Alerte de Sécurité portant sur certains plugins WordPress
La sécurité est trop souvent négligée par les propriétaires de sites Internet, WordPress ou autres. Il est toujours utile de rappeler que si des attaques réussissent, c’est que l’homme derrière ces blogs a été faillible et n’a pas veillé à protéger son bien.
Ne soyez pas passifs en attendant que votre blog soit piraté, prenez en compte les mesures de sécurité nécessaires pour faire de votre blog, un rempart contre les attaques.
Cette semaine Global Security Mag nous signale trois failles de sécurité portant sur des plugins
Les plugins porteurs d’une faille de sécurité
- WordPress Custom Background: file upload – 9 April 2014
Description de la Vulnérabilité : Le plugin peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté.
Un attaquant peut donc envoyer un fichier malveillant sur fond WordPress personnalisé, afin par exemple de télécharger un cheval de Troie.
- WordPress Felici: file upload – 9 April 2014
- WordPress WP-Filebase Download Manager: code execution via Admin.php – 7 April 2014
Description de la Vulnérabilité : Un attaquant authentifié peut employer le script de classes / admin.php afin d’injecter des commandes shell, il peut donc employer admin.php de WordPress WP-Filebase Download Manager, afin d’exécuter du code.
Rappel de Sécurité:
Une sauvegarde régulière de la totalité de votre site WordPress est nécessaire afin de palier à tout problème.
Publié à l'origine le : 15 avril 2014 @ 7 h 21 min