Alerte de Sécurité pour plusieurs plugin WordPress
La sécurité n’a pas de répit, hier Global Security Mag nous signalait des failles de sécurité concernant 11 plugin, et voilà qu’aujourd’hui six autres plugin présentent des risques potentiels pour les sites WordPress qui les utilisent.
Les plugins porteurs d’une faille de sécurité
- WordPress Echelon : upload de fichier – 13 mai 2014
Description de la Vulnérabilité : Un attaquant peut envoyer un fichier malveillant au travers du plugin, afin par exemple de télécharger un cheval de Troie.
- WordPress Themebox : Cross Site Scripting de CU3ER – 13 mai 2014
Description de la Vulnérabilité : Le plugin ne filtre pas les données reçues avant de les insérer dans les documents HTML générés, un attaquant peut donc déclencher un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web
- WordPress Webfolio : Cross Site Scripting de CU3ER – 13 mai 2014
- WordPress Elite Force : Cross Site Scripting de CU3ER – 13 mai 2014
- WordPress Los Angeles : Cross Site Scripting de CU3ER – 13 mai 2014
- WordPress ShapeShifter : Cross Site Scripting de CU3ER – 13 mai 2014
Quelques rappels de sécurité pour votre blog :
- N’utiliser pas l’utilisateur “admin”
- Mettez à jour vos plugin et vos thèmes
- Sécurisez vos mots de passe
- Limitez le nombre de tentatives de connexion avec le plugin Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site
- Utilisez au moins un plugin de sécurité pour votre site WordPress
Une sauvegarde régulière de la totalité de votre site WordPress est nécessaire afin de palier à tout problème.
Publié à l'origine le : 14 mai 2014 @ 8 h 20 min
