J'ai récemment analysé mon site Wordpress en utilisant le service d'analyse de sécurité de 6scan . Il signalait une vulnérabilité de gravité élevée: "un commentaire Wordpress publiant une contrefaçon".
Détails techniques de 6scan:
Le rapport 6scan indique "La vulnérabilité de CSRF dans permet aux utilisateurs malveillants de créer de fausses publications". Il dit que l'URL affectée est /wp-comments-post.php.
Lorsque je clique sur le lien du rapport 6scan pour plus de détails techniques, il me dirige vers cette page , qui est une page générique qui fait référence aux vulnérabilités zéro jour ( c'est-à-dire les vulnérabilités révélées à l'équipe Wordpress mais non connues publiquement). Cependant, cette page n'a pas été mise à jour depuis le 17 juillet 2012 (il y a presque un an) et il n'y a aucune mention spécifique de cette vulnérabilité CSRF.
Le rapport 6scan suggère également un moyen de résoudre le problème manuellement: il suggère de modifier manuellement wp-comments-post.php pour ajouter du code qui vérifie en gros que $_SERVER[ "HTTP_REFERER" ]
correspond à $_SERVER[ "HTTP_Host" ]
.
J'utilise Wordpress 3.5.1 (actuellement la version la plus récente). Wordpress est-il vraiment vulnérable à une vulnérabilité de type "commentaire de commentaire de message falsifié"? Ou le rapport 6scan est-il faux?
Je sais que les anciennes versions de Wordpress comportaient certaines vulnérabilités CSRF, mais je crois que celles-ci ont été corrigées. Personnellement, je trouve assez crédible la prétention d'une vulnérabilité - mais je pensais pouvoir vérifier auprès des autres.
Ceci est une fausse alerte. De nombreux "programmes de sécurité" le font. Cela s'appelle FUD .
WordPress ne vérifie pas l'en-tête Referer
, car il est souvent vide et les vrais spammeurs envoient de toute façon l'URL du site sous la forme Referer
.
Mais tous les champs de commentaires sont nettoyés, ainsi aucun code nuisible ne sera injecté. Installez un plugin anti-spam, et tout va bien. Ce rapport est évidemment faux.