🧐 Problème
Certaines extensions de sécurité affichent une alerte de faux positif concernant HBook. Rassurez-vous, il s'agit bien d'un faux positif.
Pas d'inquiétude : HBook ne présente aucune faille de sécurité !
Pourquoi cette fausse alerte s'affiche-t-elle ?
L'extension de sécurité de votre site WordPress utilise les résultats de l'analyse WordFence. WordFence a signalé un faux positif.
Comment puis-je être sûr qu'il s'agit d'un faux positif ?
Il existe différents aspects qui sont incohérents dans le rapport de sécurité de votre extension de sécurité, et vous pouvez facilement les identifier.
Nom d'extension incorrect et références à wordpress.org
Il est fait mention d'une extension intitulée “Booking Calendar - Event calendar”, qui n'est pas HBook de Maestrel. Il s'agit d'une extension qui était hébergée sur wordpress.org et qui a été archivée en 2022, et qui utilise malheureusement le slug “hbook” : https://wordpress.org/plugins/hbook/,
WordFence Scan identifie à tort l'extension HBook installée sur votre site WordPress comme étant cette extension, qui n'a aucun rapport.
HBook, développé par Maestrel, n'a jamais été hébergé sur wordpress.org.
Des informations inexactes et incohérentes dans le rapport
Si vous examinez attentivement le rapport, vous constaterez qu'il comporte des incohérences et qu'il mélange des références à HBook de Maestrel et à l'extension archivée sur WordPress.org.
Si vous cliquez sur le lien vers un produit CodeCanyon dans la section “References”, vous constaterez qu'il ne renvoie pas vers notre extension HBook sur CodeCanyon. Le lien que WordFence ajoute à titre de référence concerne un produit PhotoDune qui a été supprimé…
Qu'en est-il de la vulnérabilité signalée ?
La vulnérabilité mentionnée fait référence à trois paramètres qui sont effectivement présents dans notre extension HBook. Il s'agit des valeurs correspondant au code ISO du pays, ainsi qu'aux codes ISO des États-Unis et du Canada.
Cependant, ces données ne sont jamais affichées par HBook. Ce que nous utilisons, c'est le pays renvoyé (dans les fonctions HBook) pour le code ISO enregistré.
Lors du développement de nos produits, nous accordons une grande attention aux risques potentiels et déterminons dans quels cas un nettoyage (sanitization) et une échappement (filtering) des données sont nécessaires.
En résumé, tout va bien, et l'extension HBook de Maestrel ne présente aucune faille de sécurité. 🙂