WordPress 5.5 est sorti le 11 août avec un certain nombre de mises à jour importantes, y compris une nouvelle fonctionnalité permettant les mises à jour automatiques des thèmes et des plugins ainsi que des modifications de l’éditeur de blocs. Le thème populaire Astra a été suspendu du référentiel pour avoir des liens d’affiliation dans le code.

Une vulnérabilité trouvée dans les navigateurs Google Chromium pourrait permettre aux attaquants de contourner la politique de sécurité du contenu afin de voler des données et d’exécuter du code malveillant, cette vulnérabilité affecte des milliards d’utilisateurs. Le Wall Street Journal a rapporté que le logiciel de suivi du gouvernement est intégré dans plus de 500 applications mobiles.

Voici les horodatages et les liens au cas où vous voudriez sauter, et une transcription est ci-dessous.
0:12 Mises à jour automatiques de WordPress: Qu’avez-vous à perdre?
2:17 Thème Astra suspendu et rétabli
3:57 Google Bug du navigateur Chrome expose des milliards d’utilisateurs au vol de données
5 h 35 Rapport WSJ: Des centaines d’applications ont un logiciel de suivi caché utilisé par le gouvernement

Trouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 82

Scott Miller:
Salut tout le monde, c’est Scott de Wordfence. Ceci est une autre édition de Think Like a Hacker, le podcast hebdomadaire sur WordPress, la sécurité et l’innovation. passons directement aux actualités.

Notre première histoire du jour est la mise à jour de WordPress 5.5. Ainsi, le mardi 11 août, WordPress a publié sa mise à jour 5.5 et permet d’activer les mises à jour automatiques pour les plugins et les thèmes individuels. Les mises à jour automatiques seront désactivées par défaut, mais vous pouvez activer la possibilité pour ces plugins de se mettre à jour automatiquement par la section plugin de votre site. Désormais, l’ajout de mises à jour automatiques améliore la sécurité du site en raccourcissant le temps nécessaire à la mise à jour des plugins. Et cela peut être important s’il y a des mises à jour de sécurité dans ces plugins. Désormais, les mises à jour automatiques posent certains problèmes, et nous en avons longuement parlé dans notre flux Heures de bureau cette semaine, et vous pouvez le trouver sur la chaîne YouTube de Wordfence en recherchant les heures de bureau de Wordfence sur YouTube.

Ainsi, selon le type de site que vous exécutez et la fréquence à laquelle vous vous connectez pour vérifier les choses, les mises à jour automatiques peuvent être une bonne idée pour garder les choses à jour et protégées. Si vous êtes une entreprise plus importante et que vous avez des yeux sur le site très fréquemment, il peut être préférable de commencer lentement et de continuer à mettre à jour manuellement vos plugins pour le moment. Si vous souhaitez en savoir plus sur l’impact de ces mises à jour automatiques sur votre site, nous avons un excellent article de blog sur wordfence.com intitulé Mises à jour automatiques de WordPress: qu’est-ce que vous avez à perdre? Cela a été publié le 6 août et vous pouvez vous rendre là-bas et le vérifier sur le blog.

Plusieurs modifications de l’interface utilisateur de l’éditeur de blocs ont également été introduites dans WordPress 5.5, initialement introduites dans WordPress 5.0 en 2018. Ces modifications de l’interface utilisateur rendent l’ajout, la modification et le déplacement de blocs dans vos articles et pages un peu plus fluides. Sont également inclus dans WordPress 5.5 des cartes de site, que WordPress générera pour vous par défaut et une nouvelle fonctionnalité de chargement différé, qui vise à économiser de la bande passante et à accélérer votre site. Comment cela fonctionne-t-il essentiellement ne charge que les images qui sont en vue de la fenêtre du navigateur pour votre visiteur à un moment donné. C’est donc un bel impact sur la vitesse et les performances.

Notre deuxième histoire cette semaine est la suspension à thème Astra. Il s’agit du premier thème WordPress non par défaut à franchir la barre du million d’installation et peu de temps après, il a été suspendu en raison de la violation d’une règle relative à la présence de liens d’affiliation dans le code. Peu de temps après un va-et-vient entre l’équipe des thèmes et les auteurs du thème, le thème a ensuite été rétabli. Cependant, la pénalité en cours pour le moment est que le thème est absent de la liste des thèmes populaires. Le fonctionnement de la liste des thèmes populaires consiste à utiliser la date de publication des thèmes, ainsi que le nombre de téléchargements pour déterminer la popularité d’un thème. L’équipe thématique a donc changé la date du thème pour le faire descendre dans la liste populaire. La suppression de la liste d’un thème comme celui-ci est un moyen pour l’équipe des thèmes de traiter les violations des directives sans suspendre carrément un thème. Et comme dans ce cas, les utilisateurs auront toujours accès aux nouvelles mises à jour.

