Smash Balloon Social Post Feed, un plugin WordPress, a été découvert pour avoir une vulnérabilité qui exposait les sites Web à permettre à un attaquant de télécharger des scripts malveillants. Les chercheurs en sécurité de Jetpack ont découvert la vulnérabilité et ont informé les éditeurs de plugins qui l’ont corrigée et ont publié une version corrigée, la version 4.0.1. Les versions antérieures à celle-ci sont vulnérables.
- de WordPress L\'avertissement de sécurité publié par Jetpack, qui a découvert la vulnérabilité du plugin Smash Balloon Social Post Feed
- Une vulnérabilité dans le plugin WordPress Facebook Feed a exposé plus de 200 000 sites Web
- Les chercheurs en sécurité ont découvert un exploit Stored Cross-Site Scripting (Stored XSS) dans le plug-in et l'ont signalé aux éditeurs
- La version corrigée du plugin, Smash Balloon Social Post Feed 4.0.1, a été publiée pour résoudre les problèmes de sécurité manquants liés aux chèques Privilège et Nonce
- JPPack recommande fortement aux utilisateurs de mettre à jour leur flux de publication sociale Smash Balloon vers la dernière version pour garantir une meilleure protection contre les attaques.
Flux de publication sociale Smash Balloon
Le plugin WordPress Smash Balloon Social Post Feed prend les flux Facebook et les transforme en publications sur un site WordPress.
La version gratuite du plugin est conçue pour afficher les publications Facebook d’une manière qui correspond à l’apparence du site sur lequel le contenu Facebook est republié. La version payante « pro » republie également des images, des vidéos et des commentaires.
Publicité
Continuer la lecture ci-dessous
Script inter-sites stocké via la mise à jour des paramètres arbitraires
Un exploit Stored Cross-Site Scripting (Stored XSS) est une forme de vulnérabilité de cross-site scripting qui permet à un attaquant malveillant de télécharger et de stocker de manière permanente des scripts nuisibles sur le serveur lui-même.
Le projet Open Web Application Security (OWASP) à but non lucratif décrit les vulnérabilités XSS stockées :
« Les attaques stockées sont celles où le script injecté est stocké en permanence sur les serveurs cibles, comme dans une base de données….
La victime récupère ensuite le script malveillant du serveur lorsqu’elle demande les informations stockées.
Contrôles Privilège et Nonce manquants
L’avertissement de sécurité publié par Jetpack a annoncé que le plugin WordPress Smash Balloon Social Post Feed présentait deux problèmes de sécurité qui en faisaient un problème de sécurité. Les chèques Privilège et Nonce manquaient.
Publicité
Continuer la lecture ci-dessous
Les attaques XSS peuvent généralement se produire partout où il existe un moyen de télécharger ou d’entrer quelque chose sur un site WordPress. Cela peut se faire via un formulaire, dans des commentaires, partout où un utilisateur peut saisir des données.
Un plugin WordPress est censé protéger le site en effectuant des vérifications, parmi lesquelles une vérification du niveau de privilège d’un utilisateur (abonné, éditeur, administrateur).
Sans une vérification des privilèges appropriée, un utilisateur au niveau le plus bas, comme un abonné, est capable d’effectuer des actions qui nécessitent normalement les niveaux d’accès les plus élevés, tels que les privilèges de niveau administrateur.
Un nonce est un jeton de sécurité à usage unique destiné à protéger les entrées contre les attaques.
La documentation WordPress Nonce explique la valeur des nonces :
« Si votre thème permet aux utilisateurs de soumettre des données ; que ce soit dans l’Admin ou le front-end ; nonces peut être utilisé pour vérifier qu’un utilisateur a l’intention d’effectuer une action et contribue à la protection contre la contrefaçon de requêtes intersites (CSRF).
Un exemple est un site WordPress dans lequel les utilisateurs autorisés sont autorisés à télécharger des vidéos.
Jetpack a identifié une vulnérabilité dans le plugin Smash Balloon qui n’a pas réussi à effectuer les vérifications de privilèges et de nonce, ce qui a ouvert le site aux attaques.
Jetpack a décrit comment les sites Web exposés à la vulnérabilité :
« L’action AJAX wp_ajax_cff_save_settings, qui est responsable de la mise à jour des paramètres internes du plugin, n’a effectué aucune vérification de privilège ou de nonce avant de le faire. Cela a permis à tous les utilisateurs connectés d’appeler cette action et de mettre à jour les paramètres du plug-in.
