WordPress est-il faillible à cause des vulnérabilités découvertes dans 3 plugins ?
Tous les mois des développeurs découvrent des vulnérabilités non seulement dans les versions actuelles de votre CMS WordPress mais aussi dans les plugins que vous avez ajouté dans votre site. Les mises à jour de vos plugins, de vos thèmes et de votre CMS sont fortement recommandées parce qu’elles apportent des correctifs.
Le 4 août dernier WordPress annonçait la sortie de la version 4.2.4 de son CMS. Une demi-douzaine de failles de sécurité ont été corrigées, cette nouvelle version protégeait le CMS du cross-site scripting, de l’injection SQL, de l’attaque par canal auxiliaire, du blocage d’article après avoir été édité. Suite à cette mise à jour des développeurs ont découvert d’autres failles de sécurité liées notamment à des plugins.
Si vous avez manqué l’article sachez que le 23 juillet j’annonçais des vulnérabilités dans 3 plugins WordPress chez Ya-graphic.com, notamment les plugins qTranslate, Count per Day et Paid Memberships Pro. J’en annonce 3 de plus aujourd’hui. Faut-il croire que WordPress est faillible ?
Les 3 plugins en question
[quote color=”#ffffff” bgcolor=”#e0570f” bcolor=”#058dc7″ arrow=”yes” align=”left”]Notez que les plugins présentés dans cet article ont chacun leurs correctifs. Il ne vous reste plus qu’à les mettre à jour. Notez aussi que la mise à jour concerne l’ensemble de vos plugins, pas seulement ceux que je présente ici.[/quote]
Il y a quelques jours deux vulnérabilités XSS – l’une réfléchie et l’autre stockée – ont été découvertes par DXW. Elles sont dans le plugin iframe version 3. Si vous êtes curieux, vous vous êtes aperçu que l’auteur du plugin a vite corrigé la faille en supprimant le paramètre “get_params_from_url”. N’attendez pas de mettre à jour votre plugin chaque fois qu’une nouvelle version est disponible.
Quelques jours avant la sortie de la nouvelle version de WordPress une petite vulnérabilité avait été découverte dans le plugin Google Analytics by Yoast Premium. L’auteur Yoast en a été informé le 22 juillet et le 5 août – un jour après la sortie de WordPress 4.2.4 – une nouvelle version était disponible, la version 5.4.5.
WP OAuth Server est un autre plugin exposé à une faille de sécurité mais plus importante, a indiqué DXW. Le générateur de nombres pseudo-aléatoires n’avait pas de sécurité cryptographique. Il est recommandé de mettre à jour le plugin et de passer à une version supérieure de PHP. Notez que les versions PHP 4.x – en fin de vie depuis plus de 6 ans -, PHP 5.2 et 5.3 sont considérées comme obsolètes. Passez à la version 5.4, 5.5 ou de préférence à la 5.6.
[quote]A voir : une check-list pour la sécurité de votre site WordPress[/quote]
A la question de savoir si WordPress est faillible, je répondrais que rien n’est infaillible sur Internet ni même en informatique. Est-ce qu’un CMS peut se targuer de l’être ? Pas à ma connaissance. WordPress est vulnérable si vous n’appliquez pas les mesures de sécurité : mises à jour, pare-feu, complexité du mot de passe, etc. Appliquez ces mesures au maximum et sauvegardez régulièrement votre base de données, vous éviterez peut-être les mauvaises surprises.
