skip to Main Content
Patchez Immédiatement WordPress En 4.2.1 Pour Corriger Des Failles De Vulnérabilité XSS

Patchez immédiatement WordPress en 4.2.1 pour corriger des failles de vulnérabilité XSS

Temps de lecture 3 minutes

Mais d’où sort cette horreur ?

Ce soir en regardant mes stats Google Analytics sur Ta Maison (site lancé il y a une dizaine de jours) j’ai vu apparaître un truc affreux que je ne peux pas écrire en toutes lettres sans que Google ne pénalise la présente page :

Evidemment il n’y a aucune page avec cette URL sur un site lié à l’univers de la maison.

Il peut m’arriver de faire le suivi des liens cliqués dans Google Analytics comme des pages et non des événements, auquel cas cette URL pourrait correspondre à un lien sortant cliqué, planqué quelque-part dans les commentaires.
Sauf que ce supposé lien apparaît bien haut, en 13ème position, ce qui suppose une sacré dose de clics !

Des failles de vulnérabilité XSS dans WordPress 4.2

Après avoir un peu fouillé, j’ai compris de quoi il s’agissait : la dernière mise à jour de WordPress, la 4.2 présente des vulnérabilités XSS.
En gros WordPress 4.2, via son module de commentaire ET les nouvelles méthodes mises en places lors de cette mise à jour présente des failles permettant de réinjecter du JavaScript depuis un domaine tiers, notamment via Google Analytics.

Il s’agit de pratiques Black Hat bien crades, permettant de « pousser » le site indiqué ci-dessus en injectant un faux contenu dans la balise canonical. C’est pourquoi je retrouve ce « faux lien » dans les statistiques, correspondant à des pages « infectées ». L’objectif de tout ceci consiste à détourner du jus SEO de mon site pour notre ami Google (ça ressemble à ton expérience Guillaume si tu vois de quoi je parle). Pour en savoir plus vous pouvez aller faire un tour sur Forbes.

Vous n’avez rien compris aux phrases précédentes ? Ce n’est pas grave :

Mettez à jour IMMEDIATEMENT WordPress vers la version 4.2.1

J’ai détecté le problème il y a de cela 2 heures et je m’apprêtais à passer une nuit blanche pour essayer de le résoudre.
Je vais finalement pouvoir dormir avant 3h du mat 🙂

JGuiss c’est toi sur la photo ?

Fabien Elharrar

Consultant en acquisition d'audience, monétisation web et growth hacking.

Poster un Commentaire

avatar

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

  S’abonner  
Notifier de
Back To Top
×Close search
Rechercher