Dans la seconde moitié du mois, de nouveaux plugins WordPress et des vulnérabilités de thème ont été publiés, donc nous aimerions vous tenir au courant. Nous avons divisé le résumé des vulnérabilités de WordPress en quatre catégories: 1. WordPress core 2. Plugin wordpress 3. Thème WordPress 4. * Nous incluons les violations de l’ensemble du réseau, car il est également essentiel de comprendre les vulnérabilités en dehors de l’écosystème WordPress. Une vulnérabilité logicielle du serveur peut exposer des données sensibles. Une vulnérabilité à la base de données pourrait exposer les identifiants d’utilisateur de votre site, ouvrant la porte à un attaquant pour accéder à votre site.
Principales vulnérabilités WordPress aucune vulnérabilité WordPress n’a été divulguée en mai 2019. Vulnérabilité du plugin wordpress plusieurs nouvelles vulnérabilités du plugin wordpress ont été découvertes. Assurez – vous de mettre à jour le plug – in ou de le désinstaller complètement comme recommandé. 1. Chat en temps réel avec Facebook Messenger Le plug – in Live Chat de Facebook Messenger version 1.4.6 et plus tôt est vulnérable aux attaques de script inter – site. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 1.4.7. 2. Newsletter Manager
Le plug – in Newsletter manager est vulnérable à une redirection ouverte non authentifiée. L’entrée de l’événement n’a pas été stérilisée, ce qui a entraîné une attaque xss. Comment faire WordPress. Org ferme le plug – in de gestion des communiqués de presse, puis supprime le plug – in et trouve un plug – in de remplacement. 3. Convertiplus Convert plus 3.4.2 et plus tôt sont vulnérables à toute attaque non authentifiée de création de rôles d’utilisateur. Cette vulnérabilité permet à un attaquant de créer un nouvel utilisateur administrateur sans même avoir besoin d’accéder à votre site Web. Une fois qu’un attaquant accède à votre site en tant qu’administrateur, il peut rediriger vos visiteurs vers des sites malveillants, bloquer votre accès et ajouter des logiciels malveillants à votre site
Previous est vulnérable aux attaques d’injection SQL authentifiées. Comme le rapporte Daniele Scanu, l’injection SQL peut être effectuée dans la fonction get _ labels Parameters dans le fichier form Maker \ admin \ Models \ submissions FM. Php ` Manual Value with ASC _ or DESC parameters.
Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 1.13.3. 8. Plug – in simple file List Les plug – ins de liste de fichiers simples version 3.2.4 et plus tôt sont vulnérables aux attaques de téléchargement de fichiers arbitraires non vérifiées. Cette vulnérabilité permet à tout utilisateur qui connaît la demande de télécharger une liste de fichiers, ce qui pourrait révéler des informations confidentielles. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 3.2.4. 9. Fenêtre contextuelle lisse Slick popup est vulnérable aux attaques d’escalade de privilèges. Cette vulnérabilité permet aux abonnés de créer des comptes d’administrateur avec des identifiants de connexion codés en dur. Vous pouvez utiliser cette combinaison de nom d’utilisateur et de mot de passe hardcore.
Nom d’utilisateur: slickpopupteam (plus comme non – slick) mot de passe: omakpass13 # what you should do WordPress. Org a fermé slick popup Manager en mai 2019, donc je vous recommande de supprimer le plug – in et de trouver un autre plug – in. 10. Pop – up bubble and slide e – mail Selection to join Hustle version 6.0.7 et plus tôt est vulnérable aux attaques d’injection CSV non vérifiées. Cette vulnérabilité permet à un attaquant d’injecter du Code malveillant dans une fenêtre contextuelle. Les participants malveillants peuvent ensuite injecter du Code malveillant dans l’ordinateur de l’Administrateur via une fonction Excel. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 6.0.8.1. Fin mai 2019, une seule vulnérabilité a été découverte pour les thèmes WordPress. 1. Viaggiatore
La version 2.7.1 du thème Traveler est vulnérable aux attaques xss réfléchies et stockées. La vulnérabilité que vous devriez faire n’a pas été corrigée
Renforcer votre site lors de l’exécution de logiciels obsolètes: le plug – in de sécurité themes permet automatiquement une sécurité plus stricte lorsqu’aucune mise à jour n’est installée depuis un mois. Premièrement, il obligera tous les utilisateurs qui n’ont pas activé le double facteur à fournir le Code d’accès à leur adresse électronique avant de se connecter à nouveau. Deuxièmement, il désactivera l’éditeur de fichiers WP (pour empêcher les gens d’éditer le plug – in ou le Code de sujet), le ping – back XML – RPC et bloquera les tentatives d’authentification multiples pour chaque demande XML – RPC (les deux rendront le XML – RPC plus résistant aux attaques sans avoir à le désactiver complètement). Découvrez d’autres anciens sites WordPress – ceci vérifiera si d’autres installations WordPress obsolètes sont disponibles sur votre compte d’hébergement. Un site WordPress obsolète avec une vulnérabilité pourrait permettre à un attaquant de détruire tous les autres sites sur le même compte d’hébergement. Envoyer une notification par courriel: un courriel sera envoyé aux utilisateurs au niveau de l’Administrateur pour toute question nécessitant une action. Violations de l’ensemble du Web 1. Un attaquant attaque avec un serveur Weblogic Oracle Le mois dernier, les gens ont découvert que les serveurs Weblogic étaient vulnérables au chantage de sodinogibi. Oracle a publié un correctif pour cette vulnérabilité. The Victims of the attack were welcomed and they requested payment to publish their files. Cette attaque est unique en ce sens qu’elle n’exige aucune interaction utilisateur. En général, vous devez ouvrir une pièce jointe malveillante ou cliquer sur un lien malveillant. Il est facile pour un attaquant d’exploiter cette vulnérabilité parce que n’importe qui avec l’accès http au serveur Weblogic peut effectuer une attaque. La ville de Baltimore a été envahie par des outils de la NSA. La ville de Baltimore, victime d’une attaque de logiciels malveillants, a perdu environ 18,2 millions de dollars
Corrigé au mois. Laisser des logiciels obsolètes sur votre site vous rend vulnérable aux attaques. Le plugin de sécurité WordPress peut vous aider à protéger le site Web wordpress themes Security pro, et notre plugin de sécurité WordPress offre plus de 30 façons de protéger votre site Web des vulnérabilités de sécurité WordPress communes. Avec l’authentification à deux facteurs de WordPress, la protection contre la violence, l’exécution de mots de passe complexes et d’autres fonctionnalités, vous pouvez ajouter une couche de sécurité supplémentaire à votre site. Va chercher la sécurité d’isemus. Michael Moore organise chaque semaine des rapports de vulnérabilité wordpress pour aider à sécuriser votre site. En tant que Directrice des produits Themes, elle nous aide à continuer d’améliorer notre gamme de produits themes. C’est un super nerd qui aime apprendre toutes les techniques, anciennes et nouvelles. Michael sort avec sa femme et sa fille, lit des livres ou écoute de la musique quand il ne travaille pas.