Alerte de Sécurité portant sur certains plugins WordPress
La sécurité est trop souvent négligée par les propriétaires de sites Internet, WordPress ou autres. Il est toujours utile de rappeler que si des attaques réussissent, c’est que l’homme derrière ces blogs a été faillible et n’a pas veillé à protéger son bien.
Ne soyez pas passifs en attendant que votre blog soit piraté, prenez en compte les mesures de sécurité nécessaires pour faire de votre blog, un rempart contre les attaques.
Cette semaine Global Security Mag nous signale trois failles de sécurité portant sur des plugins.
- WordPress WP-Filebase Download Manager: Execution de code via Admin.php – 7 April 2014
Description de la Vulnérabilité : Un attaquant authentifié peut employer le script classes/Admin.php du plugin afin d’injecter des commandes shellet exécuter du code.
- WordPress Post Expirator: Cross Site Request Forgery – 4 April 2014
Description de la Vulnérabilité : Les attaques de type cross-site request forgery (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l’utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés.
- WordPress User Domain Whitelist: Cross Site Request Forgery – 4 April 2014
- WordPress Duplicate Post: Cross Site Scripting – 3 April 2014
Description de la Vulnérabilité : WordPress Social Connect ne filtre pas les données reçues avant de les insérer dans les documents HTML générés, un attaquant peut donc déclencher un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web
- WordPress mTouch Quiz: Cross Site Scripting – 3 April 2014
- WordPress Subscribe To Comments Reloaded: Cross Site Scripting – 3 April 2014
Rappel de Sécurité:
Une sauvegarde régulière de la totalité de votre site WordPress est nécessaire afin de palier à tout problème.
Photo by altemark 
Publié à l'origine le : 8 avril 2014 @ 10 h 48 min
