Faille de sécurité sur les plugins All In One SEO Pack et WPTouch Mobile
22 avril 2015
Une faille de sécurité de type XSS (Cross-Site Scripting) aurait été identifiée au niveau des fonctions WordPress add_query_arg() et remove_query_arg() utilisées notamment dans les plugins All In One SEO Pack et WPtouch Mobile Plugin. Il est fortement conseillé de les mettre à jour. Une nouvelle version du logiciel WordPress est disponible.
Je suis tout de même surpris par cette information, du fait notamment que le site du CERT-FR n’en fait aucunement mention. L’information vient directement d’un des sites de la communauté des développeurs WordPress.
Protéger l’accès à l’interface d’administration
Si vous êtes dans l’incapacité d’effectuer ces mises à jour, sachez que vous disposez d’un moyen de contournement en limitant l’accès à votre interface d’administration, en ajoutant à votre fichier .htaccess situé à la racine de votre site :
<Files ~ "wp-login\.php"> Order deny,allow Deny from All Allow from wanadoo.fr proxad.net </Files> <Directory ~ "(wp-admin)"> Order deny,allow Deny from All Allow from wanadoo.fr proxad.net </Directory>
Dans l’exemple ci-dessus, je limite l’accès au fichier wp-login.php et au dossier wp-admin aux seules machines venant du réseau Orange (wanadoo.fr) et Free (proxad.net).