Depuis le 22 Octobre, l’ensemble des plugin et thèmes de WordPress semblaient être dépourvus de failles de sécurité. Loin s’en faut, les failles ont été plus longues à apparaître.
Poodle n’a pas fini de faire parler de lui
Je vous ai parlé dans l’Alerte de sécurité du 16 Octobre 2014, de Poodle (pour “Padding Oracle on Downgraded Legacy Encryption”),qui est une faille qui affecte un protocole de chiffrement SSL.
La vulnérabilité permet à un pirate de devenir le « man in the middle » (celui qui voit tout) d’une conversation entre votre navigateur et un serveur Web et ainsi surveiller les données sécurisées, voler des numéros de carte de crédit, etc… Cela signifie que si vous exécutez un site d’e-commerce en utilisant un plugin tel que WooCommerce et si votre site communique avec une passerelle de paiement comme PayPal ou Authorize.net, votre site risque d’être affecté. Voyez avec votre hébergeur les mesures qu’il a mis en place.
Liste Noire Google
Depuis le week-end dernier, Google a mis sur liste noire deux sites très connus des surfeurs, « bit.ly » et « del.icio.us », comme hébergeant des malwares. Même si vous n’êtes pas d’accord avec la position de Google de « blacklister » ces deux sites, gardez à l’esprit que si les sites restent sur la liste noire, un lien vers ces sites peut nuire à votre classement dans le moteur de recherche.
Il est donc fortement conseillé d’examiner attentivement vos liens, modifiez les liens raccourcis créé avec « bit.ly » et remplacez les par des liens créé avec Pretty Link, de même pour les liens pointant vers del.icio.us sont à remplacer remplacez par des liens vers Delicious.com.
Alerte de Sécurité WordPress – 30 Octobre 2014
Liste des éléments WordPress présentant des failles
- WordPress Spreadsheet (wpSS) plugin 0.62 : Injection SQL
- WordPress HTML5 and FLash PLayer Plugin : : Injection SQL
- WordPress GB Gallery Slideshow plugin 1.5 : Injection SQL
- WordPress Count-per-Day Plugin : Injection de Code
- WordPress HT-Poi Plugin : Téléchargement possible des fichiers
- WordPress Download Manager Plugin : Inclusion arbitraire de fichiers
- WordPress gallery-bank Plugin : Upload Vulnerability
- WordPress Creative Contact Form 0.9.7 : Shell Upload
- WordPress Database Manager 2.7.1 : Injection de Commande
- WordPress Content Audit : Blind SQLi vulnerability
- WordPress Rich Counter 1.1.5 : Cross-Site Scripting (XSS)
- WordPress Alipay <= 3.6.0 : Cross-Site Scripting (XSS)
A chaque nouvelle alerte vous êtes en mesure de constater que pas un thème ou un plugin soit exempt de faille, certaines sont résolues avant même que des sites spécialisées ne les découvrent, alors que d’autres traînent parfois des mois leur problème de sécurité, avant d’être réparé.
Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!
Conseils pour la sécurité de votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!
Publié à l'origine le : 30 octobre 2014 @ 10 h 07 min
