Failles de sécurités découvertes dans Wordpress

Les annonces officielles de FranceServ Hébergement.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Bonjour,

Bien que les mises à jour de sécurité sont à effectuer régulièrement sur tous ses sites, je conseil à tous les hébergés de bien vouloir vérifier que toutes les extensions Wordpress sont à jour si vous utilisez cette solution Web.

En effet, une faille de type XSS a été découverte dans une douzaine d'extensions Wordpress, suite à une mauvaise utilisation de la documentation du Codex de Wordpress par leurs développeurs respectifs. Pour information, ces failles sont exploitables chez n'importe quels hébergeurs.

Wordpress lui même est à mettre à jour également :
La version 4.1.2 corrige plusieurs vulnérabilités de sécurité.
Voici un copier coller avec la source et un lien en anglais pour plus de précisions pour les extensions :
Si vous utilisez un des ces plugins:

Jetpack
WordPress SEO
Google Analytics
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP e-Commerce
WPTouch
Download Monitor
P3 Profiler
Give
iThemes Exchange
Broken-Link-Checker
Ninja Forms
Aesop Story Engine
My Calendar

Vérifiez qu'ils sont bien à jour ! Une erreur dans la doc WP à trompé les développeurs qui se sont retrouvés avec une faille XSS ( si c'est SS, c'est méchant).

Quelques précisions (en): http://wptavern.com/xss-vulnerability-a ... ss-plugins
Source : http://www.wordpress-fr.net/support/vie ... ?id=108575
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7937
Inscription : 2 avril 2010 à 20:14

Je viens de lancer un robot afin d'envoyer un mail automatique de rappel à tous les hébergés utilisant un Wordpress pas encore à jour. Ce robot explore tous les sites à la racine uniquement et via HTTP uniquement.

Voilà une capture écran d'un mail type :

Image
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Répondre