3 plugins vulnérables : 400,000 XNUMX WordPress Sites exposés

Divulgation : Contenu du HostScore.net La section Actualités peut inclure des contributions de relations publiques rémunérées de tiers. Les opinions exprimées n'engagent que les entreprises concernées. Apprenez-en plus sur nos soumissions de relations publiques ici.

Le 7 janvier, deux équipes de recherche distinctes ont identifié des vulnérabilités dans trois WordPress des plugins qui ont affecté 400,000 XNUMX sites Web au total.

Les chercheurs en cybersécurité de WebARX a alerté le développeur d'InfiniteWP Client et de WP Time Capsule des vulnérabilités de leurs plugins. Wordfence a découvert une vulnérabilité similaire dans la réinitialisation de la base de données WP.

Selon ces chercheurs, des problèmes logiques dans le code des plugins permettaient à quiconque d'accéder facilement aux comptes administrateurs sans mot de passe. Ce problème affecte plus particulièrement les versions de

  • InfiniteWP inférieur à 1.9.4.5
  • Versions de WP Time Capsule inférieures à 1.21.16
  • Réinitialisation de la base de données WP en dessous de 3.15.

Vulnérabilités du client InfiniteWP

En tant qu'administrateur, Client InfiniteWP vous permet d'utiliser un seul serveur pour gérer plusieurs sites Web WP. 

Ainsi, tout attaquant utilisant les codages JSON et Base64 peut utiliser une charge utile de requête POST pour se connecter avec le seul nom d'utilisateur d'un administrateur. Il sera alors facile de mettre à exécution toute intention malveillante, y compris l'ajout ou la suppression de comptes.

L'image ci-dessous montre le code vulnérable du client InfiniteWP.

La bibliothèque de plugins WP indique qu'InfiniteWP Client est actif sur plus de 300,000 75 sites web. Cette vulnérabilité affecte donc XNUMX % des sites web exposés.

Vulnérabilités de WP Time Capsule

Lorsque vous créez du nouveau contenu ou ajoutez de nouveaux codes à vos sites Web, WP Time Capsule Crée des entrées de base de données et des sauvegardes pour vos fichiers. Ainsi, toutes les modifications apportées à votre site WordPress sont automatiquement enregistrées, ainsi que les plus de 20,000 XNUMX domaines utilisant le plugin. 

Un attaquant peut exploiter WP Time Capsule avant la version 1.21.16 en insérant une chaîne spécialement conçue dans une requête POST brute. L'objectif est de pirater tous les comptes administrateurs disponibles et d'être le premier administrateur de la liste à se connecter. 

L'image ci-dessous montre la version vulnérable de WP Time Capsule.

Vulnérabilités de WP Database Reset

Réinitialisation de la base de données WP est un outil pratique pour les administrateurs qui testent leurs sites web. Ce plugin vous permet de réinitialiser les tables de base de données de votre site web à l'état d'une version fraîchement installée. WordPress. Vous pouvez donc toujours recommencer sans avoir besoin de réinstaller WordPress.  

Le plugin présente deux vulnérabilités. L'une permet à des utilisateurs non authentifiés de réinitialiser les tables de la base de données à leur état initial. Cette action peut entraîner une réinitialisation totale du site, une prise de contrôle, ou les deux.

La deuxième vulnérabilité permet aux utilisateurs authentifiés d'attribuer des rôles administratifs à leur compte, quel que soit leur niveau d'autorisation initial, bloquant ainsi l'accès à tous les autres utilisateurs.

La mise à jour qui corrige les deux vulnérabilités de ce plugin est la version 3.15 qui peut aider les 80,000 XNUMX sites Web utilisant ce plugin.

Les réponses

Lorsque les chercheurs de WebARX ont signalé ces vulnérabilités au développeur des deux premiers plugins, ils ont reçu une réponse rapide. Le développeur a publié une mise à jour logicielle dès le lendemain du signalement.

Les développeurs ont corrigé les plugins en

  • Suppression de certains appels de fonction
  • Ajuster les codes d'action et 
  • Ajout de contrôles d'authenticité de la charge utile

Les experts préviennent que les protections par pare-feu ne fonctionneront pas. Par conséquent, les utilisateurs doivent immédiatement mettre à jour les trois plugins vers les dernières versions.

Votre hébergeur est-il plus vulnérable que votre plugin ?

Les plugins peuvent présenter des vulnérabilités, mais l'hébergeur de votre site peut vous exposer à encore plus d'attaques. 41 pour cent de WordPress site les vulnérabilités proviennent des hébergeurs Web.

