Solutions expertes pour protéger, réparer et maintenir votre site WordPress
Besoin d’une maintenance régulière ? D’une assistance technique sur mesure ? d’une réparation rapide ou d’un nettoyage après un piratage ? Nous sommes là pour vous.
Nos experts interviennent rapidement pour garantir la sécurité, la performance et la fiabilité de votre site.
SÉCURISATION
NETTOYAGE
AUDIT
Nos services pour les sites WordPress
Assistance technique WordPress – Un support réactif et efficace
Vous rencontrez des problèmes techniques sur votre site WordPress ? Qu’il s’agisse d’un bug, d’une erreur d’affichage, d’un conflit entre plugins ou d’une difficulté à configurer votre site, notre équipe d’experts WordPress est là pour vous aider.
Nettoyage et sécurisation de Site WordPress piraté
Votre site WordPress a été compromis par un piratage ? Une intrusion malveillante peut entraîner une perte de référencement, un vol de données ou un avertissement Google, impactant gravement votre activité. Nous intervenons sous 48h pour nettoyer, restaurer et sécuriser votre site.
Maintenance WordPress – Préventive, corrective et évolutive
Un site WordPress performant nécessite une maintenance régulière pour éviter les bugs, renforcer la sécurité et améliorer le référencement. Notre service de maintenance WordPress garantit la stabilité, la rapidité et l’évolution continue de votre site.
Réparation WordPress – Intervention rapide sur site en panne
Votre site WordPress ne fonctionne plus correctement ? Une erreur 500, un conflit de plugin ou une mise à jour défectueuse peuvent rendre votre site inaccessible. Nous intervenons rapidement pour résoudre tous vos problèmes techniques et remettre votre site en état de marche.
Pourquoi nous choisir ?
Expérience
Parce que pour un bon accompagnement WordPress, il faut bien le connaitre.
Nous sommes une équipe d’expert wordpress avec plusieurs années d’expérience, nous maîtrisons tous les aspects techniques.
Réponse rapide
Parce qu’une panne, un dysfonctionnement survient souvent au moment qu’il ne faut pas.
Une question ne peux pas attendre plusieurs jours, nos experts agissent en moins de 24 heures pour les services urgents.
Solutions complètes
Parce que réparer WordPress ne suffit pas, il faut aussi bien protéger.
De la prévention à la résolution des problèmes, nous vous accompagnons à chaque étape.
Situé en France
Parce que la proximité est importante pour établir une relation de confiance sur le long terme.
Notre entreprise est localisée en France, nos experts sont tous situés en France en Maine-et-Loire à Angers.
Nos autres services
Hébergement de votre site et sauvegarde de vos données
Serveur régulièrement mis à jour
Données quodiennement sauvegardées et répliquées
Vos sites fréquemment mis à jour
Intervention à la demande pour des modifications
Gestion de votre messagerie et de vos domaines
Configuration de vos domaines
Renouvellement de vos domaines
Renouvellement de vos certificats
Gestion de vos boîtes mails
Déblacklistage en cas de soucis d’envoi
Nos engagements
Fiabilité
Votre site entre de bonnes mains avec des solutions pérennes.
Disponibilité
Un support réactif pour répondre à toutes vos demandes.
Sérénité
Vous concentrez sur votre activité pendant que nous gérons l’aspect technique.
Actualités de la sécurité WordPress
Brizy - Page Builder <= 2.6.4 - Téléchargement de fichiers arbitraire authentifié (contributeur +) via StoreUploads
Le plugin Brizy - Page Builder pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de la validation manquante du type de fichier dans la fonction «StoreUpload» dans toutes les versions jusqu'à et y compris, 2.6.4. Cela permet aux attaquants authentifiés, avec un accès au niveau des contributeurs et au-dessus, de télécharger des fichiers arbitraires sur le serveur du site affecté, ce qui peut rendre la possible exécution de code distante.
