Alerte de Sécurité WordPress, Apple, Windows – 07 Novembre 2014

Les problèmes de sécurité ne cessent de nous gâcher la vie, en tant qu’administrateurs de site Internet. Mais voilà qu’un nouveau malware du nom de  WireLucker, ne s’attaque qu’aux matériels de la marque Apple. iPhones, iPads et Macs sont victimes d’un malware nommé WireLurker qui vole des renseignements personnels. Les objectifs du malware sont mal connus à l’heure actuelle, mais il s’attaque en premier à OS X ainsi qu’a iOS mobiles.

Quand un mobile est connecté à un Mac infecté, le virus se propage. Il installe des applications malveillantes sur l’appareil, et les utilise pour voler des informations. A l’heure actuelle WireLucker affecte seulement les propriétaires de produits d’Apple en Chine, mais il a le potentiel de se propager ailleurs.

Faille de sécurité apple OS X

Informations de sécurité en vrac:

  • Une faille de sécurité a été détectée, par un hacker suédois, dans le système OS X Yosemite d’Apple
  • Des failles de sécurité ont été détectées dans plusieurs applications mobiles (iOS et Android)
  • Faille dans Internet Explorer
  • Nouvelle faille dans phpMyAdmin
  • Vulnérabilité de Windows 8 et 8.1 au travers du pilote win32k.sys (Elévation de privilèges)
  • Faille dans la librairie ffmpeg (utilisée par VLC Player)
  • Rovinix infecte 13 000 PC en Grande Bretagne

Pour ceux que cela pourrait intéressé, voici une liste de sites victimes  de Cross Site Scripting

Mauvaise journée pour la sécurité en générale, et rien ni personne ne sait comment cela finira.

Alerte de Sécurité WordPress – 06 Novembre 2014

faille de sécurité

Certaines failles concernant des plusgin n’ont toujours pas été  corrigées, ce qui laisse à penser que les développeurs, soit ne savent pas les réparer, soit ne sont pas intéressés par les réparer, dans les deux cas la situation concernant ces plugin est inquiétante.

Liste des éléments WordPress présentant des failles

[alert-note]Un attaquant local peut lire un fichier de WordPress Amazon Affiliate Shop, afin d’obtenir des informations sensibles[/alert-note] [alert-note]La faille permet d’injecter des commandes SQL directement dans le plugin et ainsi donner l’accès aux identifiants du site[/alert-note] [alert-note]Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note] [alert-note]SSRF (Server Side Request Forgery) Un attaquant peut crééer des requêtes et accéder directement au système central des serveurs[/alert-note] [alert-note]Un attaquant peut uploader un fichier illicite sur WordPress Gmedia Gallery, afin par exemple de déposer un Cheval de Troie[/alert-note] [alert-note]Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service[/alert-note]

Sécurité WordPress

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour la sécurité de votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.


 Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!

 

 

Publié à l'origine le : 7 novembre 2014 @ 10 h 15 min

Pour compléter votre lecture.