Wordpress vulnérabilité XSS - sécuritéLa communauté WordPress est en émoi. Yoast (SEO WordPress) a révélé une faille importante de sécurité XSS qui impacterait de nombreux plugins du CMS dont ceux les plus téléchargés. Certains thèmes seraient aussi concernés.

C’est quoi le XSS ?

XSS est l’abrégé de cross-site scripting. Cette faille permet de provoquer des actions sur le navigateur en injectant du contenu dans une page avec n’importe quel langage pris en charge par le navigateur. En général, ces actions ont pour but d’hameçonner ou de voler des sessions en récupérant les cookies

La cause de la faille

Par simplicité, 2 fonctions sont très utilisées par les développeurs WordPress :

add_query_arg ()
() remove_query_arg

Elles servent à modifier et ajouter des chaînes de requête sur les URL au sein du CMS.

La documentation WordPress étant un peu floue à leur sujet, les développeurs ont compris que ces fonctions ne présentaient aucun risque. Or, ce n’est pas le cas !

Quels sont les plugins touchés ?

Il y a environ 400 plugins et ce, parmi les meilleurs qui sont impactés ! On peut déjà citer :

Que faire ?

Yoast et plusieurs autres ont déjà mis à jour leur plugin. Il vous faut donc vous connecter à votre administration et mettre à jour les extensions. Ce travail risque de se poursuivre sur plusieurs semaines. Si au-delà, certaines de vos extensions n’ont pas été mise à jour, il faudra vérifier d’abord qu’elles ne contiennent pas les 2 fonctions incriminées, puis soit les corriger vous-même (ou par un développeur) ou changer par un plugin équivalent mis à jour.

Si vous avez acheté vos plugins et vos thèmes chez themeforest ou CodeCanyon, le problème est pris en compte et est en cours de correction.

Si vous êtes développeur et peu patient, vous pouvez modifier les 2 fonctions par :

esc_url() 
ou 
esc_url_raw()

Dans tous les cas, c’est le moment de réviser la sécurité de votre site et de dégager toutes les extensions inutiles au fonctionnement de votre site.