Accueil » Marketing digital » CMS - Système de gestion de contenu » WordPress » Alerte sécurité : WordPress vulnérabilité XSS
Wordpress vulnérabilité XSS - sécurité

Alerte sécurité : WordPress vulnérabilité XSS

par | Mis à jour le 20/11/2020 | Publié le 23/04/2015 | WordPress | 0 commentaires

Cet article comporte [wp-word-count] mots.

[wp-word-count-reading-time]
Post Views: 72

Wordpress vulnérabilité XSS - sécuritéLa communauté WordPress est en émoi. Yoast (SEO WordPress) a révélé une faille importante de sécurité XSS qui impacterait de nombreux plugins du CMS dont ceux les plus téléchargés. Certains thèmes seraient aussi concernés.

Sommaire masquer
1 C’est quoi le XSS ?
2 La cause de la faille
3 Quels sont les plugins touchés ?
4 Que faire ?

C’est quoi le XSS ?

XSS est l’abrégé de cross-site scripting. Cette faille permet de provoquer des actions sur le navigateur en injectant du contenu dans une page avec n’importe quel langage pris en charge par le navigateur. En général, ces actions ont pour but d’hameçonner ou de voler des sessions en récupérant les cookies

La cause de la faille

Par simplicité, 2 fonctions sont très utilisées par les développeurs WordPress :

add_query_arg ()
() remove_query_arg

Elles servent à modifier et ajouter des chaînes de requête sur les URL au sein du CMS.
La documentation WordPress étant un peu floue à leur sujet, les développeurs ont compris que ces fonctions ne présentaient aucun risque. Or, ce n’est pas le cas !

Quels sont les plugins touchés ?

Il y a environ 400 plugins et ce, parmi les meilleurs qui sont impactés ! On peut déjà citer :

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Plusieurs plugins d’Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Plusieurs produits iThemes dont Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Que faire ?

Yoast et plusieurs autres ont déjà mis à jour leur plugin. Il vous faut donc vous connecter à votre administration et mettre à jour les extensions. Ce travail risque de se poursuivre sur plusieurs semaines. Si au-delà, certaines de vos extensions n’ont pas été mise à jour, il faudra vérifier d’abord qu’elles ne contiennent pas les 2 fonctions incriminées, puis soit les corriger vous-même (ou par un développeur) ou changer par un plugin équivalent mis à jour.
Si vous avez acheté vos plugins et vos thèmes chez themeforest ou CodeCanyon, le problème est pris en compte et est en cours de correction.
Si vous êtes développeur et peu patient, vous pouvez modifier les 2 fonctions par :

esc_url()
ou
esc_url_raw()

Dans tous les cas, c’est le moment de réviser la sécurité de votre site et de dégager toutes les extensions inutiles au fonctionnement de votre site.

Articles les plus vus

  1. Influenceurs dans l'acte d'achat Influenceurs dans l’acte d’achat : ne les oubliez pas !
  2. Les rapports Data Studio : comprendre date studio en 5 minutes Comprendre Data Studio en 5 minutes
  3. Téléchargez le cahier des charges du site Internet de vos rêves ! Formaliser le cahier des charges du site de vos rêves
  4. Twitter : l'accord obligatoire des personnes qui y figurentpublier une photo sur TWitter L’ACCORD OBLIGATOIRE des personnes qui y figurent Publier une photo sur Twitter : l’accord obligatoire des personnes qui y figurent
  5. Data Studio Data studio : vos rapports marketing facilement

Diagnostic stratégique : je teste mes connaissances !

Pin It on Pinterest

Share This