WP Cerber Security 6.2

English version: WP Cerber Security 6.2

Nouvelles fonctionnalités

Protection contre une attaque par déni de service (DoS) exploitant une vulnérabilité récemment découverte ( CVE-2018-6389 ). Il ne s'agit pas d'une vulnérabilité critique et elle ne permet pas à un pirate de pénétrer dans le site web d'une victime. Il s'agit plutôt d'une faille permettant à n'importe qui de facilement mettre à genoux un site web WordPress. Des acteurs malveillants peuvent l'exploiter pour le faire tomber en panne. L'attaque peut être lancée depuis n'importe quel ordinateur par n'importe qui. Aucune connaissance ni logiciel particulier n'est requis.

Le mécanisme de protection est désactivé par défaut. Pour l'activer, accédez à l'onglet Renforcement et activez « Bloquer l'accès non autorisé à load-scripts.php et load-styles.php » . Après activation de ce paramètre, un ensemble de règles de sécurité sera ajouté au fichier .htaccess.

Améliorations

• L'algorithme Traffic Inspector détecte plus précisément les extensions malformées et doubles comme .php.jpg .
• Les listes d'accès acceptent désormais les adresses IPv6 sous toutes leurs formes. Vous pouvez saisir une adresse IPv6 raccourcie (forme courte) ou complète. Une adresse IPv6 complète sera raccourcie à la représentation courte de l'adresse IPv6. Toutes les adresses IP présentes dans les listes d'accès seront converties.

Bugs corrigés

• Si l'API REST est bloquée , une requête contenant une URL malformée peut contourner la protection. Merci à Tomasz Wasiak.
• Une plage IPv4 dans les listes d'accès peut ne pas fonctionner comme prévu, selon les paramètres du serveur/site.

En savoir plus sur CVE-2018-6389

• https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
• https://thehackernews.com/2018/02/wordpress-dos-exploit.html