La vulnérabilité du plugin WordPress Facebook Feed expose plus de 200 000 sites Web

Publié le 31 octobre 2021, modifié le 19 avril 2024 par Lucie Blanchard

un plugin WordPress, a été découvert pour avoir une vulnérabilité qui exposait les sites Web à permettre à un attaquant de télécharger des scripts malveillants. Les chercheurs en sécurité de Jetpack ont ​​découvert la vulnérabilité et ont informé les éditeurs de plugins qui l’ont corrigée et ont publié une version corrigée, la version 4.0.1. Les versions antérieures à celle-ci sont vulnérables.

    de WordPress L\'avertissement de sécurité publié par Jetpack, qui a découvert la vulnérabilité du plugin Smash Balloon Social Post Feed
  • Une vulnérabilité dans le plugin WordPress Facebook Feed a exposé plus de 200 000 sites Web
  • Les chercheurs en sécurité ont découvert un exploit Stored Cross-Site Scripting (Stored XSS) dans le plug-in et l'ont signalé aux éditeurs
  • La version corrigée du plugin, Smash Balloon Social Post Feed 4.0.1, a été publiée pour résoudre les problèmes de sécurité manquants liés aux chèques Privilège et Nonce
  • JPPack recommande fortement aux utilisateurs de mettre à jour leur flux de publication sociale Smash Balloon vers la dernière version pour garantir une meilleure protection contre les attaques.

Flux de publication sociale Smash Balloon

La version gratuite du plugin est conçue pour afficher les publications Facebook d’une manière qui correspond à l’apparence du site sur lequel le contenu Facebook est republié. La version payante « pro » republie également des images, des vidéos et des commentaires.

Publicité

Continuer la lecture ci-dessous

Script inter-sites stocké via la mise à jour des paramètres arbitraires

Un exploit Stored Cross-Site Scripting (Stored XSS) est une forme de vulnérabilité de cross-site scripting qui permet à un attaquant malveillant de télécharger et de stocker de manière permanente des scripts nuisibles sur le serveur lui-même.

Le projet Open Web Application Security (OWASP) à but non lucratif décrit les vulnérabilités XSS stockées  :

« Les attaques stockées sont celles où le script injecté est stocké en permanence sur les serveurs cibles, comme dans une base de données….

La victime récupère ensuite le script malveillant du serveur lorsqu’elle demande les informations stockées.

Contrôles Privilège et Nonce manquants

Les chèques Privilège et Nonce manquaient.

Publicité

Continuer la lecture ci-dessous

Les attaques XSS peuvent généralement se produire partout où il existe un moyen de télécharger ou d’entrer quelque chose sur un site WordPress. Cela peut se faire via un formulaire, dans des commentaires, partout où un utilisateur peut saisir des données.

Un plugin WordPress est censé protéger le site en effectuant des vérifications, parmi lesquelles une vérification du niveau de privilège d’un utilisateur (abonné, éditeur, administrateur).

Sans une vérification des privilèges appropriée, un utilisateur au niveau le plus bas, comme un abonné, est capable d’effectuer des actions qui nécessitent normalement les niveaux d’accès les plus élevés, tels que les privilèges de niveau administrateur.

Un nonce est un jeton de sécurité à usage unique destiné à protéger les entrées contre les attaques.

La documentation WordPress Nonce explique la valeur des nonces :

« Si votre thème permet aux utilisateurs de soumettre des données ; que ce soit dans l’Admin ou le front-end ; nonces peut être utilisé pour vérifier qu’un utilisateur a l’intention d’effectuer une action et contribue à la protection contre la contrefaçon de requêtes intersites (CSRF).

Un exemple est un site WordPress dans lequel les utilisateurs autorisés sont autorisés à télécharger des vidéos.

Jetpack a identifié une vulnérabilité dans le plugin Smash Balloon qui n’a pas réussi à effectuer les vérifications de privilèges et de nonce, ce qui a ouvert le site aux attaques.

Jetpack a décrit comment les sites Web exposés à la vulnérabilité  :

« L’action AJAX wp_ajax_cff_save_settings, qui est responsable de la mise à jour des paramètres internes du plugin, n’a effectué aucune vérification de privilège ou de nonce avant de le faire. Cela a permis à tous les utilisateurs connectés d’appeler cette action et de mettre à jour les paramètres du plug-in.

Malheureusement, l’un de ces paramètres, customJS, permet aux administrateurs de stocker du JavaScript personnalisé sur les publications et les pages de leur site. La mise à jour de ce paramètre est tout ce qu’il aurait fallu à un mauvais acteur pour stocker des scripts malveillants sur le site.

Publicité

Continuer la lecture ci-dessous

qui enregistre le contenu de chaque mise à jour de version, note correctement qu’un problème de sécurité a été corrigé.

Non seulement il est responsable de corriger les vulnérabilités en temps opportun, ce que Smash Balloon a fait, mais il est également responsable de le noter dans le journal des modifications, ce que Smash Balloon a également fait.

