Collection de vulnérabilités WordPress: Mars 2020, partie 2

Dans la seconde moitié du mois de mars, de nouveaux plugins WordPress et des vulnérabilités de thème ont été publiés, donc nous aimerions vous tenir au courant. Dans cet article, nous vous présentons les derniers plugins WordPress, thèmes et vulnérabilités, et ce que vous devez faire si vous utilisez l’un des plugins ou thèmes vulnérables sur votre site. Le résumé des vulnérabilités de WordPress est divisé en quatre catégories: le plug – in WordPress Core WordPress thèmes WordPress vulnérabilités principales WordPress vulnérabilités WordPress aucune vulnérabilité WordPress n’a été divulguée en 2020. Plusieurs nouvelles vulnérabilités du plugin wordpress ont été découvertes ce mois – ci. Assurez – vous de mettre à jour le plug – in ou de le désinstaller complètement comme recommandé ci – dessous.
1 à 7. Plug – ins multiples Les statistiques des composants de buddypress, la soumission de résumés, le style de magasin de commerce électronique WP, le client Lite du portail Web, l’exportation de PDF Post, blogtopdf et gbotique ont tous des vulnérabilités non vérifiées d’inclusion de fichiers locaux dompdf. Supprimez les plug – ins qui ont été fermés dans la Bibliothèque de plug – ins WordPress. Organisation. 8. Chargement des fichiers WordPress Une vulnérabilité d’exécution de code à distance existe dans les versions de téléchargement de fichiers WordPress inférieures à 4.13.0. Ces vulnérabilités ont été corrigées et vous devriez mettre à jour la version 4.13.0. 9. Newsletter Une vulnérabilité d’injection CSV existe dans les versions de communiqués de presse antérieures à 6.5.4.
Ces vulnérabilités ont été corrigées et vous devriez mettre à jour la version 6.5.4. 10. Learnpress Une vulnérabilité de promotion des droits existe dans les versions de learnpress avant 3.2.6.7. Ces vulnérabilités ont été corrigées et vous devriez mettre à jour la version 3.2.6.7. 11. Personnalisation de l’interface utilisateur du type de poste 1.7.4 les versions suivantes de l’interface utilisateur de type post personnalisé présentent une vulnérabilité de script inter – site pour la falsification et le stockage des demandes inter – site.
Vulnérabilité de script intersite vérifiée pour le stockage. La vulnérabilité a été corrigée et vous devriez la mettre à jour à la version 3.8.2. La principale raison pour laquelle le site WordPress est piraté est de se prémunir activement contre les vulnérabilités dans les thèmes et les plug – ins WordPress qui exécutent des logiciels obsolètes. Pour garantir la sécurité de votre site WordPress, vous devez avoir une routine de mise à jour. Vous devriez visiter le site au moins une fois par semaine pour effectuer des mises à jour.
Les mises à jour automatiques aident les mises à jour automatiques sont un bon choix pour les sites WordPress qui ne changent pas souvent. Par manque d’attention, ces sites sont souvent négligés et vulnérables aux attaques. Même avec les paramètres de sécurité recommandés, l’exécution d’un logiciel vulnérable sur un site peut fournir aux attaquants un point d’accès au site. Avec la fonctionnalité de gestion de version du plug – in themes Security pro, vous pouvez activer les mises à jour automatiques wordpress pour vous assurer de recevoir les derniers correctifs de sécurité. Ces paramètres aident à protéger votre site en mettant automatiquement à jour les nouvelles versions ou en offrant des options pour améliorer la sécurité des utilisateurs lorsque le logiciel du site expire. Gérer les options de mise à jour pour les mises à jour de la version WordPress: Installer automatiquement la dernière version de WordPress. Mise à jour automatique du plug – in: installe automatiquement les dernières mises à jour du plug – in. Cette fonctionnalité devrait être activée à moins que vous ne mainteniez activement ce site tous les jours et que vous n’installiez manuellement les mises à jour peu de temps après leur publication. Mise à jour automatique du thème: installe automatiquement les dernières mises à jour du thème. Cette option doit être activée à moins que le sujet n’ait une personnalisation de fichier. Mise à jour du plug – in et
Sujet: vous devrez peut – être mettre à jour manuellement le plug – in \/ sujet, ou retarder la mise à jour jusqu’à ce que la version soit stable. Vous pouvez choisir de personnaliser les possibilités d’assigner des mises à jour instantanées (activées), des mises à jour non automatiques (désactivées) ou des mises à jour retardées (retardées) pour un certain nombre de jours par plug – in ou sujet. Renforcer et rappeler les questions clés renforcer le site lors de l’exécution de logiciels obsolètes: Ajouter automatiquement une protection supplémentaire au site lorsque les mises à jour disponibles ne sont pas installées dans un délai d’un mois. Lorsqu’aucune mise à jour n’est installée depuis un mois, le plug – in de sécurité themes permet automatiquement une sécurité plus stricte. Premièrement, il obligera tous les utilisateurs qui n’ont pas activé le double facteur à fournir le Code d’accès à leur adresse électronique avant de se connecter à nouveau. Deuxièmement, il désactivera l’éditeur de fichiers WP (pour empêcher les gens d’éditer le plug – in ou le Code de sujet), le ping – back XML – RPC et bloquera les tentatives d’authentification multiples pour chaque demande XML – RPC (les deux rendront le XML – RPC plus résistant aux attaques sans avoir à le désactiver complètement). Découvrez d’autres anciens sites WordPress – ceci vérifiera si d’autres installations WordPress obsolètes sont disponibles sur votre compte d’hébergement. Un site WordPress obsolète avec une vulnérabilité pourrait permettre à un attaquant de détruire tous les autres sites sur le même compte d’hébergement. Envoyer une notification par courriel: un courriel sera envoyé aux utilisateurs au niveau de l’Administrateur pour toute question nécessitant une action. Gérer plusieurs sites WP? Synchroniser le tableau de bord à partir d’ithemes pour mettre à jour simultanément les plug – ins, les thèmes et les noyaux Isthemes sync est notre tableau de bord central pour vous aider à gérer plusieurs sites WordPress. À partir du tableau de bord de synchronisation, vous pouvez voir les mises à jour disponibles pour tout le monde