Dans la seconde moitié du mois d’avril, de nouveaux plug – ins WordPress et des vulnérabilités thématiques ont été publiés, nous vous tenons donc informés. Dans cet article, nous vous présentons les derniers plugins WordPress, thèmes et vulnérabilités, et ce que vous devez faire si vous utilisez l’un des plugins ou thèmes vulnérables sur votre site. Le résumé des vulnérabilités WordPress est divisé en quatre catégories distinctes: le plugin wordpress Core WordPress thème WordPress chaque vulnérabilité aura un niveau de menace faible, moyen, élevé ou grave. Il y a d’autres vulnérabilités majeures dans WordPress avant 5.4.1.
Les utilisateurs qui n’ont pas correctement désactivé le jeton de Réinitialisation du mot de passe les utilisateurs non authentifiés peuvent voir les vulnérabilités de script de messages privés entre les sites dans le Programme personnalisé vulnérabilité de script entre les sites dans le bloc de recherche vulnérabilité de script entre les sites dans le cache d’objets WP vulnérabilité de script entre les sites dans le téléchargement de fichiers vulnérabilité de script entre les sites dans le téléchargement de fichiers Une vulnérabilité inter – site stockée dans customizer a été corrigée et vous devriez mettre à jour la version 5.4.1. Plusieurs nouvelles vulnérabilités du plugin wordpress ont été découvertes ce mois – ci. Assurez – vous de mettre à jour le plug – in ou de le désinstaller complètement comme recommandé ci – dessous.
1. Accordéon
Mise à jour manuelle peu de temps après la publication. Mise à jour automatique du thème: installe automatiquement les dernières mises à jour du thème. Cette option doit être activée à moins que le sujet n’ait une personnalisation de fichier. Contrôle à grain fin des mises à jour des plug – ins et des thèmes: vous devrez peut – être mettre à jour manuellement les plug – ins \ thèmes ou retarder les mises à jour jusqu’à ce que la version soit stable. Vous pouvez choisir de personnaliser les possibilités d’assigner des mises à jour instantanées (activées), des mises à jour non automatiques (désactivées) ou des mises à jour retardées (retardées) pour un certain nombre de jours par plug – in ou sujet. Renforcer et rappeler les questions clés renforcer le site lors de l’exécution de logiciels obsolètes: Ajouter automatiquement une protection supplémentaire au site lorsque les mises à jour disponibles ne sont pas installées dans un délai d’un mois. Lorsqu’aucune mise à jour n’est installée depuis un mois, le plug – in de sécurité themes permet automatiquement une sécurité plus stricte. Premièrement, il obligera tous les utilisateurs qui n’ont pas activé le double facteur à fournir le Code d’accès à leur adresse électronique avant de se connecter à nouveau. Deuxièmement, il désactivera l’éditeur de fichiers WP (pour empêcher les gens d’éditer le plug – in ou le Code de sujet), le ping – back XML – RPC et bloquera les tentatives d’authentification multiples pour chaque demande XML – RPC (les deux rendront le XML – RPC plus résistant aux attaques sans avoir à le désactiver complètement). Découvrez d’autres anciens sites WordPress – ceci vérifiera si d’autres installations WordPress obsolètes sont disponibles sur votre compte d’hébergement. Un site WordPress obsolète avec une vulnérabilité pourrait permettre à un attaquant de détruire tous les autres sites sur le même compte d’hébergement. Envoyer une notification par courriel: un courriel sera envoyé aux utilisateurs au niveau de l’Administrateur pour les questions nécessitant une action