Revue de la sécurité de WordPress novembre 2020

Oops...
Slider with alias none not found.

WPScan

C’est à nouveau le moment de l’année où nous reversons 2 % de nos bénéfices à une organisation caritative ayant un impact positif sur le changement climatique. Cette année, nous avons à nouveau choisi Sea Shepherd France. Nous le faisons chaque année dans le cadre de notre engagement Hack the Planet.

Nous avons lancé plusieurs nouvelles versions de notre plugin de sécurité WPScan WordPress, qui contient désormais des contrôles de sécurité supplémentaires, plutôt que les seuls contrôles de l’API. Cela inclut les contrôles suivants :

  • Vérification des fichiers debug.log
  • Vérification des fichiers de sauvegarde wp-config.php
  • Vérifier si XML-RPC est activé
  • Vérification des fichiers de dépôt de code
  • Vérifier si les clés secrètes par défaut sont utilisées
  • Vérification des fichiers de base de données exportés

Nous avons également apporté d’autres petites modifications et corrigé quelques bogues dans le plugin, alors assurez-vous de mettre à jour la dernière version, qui est la version 1.13.1 au moment de l’écriture. Nous prévoyons d’inclure de nombreuses autres vérifications dans les versions à venir et de continuer à améliorer le plugin dans son ensemble. Nous avons également dépassé les 5 000+ installations actives ce mois-ci ! Nous espérons que nous pourrons bientôt dépasser les 10 000 installations actives !

Notre nouvelle page de statistiques sur les vulnérabilités de WordPress a été mise en ligne, elle est beaucoup plus belle que l’ancienne et contient des données beaucoup plus utiles. Jetez un œil aux graphiques ci-dessous qui montrent que 87% des vulnérabilités de WordPress dans notre base de données affectent les plugins WordPress !

Statistiques sur les vulnérabilités de WordPress
En parlant de nouvelles pages, nous avons également une nouvelle page d’état où vous pouvez voir si Ryan a déployé des changements qui ont cassé nos serveurs ! 😉 …

WordPress Core
Pas grand-chose à signaler sur le noyau de WordPress ce mois-ci, car il n’y a pas eu de nouvelles versions au cours du mois de novembre. Cependant, l’équipe principale a été occupée par la sortie imminente de WordPress 5.6, dont la sortie est prévue pour le 8 décembre.

WordPress 5.6 s’accompagne de quelques nouvelles fonctions de sécurité importantes, la première étant la mise à jour automatique des versions majeures de WordPress core. Pour l’instant, il s’agira d’une fonctionnalité d’opt-in, qui sera désactivée par défaut, mais l’objectif final est d’avoir des mises à jour automatiques en douceur afin qu’elles puissent enfin un jour être opt-out, plutôt que opt-in.

Une autre nouveauté majeure de WordPress 5.6 en matière de sécurité est le mot de passe d’application. Ces nouveaux mots de passe permettront aux utilisateurs de générer des mots de passe sécurisés pour accéder à l’API REST de WordPress et à l’ancienne API XML-RPC. Actuellement, il n’est pas prévu d’implémenter les Application Passwords dans le formulaire principal wp-login.php.

Nous avons donc deux nouvelles fonctionnalités de sécurité importantes pour WordPress 5.6. Toutes deux constituent un petit pas dans la direction de la sécurisation de WordPress et de ses utilisateurs.

Plugins WordPress
Ce mois-ci, nous avons ajouté un total de 28 nouvelles vulnérabilités de plugins WordPress à notre base de données.

Ce mois-ci, notre équipe de recherche sur les vulnérabilités a découvert une vulnérabilité 0day activement exploitée affectant le plugin WordPress premium AIT CSV Import / Export. Le 12 novembre, nous avons vu des sondes vers le fichier /wp-content/plugins/ait-csv-import-export/admin/upload-handler.php dans nos honeypots. Nous avons examiné le code et découvert une vulnérabilité évidente de type “Unauthenticated Arbitrary File Upload”, entre autres. Nous avons informé le fournisseur, mais au moment de la rédaction de cet article, il ne semble toujours pas y avoir de correctif disponible. Cependant, nous n’avons pas non plus vu d’autres sondes d’attaque pour cette vulnérabilité depuis que nous l’avons exposée publiquement sur wpscan.com.

BuddyPress, les versions inférieures à 6.4.0, ont été affectées par un problème de sécurité “Lack of Capability Check on Profile Page”.

Le plugin WordPress Ultimate Member, dont la version est inférieure à 2.1.12, présente plusieurs problèmes de sécurité graves.

Le plugin WordPress WPJobBoard premium, dont la version est inférieure à 5.7.0, est également affecté par une injection SQL non authentifiée et par des vulnérabilités XSS et XFS réfléchies non authentifiées.

Pour la liste complète des vulnérabilités que nous avons ajoutées à notre base de données au cours du mois de novembre, nous les avons listées sur notre blog.

Thèmes WordPress
Nous n’avons constaté que trois vulnérabilités de thèmes WordPress ce mois-ci, affectant les thèmes Winar et Love Travel.

Pour la liste complète des vulnérabilités que nous avons ajoutées à notre base de données au cours du mois de novembre, nous les avons répertoriées sur notre blog.

Comment se protéger

Protégez votre site Web WordPress contre les vulnérabilités évoquées ci-dessus avec le plugin de sécurité WordPress WPScan.

Nous aimerions également recommander un plugin de sécurité WordPress tiers développé par nos amis de WP White Security, appelé WP Activity Log. Il s’agit du plugin de journal d’activité WordPress le plus complet pour conserver un enregistrement des modifications apportées par les utilisateurs, faciliter le dépannage et identifier rapidement les comportements suspects pour déjouer les hacks malveillants. Allez le télécharger et l’installer et faites-nous savoir comment vous l’avez trouvé !

Référence:WordPress Security Review November 2020
Photo by Pixabay from Pexels

Similar Posts