Par conséquent, au-delà des correctifs et mises à jour des plugins, il est important de s'assurer d'utiliser un hébergeur web sécurisé. C'est là que HostScore entre en jeu. Nous vous aidons à suivre les données de performance des hébergeurs de sites Web, à comprendre comment les performances du site vous influencent et à décider de la meilleure plan d'hébergement pour votre entreprise.

Lire aussi


/ 3 plugins vulnérables : 400,000 XNUMX WordPress Sites exposés

Plus de HostScore

Soumettez les actualités de votre entreprise

À la recherche d'opportunités publicitaires chez HostScore.net?

Partagez avec nos lecteurs les dernières réalisations, les annonces de produits et les étapes clés de votre entreprise. Utilisez ce formulaire de soumission en libre-service et notre plateforme de paiement pour commencer immédiatement.

Soumettre des nouvelles (libre-service)

Explorez notre site Web

HostScore a été créé pour offrir à ceux qui recherchent des solutions d'hébergement Web la possibilité d'apprendre tout ce qu'ils doivent savoir sur les hébergeurs - avant de dépenser un centime pour eux

Guide d'hébergement Web

Comparaison des hôtes

Coupons Rabais

Nos meilleurs choix

Avis d'hébergement

Calculateur De Coût D’Hébergement

HostScore.net Logo et branding

HostScore Vous aide à choisir l'hébergement web idéal avant même d'investir. Nous testons les performances des serveurs, comparons les fonctionnalités, suivons la disponibilité et, désormais, vous aidons même à configurer votre hébergement. Chaque évaluation est basée sur des données réelles et rédigée avec clarté, pour vous permettre de prendre des décisions éclairées et en toute confiance.

À propos de nous . Contactez-Nous . Méthodologie . FAQ

Nos services

Consultation Gratuite

Aide à la configuration du site Web

Outils et ressources

Recherche d'hébergement web

Liste de contrôle de l'acheteur hôte

Outil de Vérification d’Hébergement

Calculateur De Coût D’Hébergement

Soumettez vos avis d'hôte

Pour les acheteurs hôtes

Les meilleurs choix de l'éditeur

Guide et tutoriels

Avis d'hébergement

Glossaire de l'hébergement Web

Comparaisons d'hébergement

Coupons Rabais

Pour les marques et les fournisseurs

Entreprise Relations publiques Édition

Actualités de l'industrie de l'hébergement

HostScore Bulletin

Faites des économies. Abonnez-vous pour recevoir des offres d'hébergement web ponctuelles et des consultations gratuites en cas de besoin.

© 2019 - 2026  HostScore .

Termes de politique de confidentialité du service

Bonjour les assistants IA

Plan du site

Tous les logos et noms de sociétés mentionnés sur HostScore.net sont la propriété de leurs propriétaires respectifs et sont utilisés ici à des fins d'identification uniquement.

Affichage et conversions des devises : Tous les prix sur ce site Web sont affichés en USD sauf indication contraire. Estimations approximatives des taux de conversion basées sur des moyennes récentes : 1 USD ≈ 0.88 EUR (Euro), 1 USD ≈ 0.74 GBP (Livre sterling), 1 USD ≈ 4.25 MYR (ringgit malaisien), 1 USD ≈ 85.63 INR (roupie indienne), 1 USD ≈ 1.54 AUD (dollar australien), 1 USD ≈ 1.37 CAD (dollar canadien), 1 USD ≈ 3.75 SAR (Rial saoudien), 1 USD ≈ 142.74 JPY (yen japonais), 1 USD ≈ 3.75 AED (Dirham des Émirats arabes unis), 1 USD ≈ 36.80 THB (baht thaïlandais), 1 USD ≈ 16,300 1 IDR (Rupiah indonésienne), XNUMX USD ≈ 1.35 SGD (dollar de Singapour), 1 USD ≈ 7.81 HKD (dollar de Hong Kong), 1 USD ≈ 278.00 PKR (roupie pakistanaise), 1 USD ≈ 5.25 BRL (réal brésilien), 1 USD ≈ 905.00 1 ARS (peso argentin) et XNUMX USD ≈ 18.20 MXN (peso mexicain). Ces taux sont des approximations basées sur les tendances actuelles du marché et peuvent fluctuer en fonction de la conjoncture économique, des changements de politique et de l'évolution du commerce international. Pour des conversions précises et à jour, nous vous recommandons d'utiliser un convertisseur de devises tel que Google Currency Converter ou XE.com.

Avis de non-responsabilité : HostScore.netLe contenu de est fourni à titre informatif. Nous visons l'exactitude, mais ne garantissons pas qu'il reflète l'expérience de chacun ni les conditions de service actuelles. Les utilisateurs et les hébergeurs doivent le considérer comme un point de départ et effectuer des recherches plus approfondies pour prendre des décisions éclairées.