Logo Ya-graphic : Création de boutique en ligne et référencement Google
Nous sommes à votre service pour vous proposer le meilleur service de référencement Google et de création de site e-commerce. Depuis 2008 nous apportons satisfaction à nos clients, qu'ils soient de France ou d'ailleurs.
3 av Adrien Mazet, Rés La Carraire, bât c - n°36, Miramas, FR
(+33) 06.52.64.70.04
contact@ya-graphic.com
Suivez YA-GRAPHIC

WordPress est-il faillible à cause des vulnérabilités découvertes dans 3 plugins ?

WordPress est-il un CMS faillible ?

WordPress est-il faillible à cause des vulnérabilités découvertes dans 3 plugins ?

WordPress est-il un CMS faillible ?

Tous les mois des développeurs découvrent des vulnérabilités non seulement dans les versions actuelles de votre CMS WordPress mais aussi dans les plugins que vous avez ajouté dans votre site. Les mises à jour de vos plugins, de vos thèmes et de votre CMS sont fortement recommandées parce qu’elles apportent des correctifs.

Le 4 août dernier WordPress annonçait la sortie de la version 4.2.4 de son CMS. Une demi-douzaine de failles de sécurité ont été corrigées, cette nouvelle version protégeait le CMS du cross-site scripting, de l’injection SQL, de l’attaque par canal auxiliaire, du blocage d’article après avoir été édité. Suite à cette mise à jour des développeurs ont découvert d’autres failles de sécurité liées notamment à des plugins.

Si vous avez manqué l’article sachez que le 23 juillet j’annonçais des vulnérabilités dans 3 plugins WordPress chez Ya-graphic.com, notamment les plugins qTranslate, Count per Day et Paid Memberships Pro. J’en annonce 3 de plus aujourd’hui. Faut-il croire que WordPress est faillible ?

Les 3 plugins en question

[quote color=”#ffffff” bgcolor=”#e0570f” bcolor=”#058dc7″ arrow=”yes” align=”left”]Notez que les plugins présentés dans cet article ont chacun leurs correctifs. Il ne vous reste plus qu’à les mettre à jour. Notez aussi que la mise à jour concerne l’ensemble de vos plugins, pas seulement ceux que je présente ici.[/quote]

Il y a quelques jours deux vulnérabilités XSS – l’une réfléchie et l’autre stockée – ont été découvertes par DXW. Elles sont dans le plugin iframe version 3. Si vous êtes curieux, vous vous êtes aperçu que l’auteur du plugin a vite corrigé la faille en supprimant le paramètre “get_params_from_url”. N’attendez pas de mettre à jour votre plugin chaque fois qu’une nouvelle version est disponible.

Quelques jours avant la sortie de la nouvelle version de WordPress une petite vulnérabilité avait été découverte dans le plugin Google Analytics by Yoast Premium. L’auteur Yoast en a été informé le 22 juillet et le 5 août – un jour après la sortie de WordPress 4.2.4 – une nouvelle version était disponible, la version 5.4.5.

WP OAuth Server est un autre plugin exposé à une faille de sécurité mais plus importante, a indiqué DXW. Le générateur de nombres pseudo-aléatoires n’avait pas de sécurité cryptographique. Il est recommandé de mettre à jour le plugin et de passer à une version supérieure de PHP. Notez que les versions PHP 4.x – en fin de vie depuis plus de 6 ans -, PHP 5.2 et 5.3 sont considérées comme obsolètes. Passez à la version 5.4, 5.5 ou de préférence à la 5.6.

[quote]A voir : une check-list pour la sécurité de votre site WordPress[/quote]

A la question de savoir si WordPress est faillible, je répondrais que rien n’est infaillible sur Internet ni même en informatique. Est-ce qu’un CMS peut se targuer de l’être ? Pas à ma connaissance. WordPress est vulnérable si vous n’appliquez pas les mesures de sécurité : mises à jour, pare-feu, complexité du mot de passe, etc. Appliquez ces mesures au maximum et sauvegardez régulièrement votre base de données, vous éviterez peut-être les mauvaises surprises.

Yassine A.

Professionnel du SEO et du Webmarketing depuis plus de 10 ans. J'apporte PLUS de visibilité et PLUS de ventes aux entreprises, agences, startups et micro-entrepreneurs que j'accompagne. Certifié Google. Mes spécialités sont le référencement naturel (SEO) et la création de site E-commerce.