Malheureusement, l’un de ces paramètres, customJS, permet aux administrateurs de stocker du JavaScript personnalisé sur les publications et les pages de leur site. La mise à jour de ce paramètre est tout ce qu’il aurait fallu à un mauvais acteur pour stocker des scripts malveillants sur le site.
Publicité
Continuer la lecture ci-dessous
Le journal des modifications du plugin WordPress Smash Balloon Social Post Feed, qui enregistre le contenu de chaque mise à jour de version, note correctement qu’un problème de sécurité a été corrigé.
Non seulement il est responsable de corriger les vulnérabilités en temps opportun, ce que Smash Balloon a fait, mais il est également responsable de le noter dans le journal des modifications, ce que Smash Balloon a également fait.
Le journal des modifications indique :
« Correctif : renforcement de la sécurité amélioré. »
Capture d’écran de Smash Balloon Social Post Feed Changelog
Action recommandée
Smash Balloon Social Post Feed a récemment été corrigé pour corriger l’attaque XSS stockée qui permet le téléchargement de scripts malveillants.
Publicité
Continuer la lecture ci-dessous
Jetpack recommande de mettre à jour le flux de publication sociale Smash Balloon vers la dernière version au moment de la rédaction de cet article, à savoir la version 4.0.1. Ne pas le faire peut rendre une installation WordPress dangereuse.
Citations
Avis de sécurité Jetpack
Problèmes de sécurité corrigés dans le plugin Smash Balloon Social Post Feed
FAQ
Peut-on utiliser le plugin Facebook Feed avec WordPress ?
Oui, il est tout à fait possible d'utiliser le plugin Facebook Feed avec WordPress ! Ce plugin permet d'intégrer très facilement un flux de publications Facebook sur son site WordPress, que ce soit sous forme de widget ou dans une page dédiée. Grâce à cette facilité et à ses nombreuses options de personnalisation, le plugin Facebook Feed est idéal pour garder votre communauté connectée et informée des dernières actualités de votre page Facebook.
.
Comment intégrer un fil d'actualité Facebook sur WordPress ?
Pour intégrer un fil d'actualité Facebook sur WordPress, il suffit de suivre quelques étapes simples. Tout d'abord, il faut accéder au plugin "Facebook for WordPress" et l'activer. Ensuite, connectez votre compte Facebook à WordPress en entrant vos identifiants.
Vous pourrez alors choisir le type de contenu que vous souhaitez afficher (publications, vidéos, événements, etc.) et personnaliser l'apparence du fil d'actualité sur votre site grâce aux nombreux paramètres disponibles.
Comment publier un flux de publications Facebook sur WordPress ?
Pour publier un flux de publications Facebook sur WordPress, il faut d'abord télécharger et activer le plugin "Facebook Feed". Ensuite, il suffit de se rendre dans les paramètres du plugin et de connecter son compte Facebook en autorisant l'accès à ses publications. Une fois cela fait, le flux sera automatiquement publié sur WordPress selon les paramètres choisis.
Il est également possible de personnaliser l'apparence du flux en modifiant les options disponibles dans le plugin.
Existe-t-il une version gratuite du plugin Facebook Feed pour WordPress ?
Malheureusement, il n'existe pas de version gratuite du plugin Facebook Feed pour WordPress pour le moment. Ce plugin permet d'afficher les publications de votre page Facebook sur votre site WordPress de manière personnalisable et interactive. Cependant, il est possible que des versions gratuites ou des alternatives moins chères soient développées à l'avenir.
En attendant, vous pouvez envisager d'autres options telles que la création manuelle d'un fil d'actualité en utilisant le code intégré fourni par Facebook ou l'utilisation de plugins gratuits similaires.
Est-il possible d'afficher un feed Facebook sur son site WordPress en utilisant un plugin ?
Il est tout à fait possible d'intégrer un feed Facebook sur son site WordPress en utilisant un plugin dédié. Ce type de plugin permet de synchroniser automatiquement les publications de votre page Facebook sur votre site, offrant ainsi une plus grande visibilité à vos followers et augmentant l'engagement sur les deux plateformes.
De plus, ces plugins offrent généralement plusieurs options de personnalisation pour adapter le feed à l'esthétique et au design de votre site. Vous pouvez donc facilement intégrer un feed Facebook sur votre site WordPress sans avoir besoin de connaissances techniques approfondies.