Solution : Mise à jour de la version 2.6.5, ou une nouvelle version corrigée
Aller sur le site Brizy – Page Builder
Publié le mardi 11 février 2025
SÉCURATION DE SÉCURITÉ ET MALWOREA
Le plugin de sécurité et de logiciels malveillants par le plugin CleanTalk pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison du téléchargement du plugin et de l'extraction des archives .zip lors de la numérisation pour les logiciels malveillants via la fonction CheckuploadEdArchive () dans toutes les versions jusqu'à et comprenant 2.149. Cela permet aux attaquants non authentifiés de télécharger des fichiers arbitraires sur le serveur du site affecté, ce qui peut rendre possible l'exécution du code distant.
Solution : Mise à jour de la version 2.150, ou une version corrective plus récente
Aller sur le site Security & Malware scan by CleanTalk
Publié le mardi 11 février 2025
String Locator <= 2.6.6 - Injection d'objet PHP non authentifié
Le plugin String Locator pour WordPress est vulnérable à l'injection d'objets PHP dans toutes les versions jusqu'à la version 2.6.6 incluse via la désérialisation des entrées non fiables dans la fonction « recursive_unserialize_replace ». Cela permet à des attaquants non authentifiés d'injecter un objet PHP. Aucune chaîne POP connue n'est présente dans le logiciel vulnérable. Si une chaîne POP est présente via un plugin ou un thème supplémentaire installé sur le système cible, elle pourrait permettre à l'attaquant de supprimer des fichiers arbitraires, de récupérer des données sensibles ou d'exécuter du code. Un administrateur doit effectuer une action de recherche et de remplacement pour déclencher l'exploit.
Solution : Mise à jour vers la version 2.6.7 ou une version corrigée plus récente
Aller sur le site String locator
Publié le lundi 20 janvier 2025
Blocs Post Grid et Gutenberg 2.2.85 - 2.3.3 - Augmentation de privilèges non authentifiée
Le plugin Post Grid et Gutenberg Blocks pour WordPress est vulnérable à l’élévation de privilèges dans les versions 2.2.85 à 2.3.3. Cela est dû au fait que le plugin ne restreint pas correctement les méta utilisateur qui peuvent être mises à jour lors de l'enregistrement du profil. Cela permet à des attaquants non authentifiés de s'inscrire sur le site en tant qu'administrateur.
Solution : Mise à jour vers la version 2.3.4 ou une version corrigée plus récente
Aller sur le site Post Grid and Gutenberg Blocks – ComboBlocks
Publié le mardi 14 janvier 2025
NitroPack <= 1.17.0 - Autorisation manquante pour la mise à jour des options limitées authentifiées (Abonné+)
Le plugin NitroPack pour WordPress est vulnérable à la modification non autorisée des données en raison d'une vérification de capacité manquante sur l'action AJAX 'nitropack_dismiss_notice_forever' dans toutes les versions jusqu'à la 1.17.0 incluse. Cela permet aux attaquants authentifiés, disposant d'un accès au niveau de l'abonné et au-dessus, de mettre à jour des options arbitraires vers une valeur fixe de « 1 », ce qui peut activer certaines options (par exemple, activer l'enregistrement de l'utilisateur) ou modifier certaines options d'une manière qui conduit à une condition de déni de service.
Solution : Mise à jour vers la version 1.17.6 ou une version corrigée plus récente
Aller sur le site NitroPack – Caching & Speed Optimization for Core Web Vitals, Defer CSS & JS, Lazy load Images and CDN
Publié le mardi 14 janvier 2025
Cache total W3 <= 2.8.1 - Autorisation manquante authentifiée (abonné +) pour la falsification de requête côté serveur
Le plugin W3 Total Cache pour WordPress est vulnérable à l'accès non autorisé aux données en raison d'une vérification de capacité manquante sur la fonction is_w3tc_admin_page dans toutes les versions jusqu'à et y compris la 2.8.1. Cela permet aux attaquants authentifiés, avec un accès au niveau de l'abonné et supérieur, d'obtenir la valeur occasionnelle du plugin et d'effectuer des actions non autorisées, entraînant la divulgation d'informations, le plan de service limite la consommation ainsi que l'envoi de requêtes Web vers des emplacements arbitraires provenant de l'application Web. qui peut être utilisé pour interroger des informations auprès des services internes, y compris des métadonnées d'instance sur des applications basées sur le cloud.
