Cette semaine, nous examinons la version WordPress 5.4 qui inclut l’activation par défaut de l’édition sans distraction. Nous examinons également les nouvelles vulnérabilités des plugins découvertes par l’équipe Wordfence Threat Intelligence, y compris celles trouvées dans Rank Math et un plugin d’aide Contact From 7. Nous passons en revue les nouvelles fonctionnalités récemment ajoutées à Fast or Slow, le profileur de vitesse de site Web mondial gratuit.

Nous parlons également des récents problèmes de sécurité et de confidentialité de Zoom, y compris une découverte récente par un chercheur en sécurité qui a trouvé des enregistrements de réunions contenant des informations sensibles sur le service cloud de Zoom.

Voici des horodatages et des liens au cas où vous souhaiteriez sauter, et une transcription est ci-dessous.
1:04 Rejoignez-nous pour les heures de bureau Wordfence: Questions et réponses sur la sécurité WordPress
1:47 WordPress 5.4 libéré
4:03 Vulnérabilités dans Plugin Rank Math SEO sur plus de 200 000 sites. Regardez le discours de Ram sur éviter les vulnérabilités courantes lors du développement de plugins WordPress.
6:06 Vulnérabilités dans le Formulaire de contact 7 Datepicker le plugin affecte plus de 100 000 sites
8h30 Nouvelles fonctionnalités ajoutées à Fast or Slow, le profileur de site Web mondial gratuit
10:00 Sûreté et sécurité lors de l’utilisation de Zoom vidéoconférence, et un nouveau rapport que Zoom vidéos de réunion enregistré dans le cloud ne sont pas privés

Retrouvez-nous sur votre application ou plateforme préférée, y compris iTunes, Podcasts Google, Spotify, Youtube, SoundCloud et Couvert.

Cliquez ici pour télécharger une version MP3 de ce podcast. Abonnez-vous à notre flux RSS.

Transcription de l’épisode 72

Bonjour et bienvenue sur Think Like a Hacker, le podcast sur WordPress, la sécurité et l’innovation. Ceci est l’épisode 72.

Et enregistrer cela le samedi 4 avril après une semaine extrêmement chargée au pays de WordPress. En tant que tel, je n’ai plus d’interview cette semaine, mais nous avons des nouvelles importantes à partager et je ne voulais pas attendre. J’ai une interview prête, donc j’espère que je pourrai la publier la semaine prochaine.

J’espère que vous vous portez tous bien en cette période où vous vous familiarisez intimement avec nos maisons et nos familles. Moi aussi, je suis à la maison avec ma famille. Ma fille de 11 ans garde les choses intéressantes. Ce matin, je suis descendu à un post-it qui disait: «Je vais vous expliquer.» Autant que j’ai essayé, je ne pouvais pas comprendre ce qui avait besoin d’une explication, donc dès qu’elle se réveillerait, je le découvrirais. Si vous voulez savoir de quoi parle ce mystère, vous pouvez me suivre sur Twitter, @KathyZant, et je vous expliquerai ce qu’elle fait une fois que j’aurai compris cela.

Nous aimerions rester plus connectés avec vous, nous faisons donc des heures de bureau Wordfence pour les questions et réponses sur la sécurité WordPress et mardi matin. C’est mardi 7 avril à 9 h 00 du Pacifique, 12 h 00, heure de l’Est. Si vous souhaitez nous rejoindre, écrivez-moi à kathy@wordfence.com et je vous enverrai une invitation. Nos ingénieurs du service client, Tim Cantrell et Scott Miller se joindront à moi. Nous répondrons à vos questions et trouverons un moyen de vous divertir, ainsi que nous-mêmes, avec des histoires amusantes sur la sécurité de WordPress et répondrons également à toutes vos questions afin que vous vous sentiez plus en sécurité en ces temps intéressants.

Notre première histoire cette semaine, WordPress 5.4 est sortie. Justin Tadlock de WP Tavern a fait un excellent aperçu succinct de WordPress 5.4. Cette version a été nommée d’après le musicien de jazz américain Nat Adderley. La mise à jour comprend de nouvelles icônes sociales et des blocs de boutons, des améliorations d’utilisabilité de l’éditeur de blocs et une nouvelle API pour les développeurs à utiliser dans les plugins et les thèmes.
L’ajout le plus controversé était que l’éditeur WordPress passe désormais en mode plein écran. Maintenant, auparavant, nous connaissions cette option comme une sorte de mode «sans distraction». Donc, si vous ne voulez pas le mode plein écran, vous pouvez annuler cette modification en cliquant sur le bouton Outils et options, qui est l’icône de points de suspension verticaux dans le coin supérieur droit, et vous pouvez décocher l’option mode plein écran.

