Collection de vulnérabilités WordPress: août 2019, partie 2

Plusieurs nouveaux plugins WordPress et vulnérabilités de thème ont été publiés fin août, donc nous aimerions vous tenir au courant. Dans cet article, nous vous présentons les dernières vulnérabilités des plugins et des thèmes WordPress et ce que vous devez faire si vous utilisez l’un des plugins ou thèmes vulnérables sur votre site. Nous avons divisé le résumé des vulnérabilités de WordPress en quatre catégories: 1. WordPress core 2. Plugin wordpress 3. Thème WordPress 4. * Nous incluons les violations de l’ensemble du réseau, car il est également essentiel de comprendre les vulnérabilités en dehors de l’écosystème WordPress. Une vulnérabilité logicielle du serveur peut exposer des données sensibles. Une vulnérabilité à la base de données pourrait exposer les identifiants d’utilisateur de votre site, ouvrant la porte à un attaquant pour accéder à votre site.
Principales vulnérabilités de WordPress aucune vulnérabilité de WordPress n’a été identifiée en août 2019. Vulnérabilité du plugin wordpress plusieurs nouvelles vulnérabilités du plugin wordpress ont été découvertes en août. Assurez – vous de mettre à jour le plug – in ou de le désinstaller complètement comme recommandé ci – dessous. 1. Galerie de nouvelle génération NextGen Gallery 3.2.10 et plus tôt sont vulnérables aux attaques par injection SQL. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 3.2.11. 2. Module simple mailchimp Les formulaires Easy pour mailchimp version 6.5.2 et plus tôt sont sensibles à l’injection de code.
Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 6.5.3. 3. WP Social Feedback Library WP social Feed Gallery version 2.4.7 and earlier lack sufficient Authorization Control. Cette vulnérabilité peut permettre aux utilisateurs de bas niveau d’effectuer des attaques de contrefaçon inter – sites. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 2.4.8. 4. Likebox and Social Feed Social likebox & F
Corrigé, vous devriez mettre à jour la version 2.2.20. 12. Woocommerce Product Summary Woocommerce Product source version 3.1.14 and earlier is vulnerable to cross – site scripting attacks. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 3.1.15. 13. Registre des gâteaux Les versions 3.1.1 et antérieures du registre circulaire sont vulnérables aux attaques par injection SQL. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 3.1.2. 14. Insertion d’attributs simples Easy Property Listings version 3.3.5 and earlier is vulnerable to cross – site scripting attacks. Ce que vous devez faire pour corriger la vulnérabilité, vous devriez mettre à jour la version 3.4. 15. Prise manuelle UTM Handl UTM grabber version 2.6.4 et plus tôt est vulnérable aux attaques de contrefaçon inter – site. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 2.6.5. 16. Bibliothécaire en ligne Les versions 3.5.2 et antérieures de la Bibliothèque Web sont vulnérables aux attaques par injection SQL. Ce que vous devez faire cette vulnérabilité a été corrigée et vous devriez mettre à jour la version 3.5.5. Thème WordPress aucune vulnérabilité de thème WordPress n’a été divulguée au cours de la seconde moitié du mois d’août 2019. La principale raison pour laquelle le site WordPress est piraté est de se prémunir activement contre les vulnérabilités dans les thèmes et les plug – ins WordPress qui exécutent des logiciels obsolètes. Pour garantir la sécurité de votre site WordPress, vous devez avoir une routine de mise à jour. Vous devriez visiter le site au moins une fois par semaine pour effectuer des mises à jour.
Les mises à jour automatiques aident les mises à jour automatiques sont un bon choix pour les sites WordPress qui ne changent pas souvent. Par manque d’attention, ces sites sont souvent négligés et vulnérables aux attaques. Même avec les paramètres de sécurité recommandés, l’exécution de logiciels vulnérables sur le site peut créer des malentendus pour les utilisateurs
Veuillez envoyer vos informations de connexion à votre adresse e – mail avant de vous connecter à nouveau. Deuxièmement, il désactivera l’éditeur de fichiers WP (pour empêcher les gens d’éditer le plug – in ou le Code de sujet), le ping – back XML – RPC et bloquera les tentatives d’authentification multiples pour chaque demande XML – RPC (les deux rendront le XML – RPC plus résistant aux attaques sans avoir à le désactiver complètement). Découvrez d’autres anciens sites WordPress – ceci vérifiera si d’autres installations WordPress obsolètes sont disponibles sur votre compte d’hébergement. Un site WordPress obsolète avec une vulnérabilité pourrait permettre à un attaquant de détruire tous les autres sites sur le même compte d’hébergement. Envoyer une notification par courriel: un courriel sera envoyé aux utilisateurs au niveau de l’Administrateur pour toute question nécessitant une action. Violations de l’ensemble du Web 1. NPM supprimer le paquet de vol de mot de passe NPM est le gestionnaire de paquets par défaut pour les noeuds et un outil pour installer, mettre à jour, configurer et supprimer des logiciels. JS. NPM annonce qu’après avoir déployé BB Builder, il sera retiré du dépôt en distribuant un exécutable Windows qui envoie des informations sensibles au serveur distant. NPM recommande de supprimer le paquet et de faire tourner la clé de sécurité stockée sur l’appareil sur lequel le paquet est installé. De plus, ils préviennent que la suppression d’un paquet peut ne pas supprimer tous les logiciels malveillants. 2. Une plus grande vulnérabilité a été trouvée dans le logiciel Lenovo pré – installé. Lenovo Solution Center version 03.12.003 peut permettre l’écriture de fichiers journaux à des emplacements non standard, ce qui entraîne une mise à niveau des permissions. Lenovo solutions Center est attaqué depuis avril 2018. La proposition d’atténuation de Lenovo est de supprimer le Centre de solution et de migrer vers Lenovo vatti ou Lenovo diagnostics en avril 2019. Le plug – in de sécurité WordPress peut vous aider à protéger votre site Internet Theme