Solution : Mise à jour vers la version 2.8.2 ou une version corrigée plus récente
Aller sur le site W3 Total Cache
Publié le lundi 13 janvier 2025
Abonnements payants – Adhésions sans effort, paiements récurrents et restriction de contenu <= 2.13.7 – Contournement de l'authentification via pms_payment_id
Le plugin Abonnements payants – Adhésions sans effort, paiements récurrents et restriction de contenu pour WordPress est vulnérable au contournement d’authentification dans toutes les versions jusqu’à et y compris la 2.13.7. Cela est dû au fait que la fonction pms_pb_payment_redirect_link utilise la valeur contrôlée par l'utilisateur fournie via le paramètre « pms_payment_id » pour authentifier les utilisateurs sans autre validation d'identité. Cela permet à des attaquants non authentifiés connaissant un identifiant de paiement valide de se connecter en tant qu'utilisateur ayant effectué un achat sur le site ciblé.
Solution : Mise à jour vers la version 2.13.8 ou une version corrigée plus récente
Aller sur le site Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction
Publié le lundi 13 janvier 2025
GiveWP – Plugin de dons et plateforme de collecte de fonds <= 3.19.3 – Injection d'objet PHP non authentifié
Le plugin GiveWP – Donation Plugin and Fundraising Platform pour WordPress est vulnérable à l'injection d'objets PHP dans toutes les versions jusqu'à la 3.19.3 incluse via la désérialisation des entrées non fiables du formulaire de don via le paramètre « entreprise ». Cela permet à des attaquants non authentifiés d'injecter un objet PHP. La présence supplémentaire d'une chaîne POP permet aux attaquants de supprimer des fichiers arbitraires sur le serveur, ce qui rend possible l'exécution de code à distance. Veuillez noter que cela couvre un contournement du correctif pour CVE-2024-12877.
Solution : Mise à jour vers la version 3.19.4 ou une version corrigée plus récente
Aller sur le site GiveWP – Donation Plugin and Fundraising Platform
Publié le vendredi 10 janvier 2025
GiveWP – Plugin de dons et plateforme de collecte de fonds <= 3.19.2 – Injection d'objet PHP non authentifié
Le plugin GiveWP – Donation Plugin and Fundraising Platform pour WordPress est vulnérable à l’injection d’objet PHP dans toutes les versions jusqu’à la 3.19.2 incluse via la désérialisation des entrées non fiables du formulaire de don telles que « prénom ». Cela permet à des attaquants non authentifiés d'injecter un objet PHP. La présence supplémentaire d'une chaîne POP permet aux attaquants de supprimer des fichiers arbitraires sur le serveur, ce qui rend possible l'exécution de code à distance. Veuillez noter que cela n'a été que partiellement corrigé dans la version 3.19.3, un correctif entièrement suffisant n'a été publié qu'à partir de la version 3.19.4. Cependant, un autre CVE a été attribué par un autre CNA pour la version 3.19.3, nous laisserons donc cela comme affectant la 3.19.2 et les versions antérieures. Nous avons recommandé au fournisseur d'utiliser le codage JSON pour empêcher toute autre vulnérabilité de désérialisation.
Solution : Mise à jour vers la version 3.19.3 ou une version corrigée plus récente
Aller sur le site GiveWP – Donation Plugin and Fundraising Platform
Publié le vendredi 10 janvier 2025
Galerie d'images Modula <= 2.11.10 - Téléchargement arbitraire de fichiers authentifiés (Auteur+)
Le plugin Modula Image Gallery pour WordPress est vulnérable aux téléchargements de fichiers arbitraires en raison de l'absence de validation du type de fichier dans la fonctionnalité de téléchargement zip dans toutes les versions jusqu'à la 2.11.10 incluse. Cela permet aux attaquants authentifiés, disposant d'un accès de niveau auteur ou supérieur, de télécharger des fichiers arbitraires sur le serveur du site concerné, ce qui peut rendre possible l'exécution de code à distance.
