All in One SEO Pack a corrigé cette semaine une vulnérabilité XSS qui a été découverte par les chercheurs en sécurité à Wordfence le 10 juillet. Le populaire plugin compte plus de 2 millions d’installations actives, selon WordPress.org.
Les chercheurs de Wordfence l’ont classée comme un problème de sécurité de gravité moyenne qui pourrait entraîner une prise de contrôle complète du site et d’autres conséquences graves.
This flaw allowed authenticated users with contributor level access or above the ability to inject malicious scripts that would be executed if a victim accessed the wp-admin panel’s ‘all posts’ page.
La version 3.6.2, publiée le 15 juillet 2020, inclut la mise à jour suivante dans le journal des modifications : « Amélioration de la sortie des méta-champs SEO + ajout d’un nettoyage supplémentaire pour le renforcement de la sécurité ».
Il est fortement recommandé aux utilisateurs du All in One SEO Pack de se mettre à jour vers la dernière version. Au moment de la publication, seuls 12 % des utilisateurs du plugin utilisent la version 3.6.x, qui comprend les trois versions les plus récentes. Cela laisse plus de 1,7 million d’installations (88% des utilisateurs du plugin) vulnérables.
De nombreux utilisateurs ne se connectent pas assez souvent à leur site WordPress pour être informés des mises à jour de sécurité en temps utile. Souvent, les auteurs de plugins ne font pas de publicité pour l’importance de la mise à jour sur leurs sites web ou sur les médias sociaux. C’est le type de situation que WordPress 5.5 devrait contribuer à atténuer, car il introduit des contrôles d’administration dans le tableau de bord qui permettent aux utilisateurs d’activer les mises à jour automatiques pour les thèmes et les plugins.
Dans le cas de doute, demandez à votre expert SEO de vous donner un coup de main.