Comment contacter le support Wordpress téléphone : 09 54 43 67 20
L’actualité de sécurité WordPress a été mouvementée ce mois-ci. De nombreuses failles de sécurité ont été identifiées sur des plugins WordPress populaires et les versions 6.7 du CMS, puis 6.7.1 ont été mises en ligne. Tous ces évènements rappellent aux gestionnaires de sites WordPress comme à nos experts à quel point il est important d’effectuer une maintenance proactive de son site web, tout en appliquant des mesures de sécurité pour éviter de se faire pirater son site internet. Notre support d’assistance WordPress revient sur les dernières actualités de sécurité WordPress.
Les mises à jour régulières du cœur de WordPress, des extensions et des thèmes sont essentielles pour garantir la sécurité, la performance et la durabilité des sites WordPress. Ignorer ces mises à jour, c’est risquer de mettre en péril votre activité en ligne. Certaines mises à jour comblent des failles critiques de sécurité, réduisant le risque d’attaques et de piratages. Elles permettent notamment de :
Une approche proactive de la maintenance, incluant des audits réguliers et des tests en pré-production, est essentielle pour minimiser les risques et protéger les sites WordPress des menaces potentielles.
Score de menace : 9,8/10
Le plugin Really Simple Security, utilisé par plus de 4 millions de sites, vise à améliorer la sécurité des sites WordPress. Il propose des fonctionnalités telles que l’authentification à deux facteurs, la détection des vulnérabilités et la génération de certificats SSL.
Dans les versions 9.0.0 à 9.1.1.1, une mauvaise implémentation des actions REST API permettait aux attaquants d’envoyer des requêtes spécialement conçues pour contourner l’authentification à deux facteurs (A2F) et accéder directement aux comptes, y compris ceux disposant d’un rôle administrateur. Elle était due à une mauvaise gestion des erreurs de vérification des utilisateurs dans les actions de l’API REST à deux facteurs avec la fonction ‘check_login_and_get_user’. Cette faille a été identifiée début novembre par István Márton, chercheur chez Wordfence. D’ailleurs, Wordfence a bloqué 310 attaques ciblant cette vulnérabilité dans les 24 heures suivant sa découverte. Cette faille de sécurité pouvait être exploitée à l’aide de scripts automatisés, permettant des piratages massifs et simultanés.
La version 9.1.2 du plugin corrige cette vulnérabilité. Wordfence a recommandé aux hébergeurs de forcer la mise à jour sur les sites concernés.
Score de menace : 9,8/10 pour les deux failles
Ce module, censé lutter contre les messages indésirables, était installé sur près de 200 000 sites WordPress. Deux failles de sécurité critiques ont été découvertes jusqu’à la version 6.45 du plugin Anti-Spam. Ces vulnérabilités de sécurité permettaient à des pirates d’exécuter du code à distance et de s’emparer des contrôles admin sans authentification préalable.
CleanTalk a publié un premier correctif le 1er novembre, suivi d’un second le 14 novembre. La version 6.45 ou ultérieure est nécessaire pour corriger ces failles.
Ce plugin est utilisé par 27 millions de sites WordPress. Il a été communiqué qu’une faille de sécurité, vieille de 7 ans, a été corrigée. A ce jour, nous ne disposons d’aucune information technique précise sur cette faille de sécurité. Mais elle nous rappelle à quel point il est important de sécuriser son site internet, afin que même si des plugins ont des failles, les attaques ne puissent pas aboutir.
LiteSpeed Cache est une extension WordPress très populaire. Ce plugin est utilisé par 6 millions de sites WordPress. En l’espace de deux mois, deux failles critiques de sécurité ont été découvertes sur LiteSpeed Cache.
Aucune information technique précise n’a été publiée concernant ces failles.
Au début du mois de Novembre, nous vous avions fait un article détaillé concernant WordPress 6.7. Si vous l’avez loupé, voici les quelques informations essentielles à retenir :
WordPress 6.7 introduit la possibilité d’inverser les boutons « Publier » et « Annuler » lors de la création d’une page en prévisualisation. Avant cette mise à jour, l’ordre des boutons pouvait être déroutant pour les utilisateurs. Voici l’extrait de code pour inverser les boutons :
// Inverser les boutons "Publier" et "Annuler"
add_filter( 'wp_editor_settings', function( $settings ) {
$settings['publish_button_position'] = 'left';
return $settings;
} );
Cette fonctionnalité permet aux utilisateurs d’Apple de télécharger directement des images HEIC sur WordPress sans avoir à les convertir au préalable. Le framework WordPress convertit automatiquement les fichiers HEIC en JPEG.
Améliorations de l’éditeur de blocs Gutenberg, notamment une meilleure gestion des blocs, des options de personnalisation plus étendues et des outils de design plus uniformisés.
La mise à jour WordPress 6.7 permet l’amélioration des performances, notamment la réduction des temps de chargement grâce à l’utilisation de fichiers PHP générés et à l’ajustement automatique de la taille des images pour le chargement différé.
Également, la gestion des métadonnées pour le SEO se voit amélioré, permettant une meilleure structuration des pages et des articles pour une meilleure visibilité dans les résultats de recherche.
La gestion des URL est elle aussi améliorée, facilitant la création de liens optimisés pour le SEO et améliorant ainsi l’indexation des sites.
Cette nouvelle version permet de renforcer la sécurité du CMS WordPress. Elle inclut des mesures de protection contre les attaques courantes telles que les injections SQL et les attaques XSS. La gestion des permissions a également été accrue.
La mise à jour du noyau de WordPress garantie une meilleure synergie avec les extensions. Cela offre plus de flexibilité pour configurer les sites sans craindre de conflits.
Pour en savoir plus, consultez notre article dédié à la mise à jour WordPress 6.7.
L’actualité WordPress de Novembre 2024 a été riche en faille de sécurité et améliorations du CMS. Toutes ces informations montrent à quel point il est important de sécuriser son site WordPress. En effet, même si les extensions, thèmes et WordPress de votre site sont bien à jour, des failles de sécurité restent présentes. Comment faire pour sécuriser son site WordPress correctement ? Dans un premier temps, il faut identifier quels sont les potentielles vulnérabilités de votre site. Cela peut être l’URL de connexion à l’administration qui est toujours en /wp-admin. Des mots de passe administrateurs faibles. L’utilisation d’un plugin dont l’éditeur n’assure plus les mises à jour…
Si vous ne savez pas par quoi commencer ou quoi faire, contactez nos experts en sécurité WordPress de ASSISTANCE WP au 09.54.43.67.20. Nous pouvons vous proposer un audit de sécurité de votre site internet et la mise en place de solutions pour sécuriser votre site WordPress.