Il convient de noter qu’il s’agit de la première violation de la société et, bien que Brainstorm Force, l’équipe derrière le thème Astra, n’a pas ajouté directement de liens d’affiliation, elle a néanmoins injecté l’ID de référence de l’entreprise dans les liens d’affiliation pour les plugins tiers. Depuis la rencontre initiale, une semaine supplémentaire a été ajoutée à la suspension lorsqu’une autre violation liée à l’affiliation a été trouvée. Ces pénalités peuvent entraîner une perte importante de revenus. Et dans un cas similaire, le thème Zerif Lite a été suspendu et cela a entraîné une perte de revenus importante. Le thème Zerif Lite ne comptait qu’environ un tiers des utilisateurs actifs d’Astra.

Ensuite, une vulnérabilité a été trouvée dans les navigateurs Google Chromium, ce qui permettrait aux attaquants de contourner CSP, la politique de sécurité du contenu, afin de voler des données et d’exécuter du code malveillant. Cette vulnérabilité affecte Chrome, Opera et Edge sur Windows, Mac et Android, ce qui peut affecter des milliards d’utilisateurs. Les versions concernées sont la version 73 de Chrome à la version 83. Le problème a été corrigé dans la version 84 de Chrome, qui a été publiée le mois dernier en juillet. La vulnérabilité était alors présente pendant plus d’un an avant le patch. Désormais, la politique de sécurité du contenu est une méthode standard pour renforcer la sécurité des données et elle est utilisée par de nombreuses grandes entreprises, telles que Facebook, ESPN, Gmail, pour n’en nommer que quelques-unes.

Et il est utilisé pour empêcher les attaques telles que les scripts intersites et les attaques par injection de données. Pour que cette vulnérabilité soit exploitée, un attaquant aurait d’abord dû avoir accès au serveur Web. Et cela aurait pu être fait via l’ingénierie sociale ou le forçage brutal, entre autres. Après avoir obtenu l’accès, les attaquants auraient alors pu modifier le code JavaScript utilisé par le serveur pour charger et injecter du code, entraînant un contournement du CSP. Donc, une ou deux choses, assurez-vous de vérifier et de voir si vous utilisez la dernière version de votre navigateur Web, et il est également conseillé de vérifier votre navigateur en vérifiant les extensions de votre navigateur et de supprimer tout ce que vous n’êtes pas familier ou qui vous n’utilisez plus.

Et notre dernière histoire de cette semaine, un nouveau rapport du Wall Street Journal a exposé des logiciels de suivi du gouvernement dans plus de 500 applications mobiles. Anomaly Six, une société basée en Virginie, a inclus son code de suivi dans ses applications mobiles, qui ont ensuite collecté des données à partir d’appareils mobiles et ces données ont ensuite été vendues au gouvernement américain. Dans le rapport, il est mentionné qu’Anomaly Six ne nommerait aucune des applications dans lesquelles son logiciel est actuellement inclus. Maintenant, s’il y a un bon côté, c’est que les données collectées sont anonymes. Cependant, comme nous l’avons vu dans des cas par le passé, il existe en cours de route des méthodes permettant d’utiliser des identifiants pour associer des données à un individu. Il semble qu’à l’heure actuelle, ce qui est fait ici est légal et il est également mentionné qu’il est clair que nous sommes en retard sur les lois et règlements concernant la collecte de ce type d’informations, même de manière anonyme.

Actuellement, il n’existe aucun moyen de savoir si nous utilisons actuellement l’une de ces applications. Ce serait donc peut-être le bon moment pour auditer nos téléphones également. Vous pouvez donc le faire simplement en parcourant et en regardant certaines applications que vous n’utilisez pas couramment, ou vous ne les utilisez pas toutes et continuez et supprimez-les. Vous vous demandez peut-être aussi: «Que fait le gouvernement de ces informations anonymes?» Et je pense que beaucoup d’entre nous se demandent la même chose. Alors laissez-nous un commentaire dans nos notes d’émission sur wordfence.com/podcast et donnez-nous vos réflexions sur ceci ou sur l’une de nos autres histoires aujourd’hui.

C’est tout pour l’édition de cette semaine de Think Like a Hacker. Assurez-vous de nous consulter sur les heures de bureau de Wordfence, qui est diffusé tous les mardis à midi, dans l’est de 9h00 du Pacifique, où nous parlons de tout ce qui concerne la sécurité de WordPress et de Wordfence. J’espère que les nouvelles d’aujourd’hui vous ont bien trouvé, et nous reviendrons la semaine prochaine sur Think Like a Hacker. De la part de nous tous ici chez Wordfence, passez un excellent week-end et nous vous reverrons la prochaine fois.

Suis moi sur Twitter @wfscottmiller. Vous pouvez trouver Wordfence sur Twitter, Facebook, Instagram. Vous pouvez également nous trouver sur Youtube, où nous avons notre hebdomadaire Wordfence Live les mardis à midi, heure de l’Est, à 9 h 00 du Pacifique.



Source link