Solution : Mise à jour vers la version 2.11.11 ou une version corrigée plus récente
Aller sur le site Modula Image Gallery
Publié le mardi 07 janvier 2025
Téléchargement de fichiers WordPress <= 4.24.12 - Exécution de code à distance non authentifié
Le plugin WordPress File Upload pour WordPress est vulnérable à l'exécution de code à distance dans toutes les versions jusqu'à la version 4.24.12 incluse via le paramètre de cookie « wfu_ABSPATH ». Cela permet à des attaquants non authentifiés d'exécuter du code sur le serveur.
Solution : Mise à jour vers la version 4.24.14 ou une version corrigée plus récente
Aller sur le site WordPress File Upload
Publié le mardi 07 janvier 2025
Téléchargement de fichiers WordPress <= 4.24.15 - Exécution de code à distance non authentifié, lecture arbitraire de fichiers et suppression arbitraire de fichiers
Le plugin WordPress File Upload pour WordPress est vulnérable à l'exécution de code à distance, à la lecture arbitraire de fichiers et à la suppression arbitraire de fichiers dans toutes les versions jusqu'à la 4.24.15 incluse via le fichier « wfu_file_downloader.php ». Cela est dû au manque de nettoyage approprié du paramètre « source » et à l'autorisation d'un chemin de répertoire défini par l'utilisateur. Cela permet à des attaquants non authentifiés d'exécuter du code sur le serveur.
Solution : Mise à jour vers la version 4.25.0 ou une version corrigée plus récente
Aller sur le site WordPress File Upload
Publié le mardi 07 janvier 2025
UpdraftPlus : Plugin de sauvegarde et de migration WP <= 1.24.11 - Injection d'objet PHP non authentifié
Le plugin UpdraftPlus : WP Backup & Migration Plugin pour WordPress est vulnérable à l'injection d'objets PHP dans toutes les versions jusqu'à la 1.24.11 incluse via la désérialisation des entrées non fiables dans la fonction "recursive_unserialized_replace". Cela permet à des attaquants non authentifiés d'injecter un objet PHP. Aucune chaîne POP connue n'est présente dans le logiciel vulnérable. Si une chaîne POP est présente via un plugin ou un thème supplémentaire installé sur le système cible, elle pourrait permettre à l'attaquant de supprimer des fichiers arbitraires, de récupérer des données sensibles ou d'exécuter du code. Un administrateur doit effectuer une action de recherche et de remplacement pour déclencher l'exploit.
Solution : Mise à jour vers la version 1.24.12 ou une version corrigée plus récente
Aller sur le site UpdraftPlus: WP Backup & Migration Plugin
Publié le vendredi 03 janvier 2025
Migration de sauvegarde <= 1.4.6 - Injection d'objet PHP non authentifié via 'recursive_unserialize_replace'
Le plugin Backup Migration pour WordPress est vulnérable à l'injection d'objets PHP dans toutes les versions jusqu'à la 1.4.6 incluse via la désérialisation des entrées non fiables dans la fonction « recursive_unserialize_replace ». Cela permet à des attaquants non authentifiés d'injecter un objet PHP. La présence supplémentaire d'une chaîne POP permet aux attaquants de supprimer des fichiers arbitraires, de récupérer des données sensibles ou d'exécuter du code. Un administrateur doit créer un site intermédiaire afin de déclencher l'exploit.
Solution : Mise à jour vers la version 1.4.6.1 ou une version corrigée plus récente
Aller sur le site Backup Migration
Publié le vendredi 03 janvier 2025
Plugin de catalogue de produits de commerce électronique pour WordPress <= 3.3.43 - Contrefaçon de demande intersite pour réinitialiser le mot de passe
Le plugin eCommerce Product Catalog Plugin for WordPress pour WordPress est vulnérable à la falsification de requêtes intersites dans toutes les versions jusqu'à la 3.3.43 incluse. Cela est dû à une validation occasionnelle manquante ou incorrecte sur la fonction « customer_panel_password_reset ». Cela permet à des attaquants non authentifiés de réinitialiser le mot de passe de n'importe quel administrateur ou compte client via une fausse demande, à condition qu'ils puissent tromper un administrateur de site en lui faisant effectuer une action telle que cliquer sur un lien.
