[ALERTE SECURITE] Mise à jour de l’extension WooCommerce en 2.4.9 (Créer un compte)

  • Statut : non résolu
6 sujets de 1 à 6 (sur un total de 6)
  • Auteur
    Messages
  • #556441
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    Bonjour,

    Suite à la découverte d’une faille XSS dans le code de l’extension WooCommerce corrigée en version 2.4.9. Merci de vous assurer de la mise à jour de votre extension au minimum vers cette version.

    Plus d’information sur le sujet dans communiqué suivant (en anglais) : http://blog.fortinet.com/post/fortiguard-labs-discloses-another-wordpress-woocommerce-plug-in-cross-site-scripting-vulnerability

    Merci de relayer cette information largement pour la sécurité de tous.

    #1028770
    Li-An
    Participant
    Maître WordPress
    28491 contributions

    On est même à la 2.4.10. Là, je remercie la mise à jour automatisée des plugins installée sur certains de mes sites.

    #1028771
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    La 2.4.10 est sortie le lendemain pour corriger 3 bricoles mais pas en rapport avec la faille identifiée. Il faut juste s’assurer d’être au moins en 2.9 ou plus.

    Mais comment fais-tu la mise à jour automatisée au niveau des extensions ? Par une extension ?

    En principe, par défaut, les mises à jour automatiques pour les extensions ne se font que pour les failles identifiées comme critiques. Perso, cela me suffit (je surveille quand même les MAJ de sécurité pour les pousser si nécessaire), n’étant fan absolu de la mise à jour automatique des extensions. Certains publient des mises à jour à la moindre virgule ajoutée dans un fichier de traduction, c’est vite pénible.
    Quand tu reçois des notifications de MAJ tous les jours tu finis par ne plus les faire. Mieux vaux alors savoir lesquelles sont réellement importantes à faire.

    #1028772
    Li-An
    Participant
    Maître WordPress
    28491 contributions

    En effet, j’utilise un plugin pare-feu qui propose comme sécurité de mettre à jour les extensions automatiquement. On peut définir quelles extensions sont impactées: https://wordpress.org/plugins/wp-simple-firewall/ – mais attendez la prochaine mise à jour, il y a de petits bugs sur cette dernière version – on ne reçoit pas les mails de mise à jour.

    Je l’ai installé sur un site avec peu de visites pour voir ce que ça donnait. Il est devenu très rare qu’une mise à jour plante un site – j’ai surtout souvenir de SEO Yoast.

    #1028773
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    Je ne connaissais cette extension, je n’utilise pas d’extension de Firewall à proprement parler. J’en utilise plusieurs pour faire ce qu’elle fait, il faudra que je teste…

    Il est devenu très rare qu’une mise à jour plante un site.

    Oui, mais cela m’est arrivé très récemment avec wp-ban utilisé contre les casse-pieds qui cherchent à réinitialiser le mot de passe « Admin ».

    #1028774
    Li-An
    Participant
    Maître WordPress
    28491 contributions

    Oui mais là c’est une extension de sécurité donc particulièrement sensible.

6 sujets de 1 à 6 (sur un total de 6)
  • Vous devez être connecté pour répondre à ce sujet.