Au cours de la première moitié du mois de septembre, plusieurs nouveaux plug – ins WordPress et vulnérabilités thématiques ont été publiés, donc nous aimerions vous tenir au courant. Dans cet article, nous vous présentons les dernières vulnérabilités des plugins et des thèmes WordPress et ce que vous devez faire si vous utilisez l’un des plugins ou thèmes vulnérables sur votre site. Nous avons divisé le résumé des vulnérabilités de WordPress en quatre catégories: 1. WordPress core 2. Plugin wordpress 3. Thème WordPress 4. * Nous incluons les violations de l’ensemble du réseau, car il est également essentiel de comprendre les vulnérabilités en dehors de l’écosystème WordPress. Une vulnérabilité logicielle du serveur peut exposer des données sensibles. Une vulnérabilité à la base de données pourrait exposer les identifiants d’utilisateur de votre site, ouvrant la porte à un attaquant pour accéder à votre site.
Les principales vulnérabilités de la version 5.2.3 de WordPress ont été publiées le 4 septembre 2019 pour corriger plusieurs vulnérabilités potentielles en matière de sécurité. Voici un extrait du post de WordPress 5.2.3. WordPress Security Fix 5.2.3 félicitations à Simon scannell de Rips technologies pour avoir découvert et révélé deux problèmes. Le premier est une vulnérabilité de script inter – site (xss) que les participants ont trouvée dans un aperçu ultérieur. La deuxième vulnérabilité est une vulnérabilité de script inter – site dans les commentaires archivés. Félicitations à Tim Coen pour avoir révélé un problème de validation et de nettoyage des URL qui pourrait conduire à une redirection ouverte. Anshul Jain diffuse des scripts inter – sites pendant le téléchargement des médias. Zhou Yuanyang, du laboratoire fortiguard de fortinet, a trouvé une vulnérabilité de script inter – site (xss) dans un aperçu de code court. Ian Dunn, qui soutient l’équipe de sécurité de base, trouve et divulgue un cas où les scripts inter – sites reflétés se trouvent dans le tableau de bord. Nous remercions solush dalili
Version 2.0.5. 7. Carte qwizcard Qwizcards 3.36 et plus tôt sont vulnérables aux attaques de script Cross – Reflection non vérifiées. Ce que vous devez faire pour corriger la vulnérabilité, vous devriez mettre à jour la version 3.37. 8. Liste de contrôle La version 1.1.5 de la liste et les versions antérieures sont vulnérables aux attaques de script croisé de réflexion non vérifiées. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 1.1.9. 9. Paiement imprévu de woocommerce
Woocommerce version 1.6.7 et plus tôt spryng payments sont vulnérables aux attaques de script inter – site. Les plug – ins doivent être supprimés avant la publication des mises à jour avec des correctifs. 10. Archives des portraits. Com photostore L’architecte du portrait. Com photostore version 5.0.4 et plus tôt est vulnérable aux attaques de script inter – site. Les plug – ins doivent être supprimés avant la publication des mises à jour avec des correctifs. 11. Woocommerce Logistics Electronic Payment System Ecpay Logistics for woocommerce version 1.2.181030 and earlier are vulnerable to cross – site scripting attacks. Les plug – ins doivent être supprimés avant la publication des mises à jour avec des correctifs. La technologie de l’existence humaine ellipse
Ellipsis Human presence Technology version 2.0.8 et plus tôt est vulnérable aux attaques de script croisé de réflexion non vérifiées. Les plug – ins doivent être supprimés avant la publication des mises à jour avec des correctifs. 13. Essai de glissement Slickquike version 1.6.7 et plus tôt est vulnérable aux attaques de script inter – site et d’injection SQL. Les plug – ins doivent être supprimés avant la publication des mises à jour avec des correctifs. Thème WordPress aucune vulnérabilité de thème WordPress n’a été divulguée au cours de la seconde moitié du mois d’août 2019. La principale raison pour laquelle le site WordPress est piraté est de se prémunir activement contre les vulnérabilités dans les thèmes et les plug – ins WordPress qui exécutent des logiciels obsolètes. C’est fontaine.
Désactiver) ou retarder la mise à jour d’un certain nombre de jours (retard).
Renforcer et rappeler les questions clés renforcer le site lors de l’exécution de logiciels obsolètes: Ajouter automatiquement une protection supplémentaire au site lorsque les mises à jour disponibles ne sont pas installées dans un délai d’un mois. Lorsqu’aucune mise à jour n’est installée depuis un mois, le plug – in de sécurité themes permet automatiquement une sécurité plus stricte. Premièrement, il obligera tous les utilisateurs qui n’ont pas activé le double facteur à fournir le Code d’accès à leur adresse électronique avant de se connecter à nouveau. Deuxièmement, il désactivera l’éditeur de fichiers WP (pour empêcher les gens d’éditer le plug – in ou le Code de sujet), le ping – back XML – RPC et bloquera les tentatives d’authentification multiples pour chaque demande XML – RPC (les deux rendront le XML – RPC plus résistant aux attaques sans avoir à le désactiver complètement). Découvrez d’autres anciens sites WordPress – ceci vérifiera si d’autres installations WordPress obsolètes sont disponibles sur votre compte d’hébergement. Un site WordPress obsolète avec une vulnérabilité pourrait permettre à un attaquant de détruire tous les autres sites sur le même compte d’hébergement. Envoyer une notification par courriel: un courriel sera envoyé aux utilisateurs au niveau de l’Administrateur pour toute question nécessitant une action. Violations de l’ensemble du Web 1. Le compte Twitter de Jack Dorsey a été piraté.
Le PDG de Twitter, Jack Dorsey, a été victime d’une attaque d’échange SIM. L’échange de cartes SIM signifie qu’un attaquant travaille avec votre fournisseur de services mobiles pour déplacer votre téléphone vers un autre téléphone. Une fois votre numéro de téléphone détecté, un participant malveillant peut recevoir votre code SMS à deux facteurs. Une fois que l’équipe de hackers de l’équipe de Snickers a contrôlé le numéro de téléphone de Dorsey, il peut utiliser cloudhopper pour envoyer des tweets