Solution : Mise à jour vers la version 3.3.44 ou une version corrigée plus récente
Aller sur le site eCommerce Product Catalog Plugin for WordPress
Publié le vendredi 20 décembre 2024
Éditeur de rôles utilisateur <= 4.64.3 - Contrefaçon de requêtes intersites vers élévation de privilèges
Le plugin User Role Editor pour WordPress est vulnérable à la falsification de requêtes intersites dans toutes les versions jusqu'à la 4.64.3 incluse. Cela est dû à une validation occasionnelle manquante ou incorrecte sur la fonction update_roles(). Cela permet à des attaquants non authentifiés d'ajouter ou de supprimer des rôles pour des utilisateurs arbitraires, y compris en augmentant leurs privilèges au rang d'administrateur, via une fausse demande accordée, ils peuvent tromper un administrateur de site en lui faisant effectuer une action telle que cliquer sur un lien.
Solution : Mise à jour vers la version 4.64.4 ou une version corrigée plus récente
Aller sur le site User Role Editor
Publié le lundi 16 décembre 2024
s2Member – Excellent pour tous les types d’adhésions, les paywalls de restriction de contenu et les abonnements d’accès aux membres <= 241114 – Exposition d’informations sensibles authentifiées (Contributeur+)
Le plugin s2Member – Excellent pour tous les types d’adhésions, de restrictions de contenu, de paywalls et d’abonnements d’accès aux membres pour WordPress est vulnérable à l’exposition d’informations sensibles dans toutes les versions jusqu’à 241114 inclus via la fonction « sc_get_details ». Cela permet aux attaquants authentifiés, disposant d'un accès de niveau Contributeur ou supérieur, d'extraire des données sensibles, notamment des données utilisateur et des informations de configuration de base de données, ce qui peut conduire à la lecture, à la mise à jour ou à la suppression de tables de base de données. La vulnérabilité a été partiellement corrigée dans la version 241114.
Solution : Mise à jour vers la version 241216 ou une version corrigée plus récente
Aller sur le site s2Member – Excellent for All Kinds of Memberships, Content Restriction Paywalls & Member Access Subscriptions
Publié le lundi 16 décembre 2024
MainWP Child <= 5.2 - Autorisation manquante pour une élévation de privilèges non authentifiée
Le plug-in MainWP Child – Se connecte en toute sécurité au tableau de bord MainWP pour gérer plusieurs sites pour WordPress est vulnérable à une élévation de privilèges en raison d'un contrôle d'autorisation manquant sur la fonction register_site dans toutes les versions jusqu'à 5.2 incluse lorsqu'un site est laissé dans un environnement non configuré. État. Cela permet à des attaquants non authentifiés de se connecter en tant qu'administrateur sur des instances où MainWP Child n'est pas encore connecté au tableau de bord MainWP. IMPORTANT : cela n'affecte que les sites sur lesquels MainWP Child est installé et qui ne sont pas encore connectés au tableau de bord MainWP, et pour lesquels la fonction d'identification de sécurité unique n'est pas activée. Les sites déjà connectés au plugin MainWP Dashboard et pour lesquels la fonctionnalité d'identification de sécurité unique n'est pas activée, ne sont PAS affectés et ne nécessitent pas de mise à niveau. Veuillez noter que la version 5.2.1 contient un correctif partiel, bien que nous considérons la version 5.3 comme le correctif complet.
Solution : Mise à jour vers la version 5.3 ou une version corrigée plus récente
Aller sur le site MainWP Child – Securely Connects to the MainWP Dashboard to Manage Multiple Sites
Publié le jeudi 12 décembre 2024
WPForms 1.8.4 - 1.9.2.1 - Autorisation manquante pour le remboursement de paiement authentifié (Abonné +) et l'annulation de l'abonnement
Le plugin WPForms pour WordPress est vulnérable à la modification non autorisée des données en raison d'un contrôle de capacité manquant sur la fonction « wpforms_is_admin_page » dans les versions allant de 1.8.4 à 1.9.2.1 inclus. Cela permet aux attaquants authentifiés, disposant d’un accès au niveau de l’abonné ou supérieur, de rembourser les paiements et d’annuler les abonnements.
