Alerte sécurité : WordPress vulnérabilité XSS

par | Mis à jour le 20/11/2020 | Publié le 23/04/2015 | WordPress | 0 commentaires

Résumé : Alerte sécurité Wordpress vulnérabilité XSS : information communauté développeurs du CMS, une importante faille impacte nombreux plugins extensions ...

Wordpress vulnérabilité XSS - sécuritéLa communauté WordPress est en émoi. Yoast (SEO WordPress) a révélé une faille importante de sécurité XSS qui impacterait de nombreux plugins du CMS dont ceux les plus téléchargés. Certains thèmes seraient aussi concernés.

C’est quoi le XSS ?

XSS est l’abrégé de cross-site scripting. Cette faille permet de provoquer des actions sur le navigateur en injectant du contenu dans une page avec n’importe quel langage pris en charge par le navigateur. En général, ces actions ont pour but d’hameçonner ou de voler des sessions en récupérant les cookies

La cause de la faille

Par simplicité, 2 fonctions sont très utilisées par les développeurs WordPress :

add_query_arg ()
() remove_query_arg

Elles servent à modifier et ajouter des chaînes de requête sur les URL au sein du CMS.
La documentation WordPress étant un peu floue à leur sujet, les développeurs ont compris que ces fonctions ne présentaient aucun risque. Or, ce n’est pas le cas !

Quels sont les plugins touchés ?

Il y a environ 400 plugins et ce, parmi les meilleurs qui sont impactés ! On peut déjà citer :

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Plusieurs plugins d’Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Plusieurs produits iThemes dont Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Que faire ?

Yoast et plusieurs autres ont déjà mis à jour leur plugin. Il vous faut donc vous connecter à votre administration et mettre à jour les extensions. Ce travail risque de se poursuivre sur plusieurs semaines. Si au-delà, certaines de vos extensions n’ont pas été mise à jour, il faudra vérifier d’abord qu’elles ne contiennent pas les 2 fonctions incriminées, puis soit les corriger vous-même (ou par un développeur) ou changer par un plugin équivalent mis à jour.
Si vous avez acheté vos plugins et vos thèmes chez themeforest ou CodeCanyon, le problème est pris en compte et est en cours de correction.
Si vous êtes développeur et peu patient, vous pouvez modifier les 2 fonctions par :

esc_url()
ou
esc_url_raw()

Dans tous les cas, c’est le moment de réviser la sécurité de votre site et de dégager toutes les extensions inutiles au fonctionnement de votre site.

Les théories du marketing

Sociologie, psychosociologie, psychologie des foules, … Les origines du marketing

Les outils du marketing

Les outils d’hier et d’aujourd’hui du marketing

E-book à télécharger

Articles pouvant vous intéresser

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Avertissement : L’url du site web ne sera pas affichée dans le commentaire et toute url placée dans le commentaire sera systèmatiquement effacée avant sa publication.

Pin It on Pinterest

Share This