WordPress : Failles XSS dans le plugin All In One WP Security & Firewall

WordPress : Failles XSS dans le plugin All In One WP Security & Firewall
Vulnérabilité XSS dans le plugin All In One WP Security & Firewall

Les plugins WordPress de sécurité ont aussi leurs failles de sécurité. Après tout ce sont des fichiers codés comme les autres. Récemment quelques vulnérabilités ont été corrigées dans le plugin All In One WP Security & Firewall, un plugin de sécurité utilisé dans plus de 300K installations WordPress.

Avant d’entamer la mise à jour d’un plugin WordPress on peut consulter ses dernières modifications en cliquant sur le bouton “Afficher les détails de la version ***”. Les versions antérieures du plugin All In One WP Security & Firewall souffrent d’une vulnérabilité XSS (cross-site scripting). C’est déjà arrivé en 2015. Notez que cette faille permet à un malfaiteur de voler l’identité d’un utilisateur ou d’attaquer l’image d’une entreprise. Il est relativement difficile de détecter ces types d’intrusion.

Mettre à jour le plugin All In One WP Security & Firewall

Les deux dernières modifications du plugin All In One WP Security & Firewall :

L’idée de cet article n’est pas de vous faire peur mais de vous sensibiliser à la sécurité de votre site. En 2015 les chercheurs de Sucuri ont détecté cette faille dans plus de 300 plugins WordPress. Le plugin Worfence Security, autre plugin de sécurité, n’y échappe pas !

Wordfence touché par une faille XSS

La version 6.0.22 de Wordfence corrige une faille XSS.

Mettez à jour vos plugins.