Seulement 3 jours après la sortie de WordPress 4.2, un chercheur en sécurité a découvert une vulnérabilité XSS zero-day qui affecte WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 et 3.9.3. Cela permet à un attaquant d'injecter du JavaScript dans les commentaires et de pirater votre site. L'équipe WordPress a réagi rapidement et a corrigé le problème de sécurité dans WordPress 4.2.1, et nous vous recommandons fortement de mettre à jour vos sites immédiatement.
Jouko Pynnönen, un chercheur en sécurité chez Klikki Oy, qui a signalé le problème l'a décrit comme suit :
Si déclenchée par un administrateur connecté, dans les paramètres par défaut, l'attaquant peut exploiter la vulnérabilité pour exécuter du code arbitraire sur le serveur via les éditeurs de plugins et de thèmes.
Alternativement, l'attaquant pourrait changer le mot de passe de l'administrateur, créer de nouveaux comptes administrateur, ou faire tout ce que l'administrateur actuellement connecté peut faire sur le système cible.
Cette vulnérabilité particulière est similaire à celle signalée par Cedric Van Bockhaven qui a été corrigée dans la mise à jour de sécurité WordPress 4.1.2.
Malheureusement, ils n'ont pas utilisé une divulgation de sécurité appropriée et ont plutôt publié l'exploit publiquement sur leur site. Cela signifie que ceux qui ne mettront pas à jour leur site seront en grave danger.
Mise à jour : Nous avons appris qu'ils ont essayé de contacter l'équipe de sécurité WordPress mais n'ont pas obtenu de réponse rapide.
Si vous n'avez pas désactivé les mises à jour automatiques, votre site sera mis à jour automatiquement.
Encore une fois, nous vous conseillons vivement de mettre à jour votre site vers WordPress 4.2.1. Assurez-vous de sauvegarder votre site avant de mettre à jour.
Rajnish Tyagi
salut,
mon site a été piraté 2 fois la semaine dernière, j'utilise le serveur aws, pour la base de données j'utilise RDS, mais aujourd'hui ma base de données a planté, il a fallu 2 heures pour la récupérer, j'utilise la dernière version de WordPress 4.2.2
s'il vous plaît, donnez-moi quelques bons conseils de sécurité
Merci
Rajnish
Paul
Merci pour l'article. Je vais mettre à jour mes sites immédiatement !
Mike
Si vous avez Akismet en cours d'exécution, il y a de fortes chances que les commentaires soient marqués comme spam, alors ne vérifiez pas votre file d'attente de spam.
Bernhard
Veuillez consulter http://klikki.fi/adv/wordpress2.html où il est clairement expliqué comment ils ont essayé de contacter wordpress.com et n'ont reçu aucune réponse DEPUIS NOVEMBRE 2014 (Vulnérabilité confirmée : WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.) :
« WordPress a refusé toutes les tentatives de communication concernant nos cas de vulnérabilité de sécurité en cours depuis novembre 2014. Nous avons essayé de les contacter par e-mail, via l'autorité nationale (CERT-FI) et via HackerOne. Aucune réponse d'aucune sorte n'a été reçue depuis le 20 novembre 2014. À notre connaissance, leur équipe de réponse à la sécurité a également refusé de répondre à l'autorité finlandaise de réglementation des communications qui a essayé de coordonner la résolution des problèmes que nous avons signalés, et au personnel de HackerOne, qui a essayé de clarifier le statut de nos tickets de bug ouverts. »
Si cela est correct, la divulgation du problème était la seule chose responsable à faire, et les sites sont vulnérables non pas à cause de la divulgation, mais à cause de l'échec de WordPress à résoudre ce problème pendant près de 6 mois.
Je comprends que la sécurité est une question complexe, mais veuillez vérifier vos faits.
Support WPBeginner
Nos plus sincères excuses. Nous avons mis à jour l'article.
Admin
Bilal Bin Amar
mais après la mise à jour, mon CMS (wordpress) et mon site sont devenus très lents, sous le CMS quand je clique sur ajouter un plugin, cela donne une erreur
William Charles
J'ai été mis à jour automatiquement et maintenant il me demande de mettre à jour ma base de données. Lorsque je mets à jour ma base de données, j'obtiens l'erreur suivante : Catchable fatal error: Object of class WP_Error could not be converted to string in /home/doctorof/public_html/wp-admin/includes/upgrade.php on line 1459
Des idées sur la façon de résoudre ce problème ? J'ai essayé les méthodes habituelles (désactiver les plugins, thème par défaut, etc.).
Personnel éditorial
Veuillez contacter votre fournisseur d'hébergement. Cela pourrait être dû à une table de base de données corrompue. Cela nous est arrivé avec notre site List25, et notre hébergeur a pu le résoudre rapidement.
Admin
kunwar
Visitez simplement votre page de connexion administrateur /wp-admin, puis appuyez sur le bouton de mise à jour de la base de données, cela devrait résoudre le problème.
pmisun
Après l'application de la mise à jour automatique, cela a complètement désorganisé nos instances et nous n'avons eu aucune réponse du serveur. Nous enquêtons depuis 6 heures, sans résultats positifs. Le serveur va bien, les fournisseurs d'accès / FAI vont bien…
raja babu
Je veux savoir comment sécuriser mon site, comment arrêter la mise à jour automatique du site ??? S'il vous plaît, aidez-moi.
Support WPBeginner
Il est fortement recommandé de mettre à jour votre site WordPress dès qu'une nouvelle mise à jour est disponible. Ne pas le faire rend votre site vulnérable. Cependant, si pour une raison quelconque vous souhaitez mettre à jour manuellement, vous pouvez désactiver les mises à jour automatiques dans WordPress
Admin
Elaine Maul
Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself
Thank you
ha manh bui
Comment savoir si mon site http://homelytips.com/ est affecté, il s'est juste mis à jour automatiquement vers la version 4.1.4
Personnel éditorial
La mise à jour automatique est effectuée par l'équipe WordPress si vous ne les avez pas désactivées.
4.1.4 corrige également le problème.
Admin