WP Cerber Security 6.2

English version: WP Cerber Security 6.2

Nouvelles fonctionnalités

Protection contre une attaque par déni de service (DoS) qui exploite une vulnérabilité récemment découverte ( CVE-2018-6389 ). Ce n'est pas une vulnérabilité critique et ne permet pas à un pirate de pénétrer dans un site Web victime. C'est plutôt un défaut qui permet à n'importe qui de mettre facilement un site Web sous WordPress à genoux. Les mauvais acteurs peuvent l'utiliser pour faire tomber un site Web. L'attaque peut être lancée à partir de n'importe quel ordinateur par n'importe qui. Aucune connaissance ou logiciel particulier n'est nécessaire.

Le mécanisme de protection est désactivé par défaut. Pour l'activer, allez dans l'onglet Durcissement et activez Bloquer l'accès non autorisé à load-scripts.php et load-styles.php . Après avoir activé ce paramètre, un ensemble de règles de sécurité sera ajouté au fichier .htaccess.

Améliorations

• L'algorithme Traffic Inspector détecte plus précisément les extensions malformées et doubles comme .php.jpg .
• Les listes d'accès acceptent désormais les adresses IPv6 sous n'importe quelle forme. Vous pouvez entrer un IPv6 abrégé (forme courte) ou un IPv6 complet. Un IPv6 complet sera raccourci à la représentation courte de l'adresse IPv6. Toutes les adresses IP existantes dans les listes d'accès seront converties.

Bugs corrigés

• Si l'API REST est bloquée , une requête avec une URL spécialement malformée peut contourner la protection. Merci à Tomasz Wasiak.
• Une plage IPv4 dans les listes d'accès peut ne pas fonctionner comme prévu, selon les paramètres du serveur/site.

En savoir plus sur CVE-2018-6389

• https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
• https://thehackernews.com/2018/02/wordpress-dos-exploit.html