Les problèmes de sécurité ne cessent de nous gâcher la vie, en tant qu’administrateurs de site Internet. Mais voilà qu’un nouveau malware du nom de WireLucker, ne s’attaque qu’aux matériels de la marque Apple. iPhones, iPads et Macs sont victimes d’un malware nommé WireLurker qui vole des renseignements personnels. Les objectifs du malware sont mal connus à l’heure actuelle, mais il s’attaque en premier à OS X ainsi qu’a iOS mobiles.
Quand un mobile est connecté à un Mac infecté, le virus se propage. Il installe des applications malveillantes sur l’appareil, et les utilise pour voler des informations. A l’heure actuelle WireLucker affecte seulement les propriétaires de produits d’Apple en Chine, mais il a le potentiel de se propager ailleurs.
Informations de sécurité en vrac:
- Une faille de sécurité a été détectée, par un hacker suédois, dans le système OS X Yosemite d’Apple
- Des failles de sécurité ont été détectées dans plusieurs applications mobiles (iOS et Android)
- Faille dans Internet Explorer
- Nouvelle faille dans phpMyAdmin
- Vulnérabilité de Windows 8 et 8.1 au travers du pilote win32k.sys (Elévation de privilèges)
- Faille dans la librairie ffmpeg (utilisée par VLC Player)
- Rovinix infecte 13 000 PC en Grande Bretagne
Pour ceux que cela pourrait intéressé, voici une liste de sites victimes de Cross Site Scripting
Mauvaise journée pour la sécurité en générale, et rien ni personne ne sait comment cela finira.
Alerte de Sécurité WordPress – 06 Novembre 2014
Certaines failles concernant des plusgin n’ont toujours pas été corrigées, ce qui laisse à penser que les développeurs, soit ne savent pas les réparer, soit ne sont pas intéressés par les réparer, dans les deux cas la situation concernant ces plugin est inquiétante.
Liste des éléments WordPress présentant des failles
- WordPress Amazon Affiliate Shop : lecture de fichier
- WordPress CP Multi View Event Calendar version 1.01 – Injection SQL
- WordPress Alipay : Cross Site Scripting
- WordPress WPSS : Cross Site Scripting / Injection SQL
- WordPress CBI Referral Manager : Cross Site Scripting
- WordPress Bulletproof-Security version .51 : Cross Site Scripting / Injection SQL / SSRF
- WordPress Clean And Simple Contact Form version 4.40 : Cross Site Scripting
- WordPress Wordfence Firewall version 5.1.2 : Cross Site Scripting
- WordPress Gmedia Gallery – upload de fichier
- WordPress Compfight version 1.4 – Cross-site scripting
- WordPres Download Manager version <= 2.96 : Traversée de Répertoire
- Web Dorado Spider Video Player (aka WordPress Video Player) : Cross Site Scripting
- WordPress Backup Professional version 1.0.b1 à 1.1.3 : Injection SQL
Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!
Conseils pour la sécurité de votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!
Publié à l'origine le : 7 novembre 2014 @ 10 h 15 min
