Alerte de Sécurité WordPress|MongoDB|Android|Linux – 12-02-2015

Ah, la sécurité! Existe-t-il encore quelque endroit où nous pouvons être en sécurité? La question est ouvertement posée.

Alors que Microsoft vient, enfin, de réparer une faille vieille de 15 ans, que des tests ont prouvé qu’une voiture connectée pouvait être piratée et que la main de l’homme crée elle même des failles non négligeables pour la sécurité des biens et des personnes, nous sommes en droit de croire que le mot sécurité se rapproche du mot leurre!

Ces mauvaises nouvelles mises à part, le Wifi sera gratuit dans les TGV, en 2016…:) , après Ubuntu et Mozilla, Free aurait un smartphone en préparation.

Parce que les menaces sur Internet sont en constante évolution, la sécurité en ligne dépend plus de bonnes pratiques que de l’obéissance aveugle à des règles et interdictions spécifiques.

Malheureusement au vue des dernières études sur la sécurité, il semble que bon nombre d’utilisateurs d’Internet négligent leur propre sécurité.

Avez vous déjà lu les conditions d’utilisations des applications de votre smartphone? Probablement que non, comme la grande majorité des utilisateurs.

Alors ne vous sentez jamais obligés de fournir plus d’informations que nécessaires, et comme le bon sens vous dirait:

Dans le doute, ne fournissez pas d’informations!

Alertes en Vrac (hors WordPress)

• De nombreuses distributions Linux (RedHat, Debian, Ubuntu, Mandriva…) sont victimes de failles de sécurité

• L’application Wireless File Transfer Pro 1.0.1 – (Android) est porteuise d’une faill qui permet l’exécution de code à distance

• Facebook a souffert de la manipulation de session et de faille de type  Cross Site Request Forgery

• En utilisant plusieurs vulnérabilités de Google Play Store, des attaquants peuvent installer des applications malveillantes à distance sur des appareils Android

• Plus de 40 000 bases de données MongoDB sont libres d’accès à tout attaquant, dont celle d’un opérateur téléphonique français avec plus de 8 millions d’entrées, Bouygues Telecom a précisé qu’il n’utilisait pas ces bases.Le système MongoDB n’est pas directement touché, mais c’est la configuration des bases de données, dûe à certaines modifications faites par les administrateurs systèmes,qui permet à tout un chacun d’accéder à ces  données.

• Internet Explorer, Windows et Office reçoivent une liste de plus de 50 correctifs de sécurité, dont une faille datant de 15 ans, sauf pour Windows Server 2003 qui a le droit de la conserver 🙁

• Le journal économique Forbes a été piraté par des Chinois, des Russes ou des Français…qui sait?

• Un chercheur met en ligne 10 millions de mots de passe et identifiants

Alerte de Sécurité WordPress – 12 Février 2015

Alors que généralement ce sont les plugin WordPress, au nombre de 18 aujourd’hui, qui ont des problèmes de sécurité, cette fois aux plugin se rajoutent 7 thèmes dont le très célébre thème Divi d’Elegant Themes.

Liste des plugin WordPress présentant des failles

•  WordPress Geo Mashup : Cross Site Scripting

[alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]

• WordPress Revolution Slider : Traversée de répertoire

[alert-note]Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service[/alert-note]

• WordPress RedSteel : Traversée de répertoire

• WordPress Contact Form : Cross Site Request Forgery

[alert-note]Les attaques de type Cross Site Request Forgery utilisent l’utilisateur comme déclencheur, l’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés[/alert-note]

• WordPress Mobile Domain version <= 1.5.2 – Cross Site Scripting & Cross Site Request Forgery

• Redirection Page version version <= 1.2 – Cross Site Scripting & Cross Site Request Forgery

• Facebook (spider-facebook) version <= 1.0.10 – Cross-Site Scripting

• Google Doc Embedder version 2.5.18 – Cross Site Scripting

• Ninja Forms version <= 2.8.8 – Stored & Reflected XSS

[alert-note]La vulnérabilité Stored XSS permet des attaques puissantes. Elle se produit quand les données fournies par un utilisateur sont stockées sur un serveur et ensuite réaffichées sans que les caractères spéciaux HTML aient été encodés [/alert-note] [alert-note]La vulnérabilité Reflected XSS apparait lorsque des données fournies par un navigateur sont utilisées telles quelles par les scripts du serveur pour produire une page de résultats. Elles peuvent être utilisées pour injecter du code dans la page dynamique reçue par le navigateur du client[/alert-note]

• Easing Slider version <= 2.2.0.6 – 2 x Cross-Site Scripting

• Acobot Live Chat & Contact Form <= 2.0 Cross Site Scripting & Cross Site Request Forgery

• WPLMS version 1.8.4.1 – Elévation de privilèges

[alert-note]Une élévation des privilèges est un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement[/alert-note]

• WP EasyCart – Upload illimité de fichiers

[alert-note]Un attaquant peut uploader des fichiers illicites afin, par exemple, de déposer un Cheval de Troie.[/alert-note]

• Cart66 Lite version 1.5.4 – Cross Site Scripting

• Contact Form DB version 2.8.26 – Cross Site Scripting

• Users Ultra version <= 1.4.35 – Injection SQL

[alert-note]Une injection SQL est l’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note]

• WordPress Survey and Poll Plugin 1.1 – Injection SQL

• WordPress Video Gallery version 2.7.0 – Injection SQL

Liste des thèmes WordPress présentant des failles

• Theme Divi – Téléchargement Arbitraire de Fichiers

[alert-note]Faiblesses dans la gestion des autorisations, privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note]

• Theme Gallery pro – Téléchargement Arbitraire de Fichiers

• Theme Evo – Téléchargement Arbitraire de Fichiers

• Theme Micro – Téléchargement Arbitraire de Fichiers

• Theme SimpleCart – Téléchargement Arbitraire de Fichiers

• Theme Charity – Téléchargement Arbitraire de Fichiers

• Theme Holding Pattern version <= 0.6 – Téléchargement Arbitraire de Fichiers

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour améliorer la sécurité de votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Limit Login Attempts
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

---

 La sécurité nous concerne tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

Publié à l'origine le : 12 février 2015 @ 11 h 41 min