Si vous êtes un auteur de thème, un auteur de thème WordPress, vous avez maintenant accès à l’API Gradients pour les blocs de couverture et de bouton. Vous devez également vérifier et vous assurer que vos styles de blocs de thème gèrent les nouvelles icônes sociales et les blocs de boutons.

Plusieurs classes CSS ou feuille de style en cascade ont été renommées dans l’éditeur de blocs. Par conséquent, si vous êtes un développeur travaillant avec l’éditeur, recherchez-les. L’équipe principale a également réécrit le balisage HTML pour le widget de calendrier et mis à jour ces classes.

Maintenant que WordPress concerne uniquement les blocs, les développeurs de blocs peuvent utiliser l’API Collections pour regrouper les collections de blocs par espace de noms, et l’API Variations offre la possibilité de créer des variantes d’un bloc individuel. Si vous cherchez à l’utiliser, le nouveau bloc d’icônes sociales fait bon usage de cette API particulière.

Les auteurs de plugins et de thèmes ont également de nouveaux crochets pour ajouter des champs personnalisés à leurs menus de navigation. WordPress 5.4 présente également l’alias apply_shortcodes () pour l’ancienne fonction do_shortcode (). Donc WordPress 5.4.

Ensuite, nous avons quelques vulnérabilités de plugin importantes à signaler. Tout d’abord, les vulnérabilités critiques affectant plus de 200 000 sites corrigés dans le plugin SEO Rank Math. Rank Math gagne en popularité en tant que plugin SEO, désormais installé sur, comme je l’ai dit, sur plus de 200 000 sites.

Ram Gall est l’un de nos professionnels de l’assurance qualité et il a trouvé ces vulnérabilités et a travaillé avec l’équipe de Rank Math pour s’assurer que ces failles étaient corrigées. Rank Math a été extrêmement rapide à répondre et la version la plus récente de Rank Math a été corrigée, à savoir la version 1.0.41.2 qui a été publiée le 31 mars 2020.

Il y a en fait deux failles que Ram a trouvées, toutes deux concernant le point de terminaison de l’API REST. Le premier était critique et pourrait conduire à la reprise d’un site WordPress. Avec ce point de terminaison d’API REST non protégé, un certain nombre d’attaques auraient pu être exploitées. Le plus critique serait bien sûr de verrouiller un utilisateur administratif de son propre site. Maintenant, la deuxième vulnérabilité concernait également le point de terminaison de l’API REST et pourrait être utilisée pour rediriger les visiteurs du site, que nous voyons beaucoup de logiciels malveillants qui redirigent vers des parties désagréables d’Internet.

Maintenant, les conseils de Ram si vous êtes développeur de plugins. Si votre plugin utilise l’API REST, assurez-vous d’inclure un rappel d’autorisation sur tous les points de terminaison que vous ne souhaitez pas mettre à la disposition du public, et sachez que cela nécessite qu’un nonce wp_rest valide soit généré et envoyé avec des demandes à ce point de terminaison protégé pour assurer la sécurité des sites de vos clients.

Voici l’endroit où je vous dis que nous avons une excellente vidéo de Ram parlant de l’écriture de code de plugin plus sécurisé. Nous l’avons enregistré à WordCamp Phoenix. Si vous êtes un développeur, assurez-vous de vérifier cela et de verrouiller les portes d’entrée où les attaquants entrent dans WordPress. J’aurai un lien vers cette vidéo dans les notes de l’émission.

Ensuite, nous avons une autre vulnérabilité également découverte par Ram Gall. C’était dans le plugin Contact Form 7 Datepicker installé sur plus de cent mille sites. Maintenant, cela n’affecte pas le plugin principal de Contact Form 7. Celui-ci est installé sur plus de 5 millions de sites. Le plugin Contact Form 7 Datepicker est l’un de ces plugins d’assistance qui sont parfois utilisés pour étendre les fonctionnalités d’un plugin principal. WooCommerce, un autre qui a beaucoup de plugins d’assistance. Encore une fois, Contact Form 7 n’est pas concerné par cette vulnérabilité.