Le journal des modifications indique  :

« Correctif  : renforcement de la sécurité amélioré. »

/h3>

Action recommandée

Publicité

Continuer la lecture ci-dessous

Jetpack recommande de mettre à jour le flux de publication sociale Smash Balloon vers la dernière version au moment de la rédaction de cet article, à savoir la version 4.0.1. Ne pas le faire peut rendre une installation WordPress dangereuse.

Citations

Avis de sécurité Jetpack

Problèmes de sécurité corrigés dans le plugin Smash Balloon Social Post Feed

FAQ

Peut-on utiliser le plugin Facebook Feed avec WordPress ?

Oui, il est tout à fait possible d'utiliser le plugin Facebook Feed avec WordPress ! Ce plugin permet d'intégrer très facilement un flux de publications Facebook sur son site WordPress, que ce soit sous forme de widget ou dans une page dédiée. Grâce à cette facilité et à ses nombreuses options de personnalisation, le plugin Facebook Feed est idéal pour garder votre communauté connectée et informée des dernières actualités de votre page Facebook.

.

Comment intégrer un fil d'actualité Facebook sur WordPress ?

Pour intégrer un fil d'actualité Facebook sur WordPress, il suffit de suivre quelques étapes simples. Tout d'abord, il faut accéder au plugin "Facebook for WordPress" et l'activer. Ensuite, connectez votre compte Facebook à WordPress en entrant vos identifiants.

Vous pourrez alors choisir le type de contenu que vous souhaitez afficher (publications, vidéos, événements, etc.) et personnaliser l'apparence du fil d'actualité sur votre site grâce aux nombreux paramètres disponibles.

Comment publier un flux de publications Facebook sur WordPress ?

Pour publier un flux de publications Facebook sur WordPress, il faut d'abord télécharger et activer le plugin "Facebook Feed". Ensuite, il suffit de se rendre dans les paramètres du plugin et de connecter son compte Facebook en autorisant l'accès à ses publications. Une fois cela fait, le flux sera automatiquement publié sur WordPress selon les paramètres choisis.

Il est également possible de personnaliser l'apparence du flux en modifiant les options disponibles dans le plugin.

Existe-t-il une version gratuite du plugin Facebook Feed pour WordPress ?

Malheureusement, il n'existe pas de version gratuite du plugin Facebook Feed pour WordPress pour le moment. Ce plugin permet d'afficher les publications de votre page Facebook sur votre site WordPress de manière personnalisable et interactive. Cependant, il est possible que des versions gratuites ou des alternatives moins chères soient développées à l'avenir.

En attendant, vous pouvez envisager d'autres options telles que la création manuelle d'un fil d'actualité en utilisant le code intégré fourni par Facebook ou l'utilisation de plugins gratuits similaires.

Est-il possible d'afficher un feed Facebook sur son site WordPress en utilisant un plugin ?

Il est tout à fait possible d'intégrer un feed Facebook sur son site WordPress en utilisant un plugin dédié. Ce type de plugin permet de synchroniser automatiquement les publications de votre page Facebook sur votre site, offrant ainsi une plus grande visibilité à vos followers et augmentant l'engagement sur les deux plateformes.

De plus, ces plugins offrent généralement plusieurs options de personnalisation pour adapter le feed à l'esthétique et au design de votre site. Vous pouvez donc facilement intégrer un feed Facebook sur votre site WordPress sans avoir besoin de connaissances techniques approfondies.

News Qwanturank

  • La vulnérabilité de WordPress atteint +1 million en utilisant le plugin d'en-tête et de pied de page
  • La vulnérabilité dans WordPress Le plugin Qwanturank Analytics touche plus de 3 millions de sites Web
  • Mise à jour WordPress 6.2.1 provoquant la rupture des sites
  • Les données confirment une augmentation des vulnérabilités WordPress
  • La vulnérabilité du plugin WordPress Ultimate Member permet une prise de contrôle complète du site
    • Categories: SEO
    Lucie Blanchard

    Lucie Blanchard

    S’abonner
    Notification pour
    guest

    Commentaires
    Commentaires en ligne
    Afficher tous les commentaires
    SEO

    Google sur l'impact SEO des codes de statut 503

    Les chercheurs qui s'attendent à ce qu'un site Web soit toujours disponible peuvent être déçus de rencontrer un code de statut 503. Cependant, un bref temps d’arrêt est parfaitement acceptable. Lors de l'édition d'avril des ...

    SEO

    La recherche Google et Maps bénéficient de mises à niveau pour des voyages plus écologiques

    Google a annoncé lundi des mises à jour de ses produits Maps et Search visant à aider les utilisateurs à trouver et à choisir des options de transport plus durables par rapport aux véhicules à ...

    SEO

    Google Ads présente des outils d'IA pour les campagnes de génération de demande

    Google a annoncé aujourd'hui le déploiement de nouvelles fonctionnalités d'IA générative pour les campagnes Demand Gen dans Google Ads. Les outils, alimentés par l'intelligence artificielle de Google, permettront aux annonceurs de créer des ressources d'image ...

    0
    Nous aimerions avoir votre avis, veuillez laisser un commentaire.x