Plugin WordPress : Alerte de Sécurité – 08 Avril 2014

Alerte de Sécurité portant sur certains plugins WordPress

La sécurité est trop souvent négligée par les propriétaires de sites Internet, WordPress ou autres. Il est toujours utile de rappeler que si des attaques réussissent, c’est que l’homme derrière ces blogs a été faillible et n’a pas veillé à protéger son bien.

Ne soyez pas passifs en attendant que votre blog soit piraté, prenez en compte les mesures de sécurité nécessaires pour faire de votre blog, un rempart contre les attaques.

Cette semaine Global Security Mag nous signale trois failles de sécurité portant sur des plugins.
Vulnérabilité et Sécurité WordPress

Description de la Vulnérabilité : Un attaquant authentifié peut employer le script classes/Admin.php du plugin afin d’injecter des commandes shellet exécuter du code.

Description de la Vulnérabilité : Les attaques de type cross-site request forgery (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l’utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés.

Description de la Vulnérabilité : WordPress Social Connect ne filtre pas les données reçues avant de les insérer dans les documents HTML générés, un attaquant peut donc déclencher un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web

Alerte de sécurité plugin WordPress

Rappel de Sécurité:

Une sauvegarde régulière de la totalité  de votre site WordPress est nécessaire afin de palier à tout problème. 

Photo by altemark

Publié à l'origine le : 8 avril 2014 @ 10 h 48 min

Pour compléter votre lecture.