Maintenant, le plugin Datepicker n’est plus activement maintenu. Ram a contacté l’équipe des plugins et ce plugin a été retiré du téléchargement depuis le référentiel. La vulnérabilité est une vulnérabilité de script intersite stockée authentifiée, elle ne peut donc être exploitée que par un attaquant possédant un compte authentifié pour cette installation WordPress.
Cependant, maintenant, si vous autorisez les visiteurs du site à s’abonner à votre blog, si vous avez un site WooCommerce et que vos utilisateurs sont tous, ou que vos clients sont tous dans votre table d’utilisateurs, si vous avez des gens qui peuvent s’inscrire pour voir comme un Bien sûr, et vous utilisez un système de gestion de l’apprentissage comme LearnDash ou Lifter LMS, quiconque obtient un compte dans votre section utilisateur de WordPress est ce qui est considéré comme authentifié s’il est connecté. Ainsi, votre site avec un grand nombre d’utilisateurs pourrait être victime de l’exploitation de cette vulnérabilité, et il est donc important de faire attention. Souvent, les gens élimineront les vulnérabilités authentifiées en pensant: «Eh bien, ce n’est pas si facilement exploitable», mais il y a toujours des cas où vous pouvez voir l’exploitation.

Alors maintenant, plus important que cela, ce plugin ne va pas être patché. Donc, si vous l’utilisez, vous devrez chercher une alternative. Ram a constaté que le formulaire de contact 7 peut faire la sélection de date sans plug-in séparé. Il utilise un champ de date HTML5, vous pouvez donc rechercher comment procéder. Si vous utilisez Contact Form 7 Datepicker, assurez-vous de désactiver et de supprimer ce plugin de vos installations WordPress et examinez plus en détail les capacités du champ de date HTML5 dans Contact Form 7 lui-même.

Ensuite, Fast or Slow, le nouvel outil de surveillance de la vitesse du site que nous avons lancé il y a quelques semaines, a reçu quelques mises à jour. Pour rappel, Fast or Slow est un outil qui surveille les performances de votre site Web à partir de 13 emplacements différents à travers le monde. C’est un outil totalement gratuit. Vous pouvez vous abonner pour obtenir des mises à jour afin de rester au courant des performances de votre site au fil du temps. Bien sûr, les performances du site sont essentielles à l’expérience de votre utilisateur, où qu’il se trouve dans le monde, ainsi qu’à vos performances dans les pages de résultats des moteurs de recherche, car Google a noté que la vitesse du site est un facteur de classement.

Nous avons ajouté de meilleurs graphiques à Fast ou Slow, et nous avons également veillé à ce que vous obteniez plus de statistiques à jour que tout autre outil de performance de site, parmi d’autres statistiques. Bien sûr, j’ai scanné mon propre site avec le nouvel outil, et je peux vous dire que je suis assez satisfait de la façon dont les données de Fast or Slow m’aident à prendre de meilleures décisions quant à l’optimisation des performances de mon site.

Je suis assez satisfait des performances de mon site. Beaucoup à apprendre là-bas, alors consultez-le sur fastorslow.com. Nous aurons bientôt un certain nombre de nouvelles mises à jour. Je vous tiendrai au courant de la façon dont vous pouvez en tirer parti pour accélérer votre site, mieux classer, convertir mieux et créer de meilleures expériences en fin de compte. C’est ce que nous recherchons, à droite, pour créer de meilleures expériences sur nos sites Web pour les visiteurs de notre site.

Beaucoup d’entre nous restant à la maison, nous nous tournons vers Zoom pour rester en contact, non seulement avec nos collègues, mais aussi avec nos amis et notre famille. Et Zoom a été critiqué pour des raisons de sécurité et de confidentialité, pour une bonne raison. Space X et la NASA ont interdit l’utilisation de Zoom dans leurs réunions et il y a eu quelques jours sans découverte.

L’une des raisons pour lesquelles Zoom est si populaire est que sa barrière à l’entrée est très faible, ce qui signifie que vous pouvez l’installer et commencer à vous réunir très rapidement et facilement. Malheureusement, avec cette facilité d’utilisation et cette ouverture, de nombreux utilisateurs ne passent pas par les étapes supplémentaires de verrouillage de leurs réunions et de sécurisation de leur expérience Zoom. Il y a aussi beaucoup de méconnaissance du fonctionnement de Zoom, nous avons donc décidé de faire un peu de recherche sur la façon de sécuriser une réunion Zoom.

