Les exploits détectés dans le plugin Ninja Forms pour WordPress, installé sur plus d’un million de sites, peuvent conduire à une prise de contrôle complète du site s’ils ne sont pas corrigés.Wordfence a détecté un total de quatre vulnérabilités dans le plugin Ninja Forms WordPress qui pourraient permettre aux attaquants de :
- Redirigez les administrateurs du site vers des emplacements aléatoires
- Installez un plugin qui pourrait être utilisé pour intercepter tout le trafic de messagerie
- Récupérez la clé de connexion Ninja Form OAuth utilisée pour établir une connexion avec le tableau de bord de gestion central Ninja Forms
- Incitez les administrateurs d’un site à effectuer une action susceptible de déconnecter la connexion OAuth d’un site
Une mise à jour rapide du plugin protégera votre site de tout ce qui précède. La vitesse à laquelle ces vulnérabilités ont été corrigées montre à quel point les développeurs du plugin sont déterminés à le protéger.
Exploits de vulnérabilité – La troisième plus grande menace pour les sites WordPress
C’est une attaque si courante que sur 4 millions de sites analysés dans le rapport il est recommandé de vérifier quand il a été mis à jour pour la dernière fois. C’est un bon signe lorsque les plugins ont été mis à jour au cours des dernières semaines ou mois.Les plugins abandonnés sont une plus grande menace pour les sites car ils peuvent contenir des vulnérabilités non corrigées.Pour plus de conseils sur la protection de votre site, voir : Comment protéger un site WordPress contre les pirates.
Évitez les plugins piratés
Évitez à tout prix d’utiliser des versions piratées de plugins payants, car ils sont la source de la menace la plus répandue pour la sécurité de WordPress. Plus de 17% de tous les sites infectés en 2020 contenaient des logiciels malveillants provenant d’un plugin ou d’un thème piraté.Jusqu’à récemment, il était possible de télécharger des plugins piratés à partir de référentiels WordPress officiels, mais à partir de cette semaine, ils ont été supprimés.