Chaque jour nous sommes sont lot de problèmes de sécurité que des personnes mal intentionnées, tentent d’utiliser pour mettre à mal vos sites WordPress. C’est pourquoi vous devez constamment être à l’affût d’éventuelles failles de sécurité tant au niveau des plugin, que des thèmes voir même de WordPress.

Sécurité plugin WordPress

Nous vérifions régulièrement les alertes et failles de sécurité pouvant mettre en péril le bon fonctionnement de vos sites et nous vous informons régulièrement des problèmes auxquels vous pourriez faire face.

Alerte de Sécurité WordPress – 08 Septembre 2014

Huit nouvelles vulnérabilités sont à prendre en considération aujourd’hui:

Liste des éléments présentant une faille de sécurité

Un attaquant peut donc provoquer une injection SQL de WordPress Huge-IT Image Gallery, afin de lire ou modifier des données.

Les données reçues par le plugin ne sont pas filtrées avant d’être insérées dans les documents HTML générés. Un attaquant peut donc provoquer un Cross Site Scripting dans /wp-admin/post.php de WordPress All in One SEO Pack, afin d’exécuter du code JavaScript dans le contexte du site web.

Un attaquant peut récupérer les articles gérés avec WordPress Mobile Pack et protégés par mot de passe.

Les données reçues par le plugin ne sont pas filtrées avant d’être insérées dans les documents HTML générés. Un attaquant peut donc provoquer un Cross Site Scripting de WordPress Mobiloud, afin d’exécuter du code JavaScript dans le contexte du site web.

Le séquencement des requêtes avec des « nonce » n’est pas vérifié correctement. Les requêtes peuvent par exemple provenir d’une image affichée dans un document HTML. Un attaquant peut donc provoquer un Cross Site Request Forgery de WordPress Disqus Comment System, afin de forcer la victime à effectuer des opérations.

Les données provenant de l’utilisateur sont directement insérées dans un chemin d’accès. Les séquences comme « /.. » permettent alors de remonter dans l’arborescence. Un attaquant peut donc traverser les répertoires dans downloadfiles/download.php de WordPress wp-source-control, afin de lire un fichier situé hors de la racine du service.

Les données reçues ne sont pas filtrées avant d’être insérées dans les documents HTML générés. Un attaquant peut donc provoquer un Cross Site Scripting dans callback.php de WordPress Efence, afin d’exécuter du code JavaScript dans le contexte du site web.

Un attaquant peut donc provoquer un Cross Site Scripting de WordPress Cakifo, afin d’exécuter du code JavaScript dans le contexte du site web.

Sécurité WordPress

Conseils pour préserver la sécurité de votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurité tel que iThemes Security

Rappel de Sécurité

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

BRANDT Valentin

J'ai travaillé dans l'informatique pendant près de 30 ans. De la formation, la maintenance, le développement, et le management, j'ai touché à presque tous les domaines. Maintenant que je ne travaille plus, je m'intéresse avant tout à Wordpress et Android.

Ne manquez pas nos autres contenus :