Nous avons créé une petite vidéo pour vous guider à travers certains des paramètres par défaut qui sont activés et suggérer certains que vous pouvez désactiver. Par exemple, si vous n’avez pas besoin de chat, vous pouvez désactiver cela, en utilisant des mots de passe pour empêcher les bombardiers Zoom d’envahir votre réunion, de verrouiller les réunions, de ne laisser personne mais l’hôte partager un écran, de ne pas utiliser le partage de fichiers via Zoom, ces types de choses. Nous avons donc écrit un article de blog et nous avons obtenu une courte vidéo de deux minutes et demie qui décrit les paramètres de Zoom. Nous lierons ceux-ci dans les notes de l’émission.

Le lendemain de la publication de ce blog, Zoom a annoncé qu’ils allumaient les mots de passe et les salles d’attente par défaut à partir du 5 avril. Voilà donc de bonnes nouvelles. Ils ont également corrigé certaines vulnérabilités et ont annoncé un gel de 90 jours sur la publication de nouvelles fonctionnalités. Ils vont se concentrer sur la résolution des problèmes de confidentialité et de sécurité.
Maintenant, de mon point de vue, vous savez, dans le monde de la sécurité, c’est ce que vous voulez entendre. Le logiciel dépend de la confiance. Et vous voulez utiliser un logiciel écrit par quelqu’un en qui vous pouvez avoir confiance, quelqu’un qui va être transparent sur les problèmes lorsqu’ils surviennent et montre un sens de comprendre l’importance de ces problèmes et un engagement à les résoudre. De mon point de vue, Zoom fait toutes ces choses.

Malheureusement, les problèmes de Zoom persistent. Un article publié le 3 avril dans le Washington Post a noté qu’un chercheur en sécurité nommé Patrick Jackson a trouvé un moyen de trouver des réunions Zoom enregistrées. Le problème était la convention de dénomination des fichiers utilisée par Zoom pour étiqueter les significations enregistrées.

Maintenant ce qu’il a trouvé, des réunions telles que des séances de thérapie individuelles enregistrées, des orientations de formation pour les travailleurs faisant des appels de télésanté, y compris les noms et numéros de téléphone des personnes, des réunions de petites entreprises avec des états financiers d’entreprises privées, des classes d’école élémentaire avec des visages d’enfants , voix et informations personnelles. Ce n’est pas exactement quelque chose que vous souhaitez rendre public sur le Web.

Donc, plus de conseils, n’utilisez pas Zoom pour enregistrer des réunions dans le cloud. Si vous devez enregistrer, enregistrer et sauvegarder cela sur votre ordinateur personnel ou ne pas enregistrer la session du tout. De plus, ne partagez jamais d’informations privées via Zoom ou tout autre système de visioconférence.

Nous faisons nos petites heures de bureau Wordfence WordPress Q&A mardi et nous allons utiliser Zoom. Nous avons essayé quelques alternatives et il est tout simplement plus facile de se connecter en utilisant Zoom. Nous allons donc le faire, mais nous le faisons aussi intelligemment. Nous allons répondre à toutes les questions que nous pouvons, mais nous allons commencer cette réunion en indiquant que nous ne répondrons à aucune question personnelle, ni pour nous-mêmes ni pour les participants. Tout ce qui ressemble à des informations personnellement identifiables ne sera pas autorisé. Ce que nous avons l’intention de faire, c’est de divertir et d’informer, mais pas de consulter.

Utilisez donc Zoom, mais percez dans votre tête que vous êtes là pour divertir et informer publiquement et partager des connaissances et vous connecter, mais tracez la ligne lors de la consultation. Tracez la ligne pour devenir personnel. J’espère que l’engagement de Zoom en matière de confidentialité et de sécurité se traduira par une meilleure sécurisation de nos réunions vidéo à l’avenir, et j’espère que c’est ce qui va se produire.

Alors nous vous reparlerons bientôt et j’espère que vous restez tous en sécurité. Si vous avez quelque chose à partager, écrivez-moi à kathy@wordfence.com. Suivez-moi sur Twitter, @KathyZant, et nous vous parlerons bientôt.


Source link