WordPress tuto

BlogSecurity nous annonce ce matin qu’une faille de sécurité dans certains thèmes a été trouvée par Heise.de.

Je suis incapable de dire si c’est vraiment une faille dangereuse.

Pour tester son thème il faut simplement saisir :

http://www.example.com/index.php/">script>alert(1)</script>

En remplaçant évidemment « www.example.com » par votre nom de domaine.

Sur un autre message on trouve la commande :

http://<Blog-URL>/index.php/index.php/"><script>alert()</script>

Si vous recevez un Popup d’alerte, c’est que votre thème est vulnérable à cette attaque.

Pour corriger le problème je vous renvoie aux sites précédemment indiqués et en particulier à cette page [en].

En gros il faut rechercher dans les fichier searchform.php et sidebar.php le code suivant :

action="<?php echo $_SERVER['PHP_SELF'];? >"

Et le remplacer par celui là :

action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']);? >"

Il me semble qu’un bidouilleur peut corrige le problème lui même. Sinon il reste toujours la possibilité de changer de thème. Mon thème actuel n’est apparemment pas affecté par la faille par exemple. Je n’ai pas testé tous les thèmes que j’ai traduit. Si vous en trouvez un de vulnérable, prévenez moi en postant un commentaire.

Edit à 9h55 : les balises dans les codes de test sont bizarres. Il y a des différences entre les 2 sources. Soit il s’agit d’un canular  soit il va y avoir une mise à jour de la ligne de code à passer pour tester son site.

Cet article n'est pas tagué.