Solution : Mise à jour vers la version 1.9.2.2 ou une version corrigée plus récente
Aller sur le site WPForms – Easy Form Builder for WordPress – Contact Forms, Payment Forms, Surveys, & More
Publié le lundi 09 décembre 2024
s2Member (Pro) <= 241114 - Exécution de code à distance non authentifié
Le plugin s2Member – Excellent pour tous les types d’adhésions, de restrictions de contenu, de paywalls et d’abonnements d’accès aux membres (Pro) pour WordPress est vulnérable à l’exécution de code à distance dans toutes les versions jusqu’à 241114 incluse. Cela permet à des attaquants non authentifiés d’exécuter du code. sur le serveur.
Solution : Aucun correctif connu disponible. Veuillez examiner les détails de la vulnérabilité en profondeur et utiliser des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel concerné et de trouver un remplaçant.
Aller sur le site s2Member – Excellent for All Kinds of Memberships, Content Restriction Paywalls & Member Access Subscriptions
Publié le lundi 02 décembre 2024
Options de widget – Le plugin WordPress n°1 pour les widgets et le contrôle de bloc <= 4.0.7 – Exécution de code à distance authentifié (Contributeur+)
Les options du widget – Le plugin WordPress Widget & Block Control Plugin n°1 pour WordPress est vulnérable à l'exécution de code à distance dans toutes les versions jusqu'à la 4.0.7 incluse via la fonctionnalité de logique d'affichage qui étend plusieurs constructeurs de pages. Cela est dû au plugin permettant aux utilisateurs de fournir des entrées qui seront transmises via eval() sans aucun filtrage ni contrôle de capacité. Cela permet aux attaquants authentifiés, disposant d’un accès de niveau contributeur et supérieur, d’exécuter du code sur le serveur. Remarque spéciale : nous avons suggéré au fournisseur de mettre en œuvre une liste autorisée de fonctions et de limiter la possibilité d'exécuter des commandes aux seuls administrateurs. Cependant, ils n'ont pas suivi notre conseil. Nous envisageons de corriger ce problème, mais nous pensons qu'il pourrait encore être renforcé et qu'il pourrait y avoir un risque résiduel lié à la manière dont le problème est actuellement corrigé.
Solution : Mise à jour vers la version 4.0.8 ou une version corrigée plus récente
Aller sur le site Widget Options – The #1 WordPress Widget & Block Control Plugin
Publié le mercredi 27 novembre 2024
Protection anti-spam, anti-spam, pare-feu par CleanTalk <= 6.43.2 - Contournement d'autorisation via une usurpation DNS inversée vers une installation de plug-in arbitraire non authentifié
Le plugin de protection anti-spam, anti-spam et pare-feu de CleanTalk pour WordPress est vulnérable à l'installation arbitraire de plugins non autorisée en raison d'un contournement d'autorisation via une usurpation d'identité DNS inversée sur la fonction checkWithoutToken dans toutes les versions jusqu'à 6.43.2 incluse. Cela permet à des attaquants non authentifiés d'installer et d'activer des plugins arbitraires qui peuvent être exploités pour réaliser l'exécution de code à distance si un autre plugin vulnérable est installé et activé.
Solution : Mise à jour vers la version 6.44 ou une version corrigée plus récente
Aller sur le site Spam protection, Anti-Spam, FireWall by CleanTalk
Publié le lundi 25 novembre 2024
Protection anti-spam, anti-spam, pare-feu par CleanTalk <= 6.44 - Contournement d'autorisation en raison d'une vérification de valeur vide manquante lors d'une installation de plug-in arbitraire non authentifié
Le plugin de protection anti-spam, anti-spam et pare-feu de CleanTalk pour WordPress est vulnérable à l'installation arbitraire non autorisée de plugin en raison d'une vérification de valeur vide manquante sur la valeur 'api_key' dans la fonction 'perform' dans toutes les versions jusqu'à 6.44 incluse. . Cela permet à des attaquants non authentifiés d'installer et d'activer des plugins arbitraires qui peuvent être exploités pour réaliser l'exécution de code à distance si un autre plugin vulnérable est installé et activé.
