Depuis que WordPress existe, certaines personnes ont propagé l’idée que notre CMS préféré est un véritable cauchemar en terme de sécurité et qu’il est constamment vulnérable aux attaques. J’ai lu de nombreux articles défendant le pour et le contre, les comparatifs, etc. sur la sécurité de WordPress, et après analyse, j’en suis arrivé à la conclusion que WordPress est aussi sécurisé que tout autre CMS.
WordPress est actuellement le CMS le plus utilisé dans le monde et, il est présent sur 25 pour cent des sites Internet. Soyons réaliste un instant. Si un quart des sites Web fonctionnent sous WordPress, ne croyez vous pas qu’il soit suffisamment sécurisé?
Pour un pirate, sachant que WordPress est installé sur tellement de sites équivaut à vouloir déterminer comment exposer des vulnérabilités, il doit être en mesure de cibler le plus grand nombre de sites possibles. Cela peut être bon et mauvais, mais cela ne signifie pas que WordPress n’est pas un CMS sécurisé.
Alerte de sécurité WordPress – 23-11-2015
Nous vous informons régulièrement des problèmes de sécurité liés au monde WordPress, core, thème et plugin, ne passez pas à côté de l’information qui vous pourrait être vitale.
[Tweet « Failles de sécurité détectées dans 38 plugin et thèmes WordPress »]- WordPress Category and Page Icons – Upload de Fichiers
- WordPress ajax-load-more Authenticated Arbitrary2.8.2 – Upload de Fichiers
- WordPress Users Ultra version 1.5.50 – Upload de Fichiers
- WordPress Vertical Image Slider – Cross Site Scripting
- WordPress CP Reservation Calendar – Injection SQL
- WordPress plugin Pods version <= 2.4.3 – Cross Site Scripting & Cross Site Request Forgery
- WordPress Ajax Pagination Plugin version 1.1 – Inclusion de fichier local
- All In One WP Security & Firewall version <= 3.9.7 – Cross-Site Scripting
- Duplicator <= 0.5.26 – Cross-Site Scripting
- Users Ultra Membership Plugin version <= 1.5.58 – Upload de Fichiers
- WooCommerce version <= 2.4.8 – Cross-Site Scripting
- WordPress CP Reservation Calendar – Injection SQL
- CKEditor for WordPress version <= 4.5.3 – Cross-Site Scripting
- My Category Order version <= 4.3 – Cross-Site Scripting
- Easy Table version <= 1.5.2 – Cross-Site Scripting
- WP Google Fonts version <= 3.1.3 – Cross-Site Scripting
- WP Social Bookmarking Light version <= 1.7.9 – Cross-Site Scripting
- Category Order and Taxonomy Terms Order version <= 1.4.4 – Cross-Site Scripting
- My Page Order version <= 4.3 – Cross-Site Scripting
- Pretty Link Lite version <= 1.6.7 – Injection SQL
- SEO SearchTerms Tagging version <= 2 1.535 – Injection SQL
- Display Widgets version <= 2.03 – Cross-Site Scripting
- AddThis Sharing Buttons version <= 5.0.12 – Cross-Site Scripting
- 404 to 301 version <= 2.0.2 – Injection SQL
- Add Link to Facebook version <= 2.2.7 – Cross-Site Scripting
- WP RSS Multi Importer version <= 3.15 – Injection SQL & Cross-Site Scripting
- Master Slider version <= 2.5.1 – Injection SQL
- Tribulant Slideshow Gallery version <= 1.5.3 – Téléchargement arbitraire de fichiers & Cross-Site Scripting
- Contact Form Builder version <= 1.0.24 – Injection SQL
- Floating Social Media Icon version <= 2.1 – Cross-Site Scripting
- JW Player 6 Plugin for WordPress version <= 2.1.14 – Cross-Site Scripting
- Google Language Translator version <= 4.0.9 – Cross-Site Scripting
- Dynamic Widgets version <= 1.5.10 – Cross-Site Scripting
- Slider version <= 2.8.6 – Injection SQL
- WordPress Work-The-Flow Plugin version 1.2.1 – Téléchargement arbitraire de fichiers
- WordPress Work The Flow File Upload version 2.5.2 – Téléchargement arbitraire de fichiers
- WordPress Vertical Image Slider – Cross Site Scripting
- WordPress LineNity Premium Theme – Inclusion de fichier local
[Tweet « Vulnérabilités découvertes dans 38 plugin et thèmes WordPress »]
Aucune faille n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!
Conseils pour sécuriser votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Login LockDown
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!
Publié à l'origine le : 23 novembre 2015 @ 15 h 51 min
