La sécurité de votre site WordPress est une nécessité de chaque jour. Tous les jours de nouvelles failles sont découvertes, si vous n’y palliez pas rapidement, votre site sera à risques, et potentiellement piratable.
Chaque jour nous vérifions les alertes et failles de sécurité pouvant interférer avec le bon fonctionnement de vos sites et nous vous informons régulièrement des problèmes auxquels vous pourriez faire face.
Cette semaine encore, Global Security Mag nous avertit sur de nouvelles failles de sécurité sur certains plugin, ainsi que sur des failles touchant directement le cœur de WordPress.
Alerte de Sécurité WordPress – 12 Août 2014
La grande majorité des sites WordPress utilisent un ou plusieurs plugin, ce qui facilite la propagation des failles de sécurité et rend d’autant plus difficile la surveillance, WordPress équipant plus de 22% des sites Internet.
Liste des plugin des failles de sécurité
- WordPress My Calendar : Cross Site Scripting – 11 août 2014
Description de la Vulnérabilité : Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d’injecter du contenu dans une page, et permettant ainsi de provoquer des actions sur les navigateurs web visitant la page
- WordPress DW Question and Answer : accès en lecture et écriture – 7 août 2014
Description de la Vulnérabilité : Un attaquant peut contourner les restrictions d’accès du plugin, afin de lire ou modifier des données.
- WordPress : Multiples vulnérabilités dans WordPress – 7 août 2014
Description de la Vulnérabilité : De multiples vulnérabilités ont été corrigées dans WordPress. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS). Sont affectées toutes les installation utilisant une version de WordPress antérieures à 3.9.2
- exécution de code arbitraire à distance
- atteinte à la confidentialité des données
- injection de code indirecte à distance
- injection de requêtes illégitimes par rebond
- WordPress Gallery Objects : injection SQL – 6 août 2014
Description de la Vulnérabilité : Une injection SQL est un type d’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité
Soyez prévoyant, n’’attendez pas pas qu’une de ses failles permette à un hacker d’accéder à votre site et de tout détruire. Mettez en place des barrières de sécurité , et gardez à l’esprit que ce n’est pas parce qu’ aujourd’hui votre site est sécurisé qu’il le sera encore demain.
Conseils pour préserver la sécurité de site WordPress
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site
- Utilisez au moins un plugin de sécurité
Rappel de Sécurité
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
Publié à l'origine le : 12 août 2014 @ 10 h 09 min
