InfiniteWP Admin est aujourd’hui en proie à des problèmes de sécurité, une semaine à peine après que le plugin InfiniteWP Client ai lui même eu le même genre d’alerte, plusieurs vulnérabilités graves ont été détectéesP.
Alors qu’hier InfiniteWP a publié une mise à jour de son plugin InfiniteWP Client, les utilisateurs n’auront pas eu beaucoup de temps pour sécuriser les systèmes, mais cela a permis de donner aux pirates certaines des informations dont ils avaient besoin pour exploiter ces vulnérabilités.
Le module d’administration d’InfiniteWP est une application PHP autonome qui est installée sur un site Web, elle est utilisée comme interface pour gérer plusieurs sites WordPress.
La vulnérabilité comporte plusieurs failles, dont la plus grave semble permettre l’injection de code SQL non authentifié. Il y également une vulnérabilité au niveau du téléchargement de fichiers, mais uniquement pour certaines configurations de serveur Web.
Si vous utilisez InfiniteWP Admin, mettez le plugin à jour immédiatement.
Voici les mesures à prendre immédiatement si vous l’administration d’InfiniteWP:
- Mettez immédiatement à jour InfiniteWP Admin vers la version 2.4.4
- Consultez le répertoire de téléchargements afin d’y détecter tous les fichiers non autorisés
- Changer les mots de passe de l’administrateur et de tous les sites WordPress connectés
- Utilisez des mots de passe longs et uniques
- Retirez tous les sites connectés à l’administration d’InfiniteWP, et rajoutez les ensuite, afin de générer de nouvelles clés secrètes
- Envisagez sérieusement de limiter l’accès à l’administration d’InfiniteWP, surtout si vos clients non pas besoin d’y accèder. Par exemple, utiliser un fichier .htaccess pour ajouter les adresses IP et les identifiants nécessaires. Si possible, protégez la zone d’administration d’InfiniteWP avec un pare-feu d’applications Web (WAF) tels que ModSecurity.
Merci de partager cette information avec d’autres administrateurs de site WordPress pour aider la communauté à rester en sécurité.
[button-red url= »http://infinitewp.com/ » target= »_blank » position= »center »]Mettez à jour InfiniteWP Admin[/button-red]Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!
Publié à l'origine le : 10 décembre 2014 @ 11 h 22 min