Alerte de Sécurité portant sur certains plugins WordPress
Parce que la sécurité est une chose qui est trop souvent négligée par les propriétaires de sites WordPress ou autres, il est toujours bon de rappeler que si il y a des attaques qui réussissent c’est que l’homme derrière les blogs a été faillible et n’a pas veillé à protéger son bien.
Cette semaine encore Global Security Mag nous signale une série de failles portant sur différents plugins.
WordPress AdRotate: Injection SQL – 10 March 2014
Description de la Vulnérabilité : Une injection SQL est un type d’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.
WordPress NextGEN Gallery: directory traversal – 6 March 2014
Description de la Vulnérabilité : Les données de l’utilisateur du plugin NextGen Gallery sont directement insérées dans le chemin d’accès. Des séquences telles que «/ ..” peuvent ainsi être utilisées pour aller dans le répertoire supérieur. Un attaquant peut donc traverser les répertoires NextGen Gallery, afin de lire des fichiers en dehors de la racine
WordPress BP Group Documents: plusieurs vulnérabilités – 6 March 2014
Description des Vulnérabilités :
- Un attaquant peut provoquer un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web.
- Un attaquant peut provoquer un Cross Site Request Forgery, afin de forcer la victime à effectuer des opérations.
- Un attaquant peut lire les fichiers, afin d’obtenir des informations sensibles.
WordPress WP-Password: Cross Site Scripting- 4 March 2014
Description de la Vulnérabilité : Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d’injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page
WordPress Better WP Security: deux vulnérabilités – 4 March 2014
Description des Vulnérabilités :
- Un attaquant peut utiliser la base de données de sauvegarde, afin d’obtenir des informations sensibles.
- Un attaquant peut provoquer un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web.
WordPress Acunetix WP Security: Cross Site Request Forgery – 4 March 2014
Description de la Vulnérabilité : Les attaques de type cross-site request forgery (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l’utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés.
Attention : Vos sites WordPress sont en danger
La sécurité de votre site WordPress est compromise si vous ne tenez pas compte des avertissements de sécurité. Si vous repérez un plugin que vous utilisez, dans la liste ci-dessus, il vaut mieux le désinstaller avant qu’il ne soit trop tard.
Rappel de Sécurité:
Une sauvegarde régulière de la totalité de votre site WordPress est nécessaire afin de palier à tout problème.
Publié à l'origine le : 11 mars 2014 @ 12 h 17 min