Faille de sécurité sur les plugins All In One SEO Pack et WPTouch Mobile

Faille de sécurité sur les plugins All In One SEO Pack et WPtouch MobileUne faille de sécurité de type XSS (Cross-Site Scripting) aurait été identifiée au niveau des fonctions WordPress add_query_arg() et remove_query_arg() utilisées notamment dans les plugins All In One SEO Pack et WPtouch Mobile Plugin. Il est fortement conseillé de les mettre à jour. Une nouvelle version du logiciel WordPress est disponible.

Je suis tout de même surpris par cette information, du fait notamment que le site du CERT-FR n’en fait aucunement mention. L’information vient directement d’un des sites de la communauté des développeurs WordPress.

Protéger l’accès à l’interface d’administration

Si vous êtes dans l’incapacité d’effectuer ces mises à jour, sachez que vous disposez d’un moyen de contournement en limitant l’accès à votre interface d’administration, en ajoutant à votre fichier .htaccess situé à la racine de votre site :

<Files ~ "wp-login\.php">
Order deny,allow
Deny from All
Allow from wanadoo.fr proxad.net
</Files>
<Directory ~ "(wp-admin)">
Order deny,allow
Deny from All
Allow from wanadoo.fr proxad.net
</Directory>

Dans l’exemple ci-dessus, je limite l’accès au fichier wp-login.php et au dossier wp-admin aux seules machines venant du réseau Orange (wanadoo.fr) et Free (proxad.net).

WordPress  / All in One SEO Pack CERT-FR Formateur Sécurité informatique Formateur WordPress Sécurité informatique Sécurité WordPress Wordpress 

Commentaires

Pas encore de commentaire.

Laisser un commentaire

(requis)

(requis)