Les problèmes de sécurité ne prennent pas de vacances, quels que soient les supports tous les jours sont porteurs de mauvaises nouvelles. L’ environnement WordPress, et certains plugin en particulier, sont cette semaine encore victimes de failles pouvant porter atteinte à la sécuité de vos sites sous WordPress.
Alerte de Sécurité – 16 Juillet 2014
Les plugin et les thèmes sont la source de nombreuses attaques, lorsqu’ils ne proviennent pas de sources sérieuses. En chargeant n’importe quoi sur votre site WordPress, vous ouvrez la porte à tous les dangers, et vous seuls êtes en mesure de palier à ces problèmes de sécurité.
Dans l’article le danger des plugin WordPress nous avons passé en revue les les dangers inhérents à l’installation de plugin, si vous ne l’avez pas encore lu, ne perdez pas de temps.
Ne soyez pas passifs en attendant que votre blog soit piraté, prenez les mesures nécessaires à la sécurisation de votre blog, les pirates ont beaucoup de ressources et d’imagination, alors ne laissez pas des failles de sécurité gâcher vos vacances.
Liste des plugin présentant une faille de sécurité
- WordPress Easy Banners : Cross Site Scripting – 16 juillet 2014
Description de la Vulnérabilité : Le plugin ne filtre pas les données reçues avant de les insérer dans les documents HTML générés, un attaquant peut donc déclencher un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web
- WordPress Random Banner : Cross Site Scripting – 16 juillet 2014
- WordPress Custom Banners : Cross Site Scripting – 16 juillet 2014
- WordPress Construction Mode : Cross Site Scripting – 16 juillet 2014
- WordPress bannerman : Cross Site Scripting -16 juillet 2014
- WordPress blogstand-smart-banner : Cross Site Scripting – 16 juillet 2014
- WordPress Meta Slider : Cross Site Scripting – 15 juillet 2014
- WordPress Theme My Login : traversée de répertoire – 15 juillet 2014
Description de la Vulnérabilité : Un attaquant peut traverser les répertoires de WordPress SCv1, afin de lire un fichier situé hors de la racine du service.
- WordPress Simple Share Buttons Adder : Cross Site Scripting – 11 juillet 2014
- WordPress Login rebuilder : Cross Site Request Forgery – 11 juillet 2014
Description de la Vulnérabilité : Les attaques de type cross-site request forgery (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l’utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés.
Conseils de sécurité pour conserver votre site WordPress en sécurité
- Ne pas utiliser “admin” comme administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour vos thèmes et plugin
- Sécurisez vos mots de passe
- Limitez le nombre de tentatives de connexion avec Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site
- Utilisez au moins un plugin de sécurité
Rappel de Sécurité
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
Publié à l'origine le : 16 juillet 2014 @ 14 h 50 min