Alerte de sécurité WordPress – 20-03-2015

Le plugin WPML utilisé sur plus de 400.000 sites WordPress est touché par plusieurs failles qui permettent à un attaquants de détruire un site WordPress utilisant ce plugin.

Au delà du cas particulier de WPML, ce nouveau problème pose, une fois de plus, la question de la sécurité de WordPress. Qu’il s’agisse du cœur de WordPress, ou de ses milliers de thèmes et de plugin, WordPress est régulièrement en proie à ce genre de problèmes.

Il faut cependant apprécier la réactivité de la communauté, un bon point pour cet outil devenu en quelques années un acteur majeur du Web, utilisé par plus de 25% des sites Internet.

Alertes en Vrac (hors WordPress)

• Selon Kaspersky, spécialiste en sécurité, un cheval de Troie, baptisé Podec serait le premier logiciel malveillant à déjouer le système de reconnaissance d’image CAPTCHA. Podec se focaliserait sur les dispositifs Android utilisés pour se connecter au réseau social russe VKontakte bien que d’autres sources aient été découvertes.

• Un nombre croissant d’applications Android malveillantes ont été découvertes sous la forme d’applications reconditionnées présentes dans des marchés non officiels pour la plate-forme mobile.

• Un bug dans le navigateur Safari d’Apple stocke en clair, dans la base de données du navigateur, les adresses chargées durant les sessions de navigation privées, ces données peuvent ainsi être consultées en utilisant des outils accessibles au public, sans trop d’effort.

• Un disque amovible de stockage contenant les données des employés du groupe de producteurs de pommes américain, Apple American Group, a été perdu par un employé d’un fournisseur en charge de l’amélioration des services de paie de l’entreprise…

• Une liste contenant l’identité de 15,000 patients d’un laboratoire français a été diffusée par un pirate qui réclamait 20.000 € contre son silence.

• Des pirates ont cloné la plupart des 100 meilleurs applications payantes et le top 20 des applications gratuites pour Android et iOS, selon les données du rapport App Mobile Security 2014. Ces attaquants utilisent les applications infectées pour entrer dans les entreprises et compromettre de précieuses informations.

• Des chercheurs du Laboratoire Neurosecurity, à l’Université Brigham Young dans l’Utah, ont mené des recherches démontrant que les utilisateurs deviennent insensibles aux avertissements de sécurité en ligne, même lorsque les avertissements contiennent différents niveaux de menaces concernant la sécurité du système et / ou la divulgation de renseignements personnels.

Alerte de Sécurité WordPress – 20-03-2015

Plugin et Thèmes WordPress présentant des failles

• WordPress WPML  – Authentication manquante

[alert-note]Un attaquant non authentifié peut, sous certaines conditions contourner la sécurité de WPML et exécuter des fonctions administratives.[/alert-note]

• WordPress WPML – Cross Site Scripting / Suppression de données / Injection SQL

[alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note] [alert-note]Une injection SQL est une faille qui permet à un attaquant d’injecter une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note]

• WordPress Reflex Gallery version 3.1.3 – Upload de fichiers

[alert-note]Un attaquant peut uploader un fichier illicite afin, par exemple, de déposer un Cheval de Troie[/alert-note]

• WordPress EZ Portfolio – Cross Site Scripting

• WordPress Photocrati Theme – Injection SQL

• WordPress Calculated Fields Form – Injection SQL

• WordPress IP Blacklist Cloud – Injection SQL

• Live Forms – Visual Form Builder version 3.0.1 – Injection Blind SQL

[alert-note]Une injection Blind SQL est une technique avancée d’injection de données (Injection SQL) dans une base vulnérable. Cette faille se caractérisent parle fait que les résultats de l’injection ne sont pas visibles pour l’attaquant[/alert-note]

• Easy Coming Soon version <= 1.6.1 – Cross-Site Scripting

• WP All Import Pro version <= 4.1.1 – Multiple Vulnerabilités

• WP All Import version <= 3.2.4 – Multiple Vulnerabilités
• Pods version version 1.4.7 <= 2.5.1.1 – Blind SQL Injection

• Ultimate Member version <= 1.0.78 – Multiple Vulnerabilités

• Gravity Forms version 1.8 <= 1.9.3.5 – Blind SQL Injection

Aucune faille n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour sécuriser votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Limit Login Attempts
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

---

 La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

Publié à l'origine le : 19 mars 2015 @ 11 h 25 min