De nombreux plugins WordPress, et non des moindres, présentent une vulnérabilité au Cross-site Scripting (XSS) due au fait que des fonctions telles que add_query_arg() et remove_query_arg() sont mal utilisées dans certains plugins par les développeurs.
Selon le site Sucuri.net, il s’agit de fonctions populairement utilisées par les développeurs de plugins pour ajouter ou modifier des suites de requêtes dans les URL à l’intérieur de WordPress.
Par définition, le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page.
Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5.
Il est par exemple possible de rediriger vers un autre site pour du hameçonnage ou encore de voler la session en récupérant les cookies.
Voici actuellement la liste non exhaustive des plugins WordPress actuellement affectés par cette faille de sécurité :
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiple iThemes products including Builder and Exchange
- Broken-Link-Checker
- Ninja Forms
Compte tenu de leur popularité, si votre blog ou site a été propulsé à l’aide de WordPress, vous devez certainement avoir installé au moins l’un de ces plugins vulnérables. Et il y en aurait d’autres non encore révélés.
Alors, il est plus que jamais recommandé de vous rendre immédiatement dans votre tableau de bord WordPress afin de mettre immédiatement à jour tous vos plugins. Sans exception.
Et visitez le site officiel de WordPress qui propose ici un guide pour mieux utiliser ces fonctions vulnérables citées plus haut afin de mieux protéger votre site.
