu’au 31 octobre. Notre plugin de sécurité WordPress, Themes Security pro, offre plus de 30 façons de protéger votre site des vulnérabilités de sécurité WordPress communes. Avec wordpress, l’authentification à deux facteurs, la protection contre la violence, l’exécution de mots de passe complexes et d’autres fonctionnalités, vous pouvez ajouter une couche de sécurité supplémentaire à votre site. Profitez d’une réduction de 25% sur ithemes *: jusqu’au 31 octobre 201 à 23: 59 (CT), tout achat de plug – ins, de thèmes, de paquets combinés et d’hôtes, ainsi que le Code de coupon treat35. Va chercher la sécurité d’isemus. Michael Moore organise chaque semaine des rapports de vulnérabilité wordpress pour aider à sécuriser votre site. En tant que Directrice des produits Themes, elle nous aide à continuer d’améliorer notre gamme de produits themes. C’est un super nerd qui aime apprendre toutes les techniques, anciennes et nouvelles. Michael sort avec sa femme et sa fille, lit des livres ou écoute de la musique quand il ne travaille pas.