WP Cerber Security 6.2

English version: WP Cerber Security 6.2

Nouvelles fonctionnalités

Protection contre une attaque par déni de service (DoS) qui exploite une vulnérabilité récemment découverte ( CVE-2018-6389 ). Il ne s'agit pas d'une vulnérabilité critique et ne permet pas à un pirate informatique de s'introduire dans le site Web d'une victime. Il s’agit plutôt d’une faille qui permet à quiconque de mettre facilement à genoux un site Web propulsé par WordPress. Les mauvais acteurs peuvent l’utiliser pour faire tomber un site Web. L’attaque peut être lancée depuis n’importe quel ordinateur par n’importe qui. Aucune connaissance ou logiciel particulier n'est nécessaire.

Le mécanisme de protection est désactivé par défaut. Pour l'activer, accédez à l'onglet Renforcement et activez Bloquer l'accès non autorisé à Load-scripts.php et Load-styles.php . Après avoir activé ce paramètre, un ensemble de règles de sécurité sera ajouté au fichier .htaccess.

Améliorations

• L’algorithme Traffic Inspector détecte plus précisément les extensions mal formées et doubles comme .php.jpg .
• Les listes d'accès acceptent désormais les adresses IPv6 sous n'importe quelle forme. Vous pouvez saisir un IPv6 raccourci (forme courte) ou un IPv6 complet. Un IPv6 complet sera raccourci à la représentation courte de l'adresse IPv6. Toutes les adresses IP existantes dans les listes d’accès seront converties.

Bugs corrigés

• Si l'API REST est bloquée , une requête avec une URL spécialement mal formée peut contourner la protection. Merci à Tomasz Wasiak.
• Une plage IPv4 dans les listes d'accès peut ne pas fonctionner comme prévu, en fonction des paramètres du serveur/site.

En savoir plus sur CVE-2018-6389

• https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
• https://thehackernews.com/2018/02/wordpress-dos-exploit.html