Alerte de Sécurité WordPress | Apple | Linux – 28 Janvier 2015

Une jeune britannique de 7 ans, de Dulwich au sud de Londres,  a réussi à pirater un hot-spot Wi-fi public et voler des données provenant des appareils connectés à cette borne en 10 minutes et 54 secondes, et ce en s’appuyant uniquement sur des didacticiels vidéos disponibles gratuitement.

Après avoir regardé une vidéo sur le piratage d’un réseau, Betsy a été en mesure d’appliquer ce qu’elle avait vu.

La méthode utilisée par la jeune fille est souvent exploitée par les cybercriminels pour intercepter le trafic en provenance de périphériques connectés au réseau sans fil, car toute la communication entre l’ordinateur de la victime et le serveur traverse ces installations.

L’expérience a été mise en place, par un fournisseur de réseau privé sécurisé (VPN) qui en profite pour se faire de la publicité, pour sensibiliser les utilisateurs des hot-spots Wi-fi au danger d’accéder à Internet via une connexion non sécurisée.

Malgré le nombre croissant d’alerte relatives à la sécurité des réseaux publics, beaucoup d’utilisateurs ne sont pas conscients des dangers et utilisent ces réseaux non sécurisés pour se connecter à des comptes personnels, mais aussi pour accéder à des services bancaires en ligne, ouvrant ainsi la porte au premier attaquant venu pour récupérer tout le trafic en texte brut.

Alertes en Vrac (hors WordPress)

• La moitié des entreprises dans le monde entier par Hit attaques DDoS

• Un bug très critique permettant l’exécution de code affecte la plupart des systèmes Linux

• Le(s) pirate(s) ayant volé les photos de Taylor Swift sur Instagram demande une rançon de 3 Bitcoins (environ 675 Euros) faute de quoi ils les publieront sur Internet

• Un bug dans la façon dont Android gère les connexions Wi-fi Direct permet de redémarrer le dispositif (n’importe quel appareil, téléphones, caméras, consoles de jeux,ordinateurs ou imprimantes) lors de la recherche de connexion.

• Le Trojan Tubrosa  gonfle articiellement le nombre de vues des vidéos sur YouTube

• Les données personnelles de plus de 20 millions d’utilisateurs de sites de rencontres ont été volées

• Les pirates du groupes Lizard Squad ont attaqué le site de la compagnie aérienne Malaysia Airlines

• Plusieurs sous domaines du site nasa.gov souffre de Cross Site Scripting

• Les produits Apple OS X 10.10.2, iOS 8.1.3, Safari 8.0.3, Safari 7.1.3, and Safari 6.2.3 et Apple TV 7.0.3 victimes de feuilles de sécurité

• Android WiFi-Direct – Déni de Service

• Les routeurs D-Link DSL-2740R sont victime d’une faille permettant à un attaquant de modifier le DNS

Un adolescent anglais de 17 ans s’est suicidé après avoir reçu de faux emails de la police de Cheshire (ransomware), selon lesquels il avaient navigué sur des sites illégaux et qu’il aurait à payer une amende de ₤100 ( €135)

Alerte de Sécurité WordPress – 28 Janvier 2015

Liste des plugin et thèmes WordPress présentant des failles

• WordPress Revolution Slider  – Inclusion de Fichiers distants

[alert-note]Un attaquant peut écrire arbitrairement des données dans un fichier et exécuter le code entré sans que l’administrateur soit averti[/alert-note]

• WordPress RedSteel Theme – Téléchargement Arbitraire de Fichiers

[alert-note]Faiblesses dans la gestion des autorisations, privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note]

• WordPress Count-per-Day – Upload de fichiers

[alert-note]Un attaquant peut uploader un fichier illicite afin, par exemple, de déposer un Cheval de Troie.[/alert-note]

• WordPress gallery-bank – Upload de fichiers

• WordPress HT-Poi – Upload de fichier

• WordPress Sexy Contact Form – Upload de fichiers

 

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour améliorer la sécurité de votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Limit Login Attempts
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

---

 La sécurité nous concerne tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

Publié à l'origine le : 28 janvier 2015 @ 15 h 24 min