Failles et vulnérabilités de WordPress

BJ Lazy Load et TimThumb

0 comments

BJ Lazy Load est un plugin de chargement tardif des images, disponible gratuitement que le dépôt officiel de WordPress.

Le 1er septembre 2015, nous avons découvert que ce plugin, BJ Lazy Load v 0.7.5, utilisait une version non à jour de TimThumb, ce fameux script qui continue à faire pâlir depuis 2011 les webmasters en 2015.

Si vous ne vous souvenez plus de lui, il y a quelques années, TT contenait une très grosse vulnérabilité permettant à n’importe quel visiteur d’uploader n’importe quel type de fichier sur votre site. Cela a mené à beaucoup beaucoup de site piratés, ce fut désastreux, vraiment.

Que faire dans ce cas ?

Le plugin a été reporté malveillant à l’équipe de validation des plugins sur le dépôt de w.org qui ont de suite signalé que ce script était interdit sur le dépôt, aucun plugin ni thème ne semble avoir le droit de l’utiliser.

Il est vrai que même à jour il peut contenir des failles, ce script en a contenu tellement qu’il ne serait pas étonnant d’en trouver encore, donc ils protègent les utilisateurs des futures découvertes, ce qui est très bien.

Le plugin a refait surface après quelques heures de suppression, de sa version 0.7.5 en 1.0, sans TimThumb ! Tenez vous donc à jour !

Nous vous recommandons l’utilisation de Rocket Lazy Load.

0 comments