Des dizaines de plugins wordpress populaires sont actuellement victimes d’une faille de type cross-site scripting (XSS).
Le danger vient également de la popularité des plugins WordPress
En raison de l’utilisation abusive des fonctions add_query_arg() et remove_query_arg() de nombreux plugins se retrouvent vulnérables à une faille de type XSS. Pour information, une faille de sécurité de type XSS est une faille qui permet à un pirate d’injecter du code ou du contenu par le biais de cette faille afin, au mieux de, de modifier le contenu du site, au pire de l’effacer, en passant par la possibilité de voler les identifiants de vos lecteurs et même les votre en accédant à votre base de données sans même que vous vous en rendiez compte parfois.
Le danger vient également du fait que les plugins touchés sont également très populaire au sein des webmasters. Parmi eux on retrouve notamment :
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiple Plugins from Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- My Calendar
- MP3 Profiler
- Give
- De nombreux produits de chez iThemes (Builder et Exchange)
- Broken-Link-Checker
- Related Posts for WordPress
- Ninja Forms
La liste n’est pas complète d’autres plugins moins populaires ou dont la faille n’a pas encore été révélé peuvent s’ajouter à la liste. Il est donc très important que chacun des webmasters procède à la mise à jour de ses plugins mais aussi de sa plateforme wordpress pour éviter tout incidents.
Notez toute fois que certains développeurs ont déjà commencés à patcher leurs plugin.