WordPress : Failles XSS dans le plugin All In One WP Security & Firewall
Les plugins WordPress de sécurité ont aussi leurs failles de sécurité. Après tout ce sont des fichiers codés comme les autres. Récemment quelques vulnérabilités ont été corrigées dans le plugin All In One WP Security & Firewall, un plugin de sécurité utilisé dans plus de 300K installations WordPress.
Avant d’entamer la mise à jour d’un plugin WordPress on peut consulter ses dernières modifications en cliquant sur le bouton “Afficher les détails de la version ***”. Les versions antérieures du plugin All In One WP Security & Firewall souffrent d’une vulnérabilité XSS (cross-site scripting). C’est déjà arrivé en 2015. Notez que cette faille permet à un malfaiteur de voler l’identité d’un utilisateur ou d’attaquer l’image d’une entreprise. Il est relativement difficile de détecter ces types d’intrusion.
Les deux dernières modifications du plugin All In One WP Security & Firewall :
[quote arrow=”yes”]
4.0.6
- Suppression de l’affichage du contenu des fichiers wp-config.php et .htaccess pour protéger des informations sensibles.
- Correction d’éventuelles vulnérabilités XSS dans d’autres pages de paramètres.
4.0.5
- Correction de quelques vulnérabilités XSS potentielles dans la liste noire, le système de fichiers et dans les pages des paramètres de détection des fichiers modifiés.
[/quote]
L’idée de cet article n’est pas de vous faire peur mais de vous sensibiliser à la sécurité de votre site. En 2015 les chercheurs de Sucuri ont détecté cette faille dans plus de 300 plugins WordPress. Le plugin Worfence Security, autre plugin de sécurité, n’y échappe pas !
La version 6.0.22 de Wordfence corrige une faille XSS.
Mettez à jour vos plugins.
Plus d’informations sur la faille XSS “Cross Site Scripting” :
- Vulnérabilité de type “Cross Site Scripting” dans le site du CERT-FR.
- Le cross-site scripting (abrégé XSS) chez Wikipédia.
