Failles et vulnérabilités de WordPress

Restez informés sur les failles et vulnérabilités auxquelles votre site WordPress pourrait être soumis, ainsi que des recommandations pour les combattre. Nos articles et guides complets visent à expliquer comment se protéger contre ses problèmes de sécurité présents sur votre site Web.

Blog Failles et vulnérabilités de WordPress
Failles et vulnérabilités de WordPress

iThemes Security 5.3.6 Patch de securité

avril 25, 2016 0 comments

Récemment vers le 19 avril 2016, iThemes Security a été patché contre une vulnérabilité découverte par notre équipe, un manque de vérification de capacité, laissant n’importe quel membre avec n’importe quel rôle réaliser une action d’un administrateur.

Read more
Failles et vulnérabilités de WordPress

XSS dans WPML avec l’entête Accept-Language

septembre 2, 2015 0 comments

WPML est un célèbre plugin payant de multi-langues pour WordPress. Le 31 août 2015 la version 3.2.7 corrige une faille XSS présente depuis la 2.9.3. Le fichier touché est à la racine du plugin, le code en question est: [pastacode lang=”php” message=”” highlight=”” provider=”manual” manual=”case%20’get_browser_language’%3A%0A%09%24http_accept_language%20%20%20%20%20%20%20%20%20%20%20%20%3D%20%24_SERVER%5B%20’HTTP_ACCEPT_LANGUAGE’%20%5D%3B%0A%09%24accepted_languages%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3D%20explode(%20’%3B’%2C%20%24http_accept_language%20)%3B%0A%09%24default_accepted_language%20%20%20%20%20%20%20%3D%20%24accepted_languages%5B%200%20%5D%3B%0A%09%24default_accepted_language_codes%20%3D%20explode(%20’%2C’%2C%20%24default_accepted_language%20)%3B%0A%09echo%20wpml_mb_strtolower(%20%24default_accepted_language_codes%5B%200%20%5D%20)%3B%0Aexit%3B”/] Le plugin va lire l’entête , le découper selon les […]

Read more
Failles et vulnérabilités de WordPress

BJ Lazy Load et TimThumb

septembre 1, 2015 0 comments

BJ Lazy Load est un plugin de chargement tardif des images, disponible gratuitement que le dépôt officiel de WordPress. Le 1er septembre 2015, nous avons découvert que ce plugin, BJ Lazy Load v 0.7.5, utilisait une version non à jour de TimThumb, ce fameux script qui continue à faire pâlir depuis 2011 les webmasters en 2015. Si […]

Read more
Failles et vulnérabilités de WordPress

WP Rollback, le plugin un peu trop permissif

juin 28, 2015 0 comments

En date du 26 juin 2015, je découvre le plugin WP Rollback. Ce plugin permet d’installer une version antérieure d’un de vos plugins provenant du dépôt officiel. Comme j’ai eu envie d’utiliser ce plugin, je me devais d’abord de vérifier sa sécurité. Rappelons que si je ne fais pas ça, alors je ne dois pas oublier […]

Read more
Failles et vulnérabilités de WordPress

Vulnérabilité dans WooCommerce 2.3.10 : Object Injection

juin 11, 2015 0 comments

WooCommerce 2.3.10 Hier, le 10 juin 2015, WooCommerce a été patché d’une faille de sécurité nommée “Object Injection“. Cette faille déjà rencontrée sous WordPress < 3.6.1 est ici à risque très élevé, contrairement à WP pour laquelle le risque était quasi nul. Le risque ne dépends pas de la faille en elle même, mais de […]

Read more