Alerte Sécurité et Vulnérabilité
Le site Global Security Mag rapporte une liste de vulnérabilité dans plus de 10 plugins. Je vous suggère donc de désinstaller ces plugins en attendant une mise à jour sécurisée.
Voici la liste des vulnérabilités découvertes entre le 23 Décembre 2013 et le 07 Janvier 2014, les explications pour ces alertes peuvent être consultées sur la page Vulnérabilités du site Global Security Mag :
- WordPress WP EZLead Pro : Cross Site Scripting 7 janvier 2014
- WordPress : Cross Site Scripting de edit-tags.php 7 janvier 2014
- WordPress : Cross Site Request Forgery de retrospam 7 janvier 2014
-
WordPress CevherShare: Cross Site Scripting – 6 January 2014
- WordPress S3 Video Plugin: Cross Site Scripting – 3 January 2014
- WordPress Broken Link Checker: Cross Site Scripting – 1 January 2014
- WordPress WP-Realty: Cross Site Scripting – 31 December 2012
- WordPress: information disclosure via options-writing.php – 26 December 2013
- WordPress: information disclosure via options.php – 26 December 2013
- WordPress Husker-Portfolio: Cross Site Request Forgery – 25 December 2013
- WordPress Spider Video Player: Cross Site Scripting – 25 December 2013
- WordPress photosmash: PHP code execution – 25 December 2013
- WordPress FormCraft: SQL injection – 25 December 2013
- WordPress Page Flip Image Gallery: PHP code execution – 25 December 2013
- WordPress DZS Video Gallery: reading SWF files – 25 December 2013
- WordPress Easy Career Openings: SQL injection – 23 December 2013
Les lignes en italiques représentent des failles de sécurité de WordPress, les autres concernent des failles de sécurité des plugins
WordPress et les plugins de sécurité
La sécurité est généralement un sujet que bien peu d’entre nous prennent au sérieux, jusqu’à ce qu’il soit trop tard. Votre site WordPress n’est peut être pas aussi bien protégé que vous le pensez.
Il y a plusieurs mesures que tous les utilisateurs de WordPress devraient prendre pour sécuriser leurs sites.
WordPress est il vulnérable ?
Il existe quelques facteurs, faisant partie intégrante de WordPress, qui rendent WordPress potentiellement vulnérable aux attaques, mais le principal facteur de vulnérabilité de WordPress repose sur son immense popularité .
Chaque jour, des centaines de nouvelles installations de WordPress sont mises en place sur un nombre incommensurable d’environnements de serveurs différents. Chaque installation sera alors modifiée avec des thèmes tiers et des plugins de différentes qualités et à la compatibilité parfois plus que douteuse. La faille de sécurité du plugin TimThumb et du répertoire des plugins WordPress.org qui a été piraté l’an dernier ont mis en évidence le problème des failles non corrigées. Il suffit d’un plugin ou d’un thème ayant une faille quelconque, pour aboutir à une menace majeure pour la sécurité .
Vous vous demandez peut-être ce que les pirates peuvent faire lorsqu’ils trouvent un site Web qu’ils peuvent violer. En réalité, ils ne sont limités que par leur imagination , mais des exemples populaires sont :
- Exécuter du code
- Créer des liens cachés vers des sites (dans l’espoir de stimuler les classements des moteurs de recherche)
- Rediriger les visiteurs vers des sites alternatifs (ce qui est exactement ce qui s’est passé lors de l’incident ci-dessus)
- Intégrer une porte dérobée, de sorte que l’accès peut resté acquis même lorsque les vulnérabilités ont disparus
Je tiens à préciser que tous les systèmes de gestion de contenu, comme WordPress, souffrent des mêmes vulnérabilités, c’est la nature de la bête. A un grand pouvoir est associé une grande responsabilité afin de s’assurer que vous gardez votre installation de WordPress sécurisée. La bonne nouvelle est que la sécurisation de votre site WordPress n’est pas un processus particulièrement difficile .
Comment sécuriser votre site WordPress ?
La liste des choses à faire peut paraître intimidente, mais en réalité , la majorité des conseils que vous trouverez ci-dessous sont soit un travail ponctuel, soit peuvent être fait en un clic de souris. Bien qu’il vous faudra mettre un peu la main à la pâte pour sécuriser votre site WordPress, l’alternative est impensable .
Pour une meilleure sécurité, voici ce que vous devez faire :
- Mettez à jour votre installation de WordPress dès qu’une nouvelle version est disponible.
- Gardez vos plugins et vos thèmes constamment à jour (même désactivés) .
- Ne jamais installer des thèmes ou plugins provenant d’une source non fiable.
- Créer des sauvegardes régulières de votre base de données et des fichiers.
- Créez un nouvel utilisateur ayant les droits de l’administrateur, connectez-vous en tant que l’utilisateur, et supprimez votre compte utilisateur « admin » . Assurez-vous de transférer les messages et les pages appartenant à l’ancien administrateur lors de cette modification.
- Ne publiez jamais le nom de votre compte d’administrateur sur votre blog (par exemple dans les méta-données en dessus d’un article). Au lieu de cela, choisissez d’afficher votre nom en tant que nom public (écran des paramètres de profil utilisateur ).
- Créez un mot de passe tout à fait unique pour votre compte, comprenant idéalement des lettres majuscules et minuscules, des chiffres et des symboles. J’aime combiner un mot complètement aléatoire avec des chiffres et au moins un symbole et remplacer une lettre similaire (par exemple « A » devient « @ » ou « E » devient « 3 »).
- Installez un plugin qui limite les tentatives de connexion, tel que Login Security Solution.
- Installer le plugin WordPress File Monitor Plus , afin d’être informé dès que des modifications sont apportées à votre site .
- Installez un ou plusieurs des excellents plugins de sécurité suivants : Wordfence Security , BulletProof Security , ou Better WP Security.
Il y a des étapes supplémentaires, et plus complexes, que vous pouvez accomplir pour renforcer encore la sécurité de votre installation WordPress. Après tout, il n’existe aucun site parfaitement sécurisé, donc il y a toujours quelque chose à faire pour mieux le protéger . Cependant, si vous avez suivi les 10 conseils ci-dessus vous serez plus efficacement protégé que la grande majorité des sites WordPress, et comme les pirates préfèrent aller vers les cibles faciles, ils évitent volontairement les plus difficiles .
J’ai juste un dernier conseil à vous donner : Assurez-vous que chaque ordinateur que vous utilisez est exempt de virus, de logiciels malveillants ou de logiciels espions. Toutes les recommandations ci-dessus ne serviront à rien si l’ ordinateur que vous utilisez est compromis.
Avez vous des suggestions ?
Etes-vous féru de sécurité WordPress ? Si oui, avez-vous des conseils supplémentaires qui peuvent aider les lecteurs à augmenter la sécurité de leur installation de WordPress ? Partagez vos idées, dans la section commentaires !
Publié à l'origine le : 8 janvier 2014 @ 8 h 29 min