Depuis le 22 Octobre, l’ensemble des plugin et thèmes de WordPress semblaient être dépourvus de failles de sécurité. Loin s’en faut, les failles ont été plus longues à apparaître.

Poodle n’a pas fini de faire parler de lui

Je vous ai parlé dans l’Alerte de sécurité du 16 Octobre 2014, de Poodle (pour “Padding Oracle on Downgraded Legacy Encryption”),qui est une faille qui affecte un protocole de chiffrement SSL.

La vulnérabilité permet à un pirate de devenir le « man in the middle » (celui qui voit tout) d’une conversation entre votre navigateur et un serveur Web et ainsi surveiller les données sécurisées, voler des numéros de carte de crédit, etc… Cela signifie que si vous exécutez un site d’e-commerce en utilisant un plugin tel que WooCommerce et si votre site communique avec une passerelle de paiement comme PayPal ou Authorize.net, votre site risque d’être affecté. Voyez avec votre hébergeur les mesures qu’il a mis en place.

faille de sécurité

Liste Noire Google

Depuis le week-end dernier, Google a mis sur liste noire deux sites très connus des surfeurs, « bit.ly » et « del.icio.us », comme hébergeant des malwares. Même si vous n’êtes pas d’accord avec la position de Google de « blacklister » ces deux sites, gardez à l’esprit que si les sites restent sur la liste noire, un lien vers ces sites peut nuire à votre classement dans le moteur de recherche.

Il est donc fortement conseillé d’examiner attentivement vos liens, modifiez les liens raccourcis créé avec « bit.ly » et remplacez les par des liens créé avec Pretty Link, de même pour les liens pointant vers del.icio.us sont à remplacer remplacez par des liens vers Delicious.com.

 

Alerte de Sécurité WordPress – 30 Octobre 2014

Liste des éléments WordPress présentant des failles

Une injection SQL est l’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité

Possibilité d’injection à distance de code malveillant par un attaquant

Un attaquant peut télécharger tous les fichiers présents sur le serveur

Faiblesses dans la gestion des autorisations , privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur

Un attaquant peut uploader un fichier illicite sur WordPress Formidable Forms, afin par exemple de déposer un Cheval de Troie

Un attaquant peut uploader des fichiers illicites sur WordPress, afin par exemple de déposer un Cheval de Troie

La faille permet d’injecter des commandes SQL directement dans le plugin et ainsi donner l’accès aux identifiants du site

Un attaquant avec le rôle d’administrateur peut insérer du code qui sera exécuté quotidiennement via wp-cron job

Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page

A chaque nouvelle alerte vous êtes en mesure de constater que pas un thème ou un plugin soit exempt de faille, certaines sont résolues avant même que des sites spécialisées ne les découvrent, alors que d’autres traînent parfois des mois leur problème de sécurité, avant d’être réparé.

 

Sécurité WordPress

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour la sécurité de votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.


 

Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!

 

BRANDT Valentin

J'ai travaillé dans l'informatique pendant près de 30 ans. De la formation, la maintenance, le développement, et le management, j'ai touché à presque tous les domaines. Maintenant que je ne travaille plus, je m'intéresse avant tout à Wordpress et Android.

Ne manquez pas nos autres contenus :