Malheureusement, les pirates et les spammeurs sont adeptes des failles des sécurité et ne manque pas d’espaces pour tenter de nuire à votre site web. Cela a toujours été un problème depuis le début d’Internet et ce sera probablement vrai encore longtemps.

Alerte de Sécurité WordPress – 21 Novembre 2014

Mauvaise semaine pour la sécurité WordPress:

  • WordPress vient de dévoiler la version 4.0.1 qui répare 8 problèmes de sécurité
  • Un faux plugin de sitemap, BWP Google XML Sitemaps (BWP-simple-GXS) est en réalité un malware qui injecte des liens vers des sites pour adultes
  • Les flux RSS des sites WordPress sont infectés par des codes malveillants
  • Les pirates réussissent à installer de faux plugin sur les sites WordPress, vérifiez régulièrement que les plugin de votre site sont bien ceux que vous avez installé.

Attention possesseurs de webcam!

Possesseurs de webcam, moniteur pour bébé ou caméra de sécurité à domicile, changez votre mot de passe dès à présent, les images de vos caméras sont publiées par un site russe qui tire parti du fait que les utilisateurs de ces appareils utilisent le mots de passe par défaut des appareils, tels que « 1234 », ou alors les fabricants, eux mêmes, divulguent sur leur site les mots de passe par défaut, ce qui facilite également le piratage. Il n’aura pas fallu longtemps pour que les pirates en fassent usage.

Si vous utilisez une webcam intégrée à un ordinateur portable ou un notebook, je vous conseille de bricoler un cache qui obstrue l’objectif de la webcam lorsque vous ne l’utilisez pas, ainsi d’éventuels pirates ne pourraient vous enregistrer.

webcam
<em>Source : <a href="http://www.iwatchlife.com/">iWatchlife</a></em>

Infos de sécurité en vrac:

  • Mandriva, Ubuntu, Debian et RedHat sont porteurs de faille de sécurité
  • Microsoft a publié une mise à jour non planifiée pour réparer une faille de sécurité activement exploitée pour pirater les serveurs Windows
  • Apple TV 7.0.2 – Exécution de code malveillant
  • Apple OS X 10.10.1 – Exécution de code malveillant
  • Apple OS X iOS 8.1.1  – Exécution de code malveillant

Une vulnérabilité est un trou ou une faiblesse dans une l’application, un plugin, ou un thème, qui peut être un défaut de conception ou un bug , qui permet à un attaquant de causer des dommages aux utilisateurs.

 sécurité WP

Liste des éléments WordPress présentant des failles

Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page

Un attaquant peut provoquer un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web

Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données

Un attaquant peut provoquer un Cross Site Request Forgery, afin de forcer la victime à effectuer des opérations

iMember 360 permet à des attaquants distants afin de détourner l’authentification des administrateurs pour les demandes

iMember 360 permet aux administrateurs distant authentifié d’exécuter des commandes arbitraires via des métacaractères du shell dans le paramètre i4w_trace

Une attaque réussie pourrait permettre à un attaquant anonyme gagne le contrôle de l’application et la possibilité d’utiliser toutes les fonctions du système d’exploitation qui sont disponibles à l’environnement de script

Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service

Faiblesses dans la gestion des autorisations, privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur

Exécution de commandes arbitraires 

Possibilité de télécharger les sauvegardes – Accès distant non authentifié de fichiers de sauvegarde via des noms de fichiers facilement à deviner

Mot de passe MySQL exposé

Effacer texte MySQL exposition de mot de passe via html zone de texte sous le panneau de configuration

 

Sécurité WordPress

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de domicile ouverte en le quittant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour la sécurité de votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.


 Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!

BRANDT Valentin

J'ai travaillé dans l'informatique pendant près de 30 ans. De la formation, la maintenance, le développement, et le management, j'ai touché à presque tous les domaines. Maintenant que je ne travaille plus, je m'intéresse avant tout à Wordpress et Android.

Ne manquez pas nos autres contenus :