Solution : Mise à jour vers la version 6.45 ou une version corrigée plus récente
Aller sur le site Spam protection, Anti-Spam, FireWall by CleanTalk
Publié le lundi 25 novembre 2024
FluentSMTP – Plugin WP SMTP avec Amazon SES, SendGrid, MailGun, Postmark, Google et tout fournisseur SMTP <= 2.2.82 – Injection d'objet PHP non authentifié
Le plug-in FluentSMTP – WP SMTP avec Amazon SES, SendGrid, MailGun, Postmark, Google et Any SMTP Provider pour WordPress est vulnérable à l'injection d'objets PHP dans toutes les versions jusqu'à la version 2.2.82 incluse via la désérialisation des entrées non fiables dans le fichier ' fonction formatResult. Cela permet à des attaquants non authentifiés d'injecter un objet PHP. Aucune chaîne POP connue n'est présente dans le logiciel vulnérable. Si une chaîne POP est présente via un plugin ou un thème supplémentaire installé sur le système cible, elle pourrait permettre à l'attaquant de supprimer des fichiers arbitraires, de récupérer des données sensibles ou d'exécuter du code. La vulnérabilité a été partiellement corrigée dans la version 2.2.82.
Solution : Mise à jour vers la version 2.2.83 ou une version corrigée plus récente
Aller sur le site FluentSMTP – WP SMTP Plugin with Amazon SES, SendGrid, MailGun, Postmark, Google and Any SMTP Provider
Publié le vendredi 22 novembre 2024
Clone <= 2.4.6 - Injection d'objet PHP non authentifié via 'recursive_unserialized_replace'
Le plugin Clone pour WordPress est vulnérable à l'injection d'objets PHP dans toutes les versions jusqu'à la 2.4.6 incluse via la désérialisation des entrées non fiables dans la fonction 'recursive_unserialized_replace'. Cela permet à des attaquants non authentifiés d'injecter un objet PHP. Aucune chaîne POP connue n'est présente dans le logiciel vulnérable. Si une chaîne POP est présente via un plugin ou un thème supplémentaire installé sur le système cible, elle pourrait permettre à l'attaquant de supprimer des fichiers arbitraires, de récupérer des données sensibles ou d'exécuter du code.
Solution : Mise à jour vers la version 2.4.7 ou une version corrigée plus récente
Aller sur le site Clone
Publié le mardi 19 novembre 2024
Comment un site wordpress peut être piraté ?
Pour pirater wordpress, le pirate peut :
- Se servir d’une faille de sécurité wordpress;
- Utiliser une faille de sécurité dans un plugin;
- Utiliser une faille dans le thème wordpress.
La faille vient souvent d’un formulaire même si votre site n’en affiche pas.
C’est pourquoi il est important que wordpress, les plugins et le thème doivent toujours être à jour.
Comment désinfecter un site wordpress piraté ?
- Mettez votre site WordPress en mode maintenance
- Changer tous vos mots de passe
- Nettoyer la base de données
- Télécharger la dernière version de wordpress pour remplacer tous les fichiers sources
- Télécharger les dernières versions de plugins
- Nettoyer votre thème
Si vous avez une sauvegarde vous pouvez la restaurer et ensuite mettre à jour wordpress, les plugins et le thème.
Comment accéder à mon site wordpress qui a ete piraté ?
Pour accéder à votre site wordpress piraté il faut :
- Nettoyer la base de données;
- Nettoyer les fichiers;
- Mettre à jours le core, les plugins et le thème;
- Sécuriser wordpress.
Lorsque vous avez tout nettoyé et qu’il n’y a pas d’erreur vous pourrez ensuite accéder à votre site.
Comment savoir si mon site wordpress à été piraté ?
Votre site wordpress peut avoir été piraté si :
- Du contenu a été modifié;
- Des pages ont été créés;
- Du texte et des caractères étranges s’affichent;
- Il y a des rédirections vers des sites frauduleux;
- Votre site est plus lent.
Si vous pensez que votre site a été piraté il ne faut pas trop attendre car plus vous attendrez plus la réparation sera difficile.
Est-ce que je peux réparer mon site wordpress par moi meme ?
Vous pouvez réparer votre site web wordpress par vous-même. De bonne pratique de développement et quelques règles de base de sécurisation pourront réduire les risques de piratage.
Si vous avez besoin d’une assistance pour la maintenance de votre site wp contactez-nous, des experts sont là pour vous répondre.