La semaine passée a été mauvaise en ce qui concerne la sécurité de WordPress. Alors qu’Apple a réussi à réparer le bug Bash ShellShocker, les serveurs fonctionnant sous Linux ne semblent avoir que des patchs provisoires, mais que semble-il la faille, introduite, sous forme de test, il y a plus de 20 ans risque de faire plus de dégâts que supposé à l’origine.

Sécurité plugin WordPress

Alerte de Sécurité WordPress – 30 Septembre 2014

Aux failles détectées dans les plugin, se rajoutent aujourd’hui des problèmes de sécurité dans deux thèmes, lote27 and NativeChurch, tout deux offrant la possibilité à un attaquant de télécharger les fichiers contenus sur le serveur.

Il devient difficile de protéger votre site WordPress, faites en sorte de tenir compte des avertissements afin de palier à tout problème de sécurité prévisible.

Liste des éléments présentant une faille de sécurité

Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page

Faiblesses dans la gestion des autorisations , privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur

Un attaquant peut écrire arbitrairement des données dans un fichier et exécuter le code entré sans que l’administrateur soit averti

Un attaquant peut traverser les répertoires dans download.php de WordPress Authentic, afin de lire un fichier situé hors de la racine du service

Un attaquant peut provoquer une injection SQL, lire un chemin via downloadAttachment.php, traverser les répertoires et contourner l’authentification pour accéder à downloadAttachment.php

Un attaquant peut télécharger tous les fichiers présents sur le serveur


La sécurité de votre site WordPress est compromise dès lors que vous ne tenez pas compte des avertissements donnés. Si dans la liste ci-dessus, vous repérez un plugin que vous utilisez, il vaut mieux le désinstaller avant qu’il ne soit trop tard.

Sécurité WordPress

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour sécuriser votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel de Sécurité

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.


Partagez les informations concernant la sécurité, nous sommes concernés!

BRANDT Valentin

J'ai travaillé dans l'informatique pendant près de 30 ans. De la formation, la maintenance, le développement, et le management, j'ai touché à presque tous les domaines. Maintenant que je ne travaille plus, je m'intéresse avant tout à Wordpress et Android.

Ne manquez pas nos autres contenus :