De nombreux plugins WordPress sont actuellement vulnérables

Posted by

De nombreux plugins , et non des moindres, présentent une vulnérabilité au Cross-site Scripting (XSS) due au fait que des fonctions telles que add_query_arg() et remove_query_arg() sont mal utilisées dans certains plugins par les développeurs.

Selon le site Sucuri.net, il s’agit de fonctions populairement utilisées par les développeurs de plugins pour ajouter ou modifier des suites de requêtes dans les URL à l’intérieur de WordPress.

De nombreux plugins WordPress

Par définition, le cross-site scripting

Il est par exemple possible de rediriger vers un autre site pour du hameçonnage ou encore de voler la session en récupérant les cookies.

Voici actuellement la liste non exhaustive des plugins WordPress actuellement affectés par cette faille de sécurité :

  • Jetpack
  • WordPress
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Compte tenu de leur popularité, si votre blog ou site a été propulsé à l’aide de WordPress, vous devez certainement avoir installé au moins l’un de ces plugins vulnérables. Et il y en aurait d’autres non encore révélés.

Alors, il est plus que jamais recommandé de vous rendre immédiatement dans votre tableau de bord WordPress afin de mettre immédiatement à jour tous vos plugins. Sans exception.

Et visitez le site officiel de qui propose ici un guide pour mieux utiliser ces fonctions vulnérables citées plus haut afin de mieux protéger votre site.