Patchez immédiatement WordPress en 4.2.1 pour corriger des failles de vulnérabilité XSS

Mais d’où sort cette horreur ?

Ce soir en regardant mes stats Google Analytics sur Ta Maison (site lancé il y a une dizaine de jours) j’ai vu apparaître un truc affreux que je ne peux pas écrire en toutes lettres sans que Google ne pénalise la présente page :

extrait-analytics

Evidemment il n’y a aucune page avec cette URL sur un site lié à l’univers de la maison.

Il peut m’arriver de faire le suivi des liens cliqués dans Google Analytics comme des pages et non des événements, auquel cas cette URL pourrait correspondre à un lien sortant cliqué, planqué quelque-part dans les commentaires.
Sauf que ce supposé lien apparaît bien haut, en 13ème position, ce qui suppose une sacré dose de clics !

Des failles de vulnérabilité XSS dans WordPress 4.2

Après avoir un peu fouillé, j’ai compris de quoi il s’agissait : la dernière mise à jour de WordPress, la 4.2 présente des vulnérabilités XSS.
En gros WordPress 4.2, via son module de commentaire ET les nouvelles méthodes mises en places lors de cette mise à jour présente des failles permettant de réinjecter du JavaScript depuis un domaine tiers, notamment via Google Analytics.

attaque-xss

Il s’agit de pratiques Black Hat bien crades, permettant de « pousser » le site indiqué ci-dessus en injectant un faux contenu dans la balise canonical. C’est pourquoi je retrouve ce « faux lien » dans les statistiques, correspondant à des pages « infectées ». L’objectif de tout ceci consiste à détourner du jus SEO de mon site pour notre ami Google (ça ressemble à ton expérience Guillaume si tu vois de quoi je parle). Pour en savoir plus vous pouvez aller faire un tour sur Forbes.

Vous n’avez rien compris aux phrases précédentes ? Ce n’est pas grave :

Mettez à jour IMMEDIATEMENT WordPress vers la version 4.2.1

J’ai détecté le problème il y a de cela 2 heures et je m’apprêtais à passer une nuit blanche pour essayer de le résoudre.
Je vais finalement pouvoir dormir avant 3h du mat 🙂

winner

JGuiss c’est toi sur la photo ?

Patchez immédiatement WordPress en 4.2.1 pour corriger des failles de vulnérabilité XSS

Vous avez un projet ?

Parlons-en ensemble

Nous contacter

Partager cet article

Noter cet article

Fabien Elharrar - 313 articles
Consultant en acquisition d'audience, monétisation web et growth hacking.
159 solutions pour monetiser votre blog
RECEVOIR LES MEILLEURS ARTICLES
JE M'ABONNE
Partagez
Tweetez
+1
Partagez
AdSense propose des Articles Relatifs et s’attaque à Taboola

Fermer