WP Cerber Security 6.2

English version: WP Cerber Security 6.2

Nouvelles fonctionnalités

Protection contre les attaques par déni de service (DoS) exploitant une vulnérabilité récemment découverte ( CVE-2018-6389 ). Cette vulnérabilité n'est pas critique et ne permet pas à un pirate d'accéder au site web de la victime. Il s'agit plutôt d'une faille permettant à quiconque de rendre inaccessible un site web WordPress. Des personnes malveillantes peuvent l'utiliser pour mettre un site hors service. L'attaque peut être lancée depuis n'importe quel ordinateur par n'importe qui. Aucune connaissance ou logiciel particulier n'est requis.

Le mécanisme de protection est désactivé par défaut. Pour l'activer, rendez-vous dans l'onglet « Renforcement » et activez l'option « Bloquer l'accès non autorisé aux fichiers load-scripts.php et load-styles.php » . Une fois ce paramètre activé, des règles de sécurité seront ajoutées au fichier .htaccess.

Améliorations

• L'algorithme de Traffic Inspector détecte avec plus de précision les extensions malformées et en double comme .php.jpg .
• Les listes de contrôle d'accès acceptent désormais les adresses IPv6 sous toutes leurs formes. Vous pouvez saisir une adresse IPv6 abrégée ou complète. Dans ce dernier cas, l'adresse IPv6 complète sera convertie en sa représentation abrégée. Toutes les adresses IP déjà présentes dans les listes de contrôle d'accès seront converties.

Bugs corrigés

• Si l'API REST est bloquée , une requête avec une URL spécialement malformée peut contourner la protection. Merci à Tomasz Wasiak.
• Une plage d'adresses IPv4 dans les listes d'accès peut ne pas fonctionner comme prévu, en fonction des paramètres du serveur/site.

Pour en savoir plus sur la vulnérabilité CVE-2018-6389, consultez le site web.

• https://securityaffairs.co/wordpress/68709/hacking/cve-2018-6389-wordpress-dos-flaw.html
• https://thehackernews.com/2018/02/wordpress-dos-exploit.html