Collection de vulnérabilités WordPress: mai 2020, partie 1

Au cours de la première moitié du mois de mai, de nouveaux plugins WordPress et des vulnérabilités thématiques ont été publiés, donc nous aimerions vous tenir au courant. Dans cet article, nous vous présentons les derniers plugins WordPress, thèmes et vulnérabilités, et ce que vous devez faire si vous utilisez l’un des plugins ou thèmes vulnérables sur votre site. Dans la seconde moitié du mois d’avril, de nouveaux plug – ins WordPress et des vulnérabilités thématiques ont été publiés, nous vous tenons donc informés. Dans cet article, nous vous présentons les derniers plugins WordPress, thèmes et vulnérabilités, et ce que vous devez faire si vous utilisez l’un des plugins ou thèmes vulnérables sur votre site.
Le résumé des vulnérabilités WordPress est divisé en quatre catégories distinctes: le plugin wordpress Core WordPress thème WordPress chaque vulnérabilité aura un niveau de menace faible, moyen, élevé ou grave. Principales vulnérabilités WordPress aucune vulnérabilité WordPress n’a été divulguée au cours du premier semestre de mai 2020. Plusieurs nouvelles vulnérabilités du plugin wordpress ont été découvertes ce mois – ci. Assurez – vous de mettre à jour le plug – in ou de le désinstaller complètement comme recommandé ci – dessous. 1. WP Advanced Search – High La version WP Advanced Search sous 3.3.7 présente une vulnérabilité d’injection SQL authentifiée.
Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 3.3.7. 2. Learnpress – Alto Une vulnérabilité plus grave existe dans les versions de learnpress avant 3.2.6.9. Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 3.2.6.9. 3. Gemedia Picture Library – Middle La galerie de photos gmedia avant 1.18.5 a plus de vulnérabilités que les scripts inter – sites. Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 1.18.5. 4. Forme Ninja – haute La version Ninja form sous 3.4.24.2 a une vulnérabilité csrf – to – store xss.
La vulnérabilité a été éliminée
Vous devriez mettre à jour la version 3.4.24.2. 5. Post I like WTI – Basso Une vulnérabilité de script inter – site de stockage authentifiée existe dans toutes les versions de WTI like post. Retirez le plug – in. WordPress est fermé. Organisation en attente d’approbation. 6. Commandes avancées pour l’exportation de woocommerce – faible Les versions suivantes de woocommerce 3.1.4 Advanced Order export ont une vulnérabilité de script inter – site authentifiée. Cette vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 3.1.4. 7. Élément – moyen 2.9.8 les versions suivantes de l’élément ont un contournement de désinfectant SVG qui a causé une vulnérabilité xss de stockage validée,
Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 2.9.8. 8. Plug – in ultime pour elementor – High Une vulnérabilité de contournement d’enregistrement existe dans les plug – ins ultimes suivants pour elementor 1.24.2. Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 2.2.9. Elementor pro – Alto Une vulnérabilité de téléchargement de fichiers arbitraire et authentifiée existe dans elementor Pro avant 2.9.4. Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 2.9.4. 10. Diapositive de côtes – Alto Une vulnérabilité d’injection SQL aveugle non vérifiée existe dans toutes les versions de choplider.
Aucun correctif n’est disponible et vous devriez supprimer le plug – in. 11. Générateur de page siteorigin – haut Une vulnérabilité csrf reflétant un script inter – site existe dans la version de page Builder sous siteorigin 2.10.16. Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 2.10.16. 12. Woocommerce – Basso Les versions suivantes de woocommerce 4.1.0 n’ont pas échappé aux métadonnées lors de la réplication d’une vulnérabilité de produit. La vulnérabilité a été corrigée et vous devriez mettre à jour la version 4.1.0. Thème WordPress 1. Avada – High Avada versions before 6.2.3 are currently available –
L’absence de vérification des droits a entraîné la création, l’édition, la suppression et la vulnérabilité de xss d’archives arbitraires.
Cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 6.2.3. La principale raison pour laquelle le site WordPress est piraté est de se prémunir activement contre les vulnérabilités dans les thèmes et les plug – ins WordPress qui exécutent des logiciels obsolètes. Pour garantir la sécurité de votre site WordPress, vous devez avoir une routine de mise à jour. Vous devriez visiter le site au moins une fois par semaine pour effectuer des mises à jour. Les mises à jour automatiques aident les mises à jour automatiques sont un bon choix pour les sites WordPress qui ne changent pas souvent. Par manque d’attention, ces sites sont souvent négligés et vulnérables aux attaques. Même avec les paramètres de sécurité recommandés, l’exécution d’un logiciel vulnérable sur un site peut fournir aux attaquants un point d’accès au site.
Avec la fonctionnalité de gestion de version du plug – in themes Security pro, vous pouvez activer les mises à jour automatiques wordpress pour vous assurer de recevoir les derniers correctifs de sécurité. Ces paramètres aident à protéger votre site en mettant automatiquement à jour les nouvelles versions ou en offrant des options pour améliorer la sécurité des utilisateurs lorsque le logiciel du site expire. Gérer les options de mise à jour pour les mises à jour de la version WordPress: Installer automatiquement la dernière version de WordPress. Mise à jour automatique du plug – in: installe automatiquement les dernières mises à jour du plug – in. Cette fonctionnalité devrait être activée à moins que vous ne mainteniez activement ce site tous les jours et que vous n’installiez manuellement les mises à jour peu de temps après leur publication. Mise à jour automatique du thème: installe automatiquement les dernières mises à jour du thème. Cette option doit être activée à moins que le sujet ne soit personnalisé