Dans le monde qui nous entoure, la seule chose dont l’on soit sûre c’est que notre sécurité est en panne, ou sur le point d’y être, mais que l’on ne fait pas grand chose pour y remédier.
Des chercheurs en sécurité trouvent tous les jours des bugs, failles, malware et autres virus qui ne sont que les prémices de ce qui nous attends si nous ne prenons pas en main notre propre sécurité.
Pour preuve s’il en fallait encore, des scientifiques ont utilisé l’imagerie par résonance magnétique (IRM) pour mesurer la chute de l’attention d’un cerveau humain lorsqu’un utilisateur d’ordinateur est soumis à seulement deux avertissements de sécurité dans un laps de temps court. Au delà de dix avertissement, le cerveau montre une absence quasi totale de réactions…
Si nous ne prenons pas immédiatement les alertes en compte, cela laisse augurer de sérieux soucis dans un avenir pas si lointain que cela.
Mais c’est le printemps, alors on ne va pas se prendre la tête…
Alertes en Vrac (hors WordPress)
- Une jeune fille de 12 ans, de Boulder dans le Colorado (USA) a été arrêté vendredi pour tentatives d’empoisonnement sur sa mère pour avoir privé, deux fois, sa fille de son iPhone.
- Un chercheur en sécurité affirme qu’il y a un bug dans l’API Instagram qui pourrait permettre à un attaquant d’envoyer un message avec un lien vers une page qui héberge un fichier malveillant et qu’il contrôle. Lorsque l’utilisateur télécharge le fichier, il apparaîtra comme venant du domaine Instagram, conduisant la victime à faire confiance à la source.
- Les autorités pakistanaises interdisent l’accès au domaine WordPress.com et tous ses sous-domaines. A l’heure actuelle, il semble que les blogs WordPress.org auto-hébergés ont été épargnés.
- Des chercheurs en sécurité ont découvert qu’un bug, patché par la société en 2011, dans les anciennes versions du compilateur Adobe Flex SDK, peut encore être exploitée par un attaquant dans les dernières versions du plugin navigateur de Flash Player.
- Victime d’une intrusion, la plate-forme de streaming de jeu Twitch force ses utilisateurs à changer leur mot de passe.
- Android est victime d’une faille qui permet de remplacer une vraie appli par un malware. Près de la moitié des utilisateurs Android peut être victime de cette vulnérabilité qui donne accès à toutes les informations du smartphone, même les plus sensibles.
- Plus de 700 000 routeurs ADSL fournis par les FAI à travers le monde sont vulnérables au piratage à distance en raison d’un défaut appelé « directory traversal » (Traversée de répertoire)
Alerte de sécurité WordPress – 25-03-2015
Plugin et Thèmes WordPress présentant des failles
- WordPress InfusionSoft Gravity Forms version 1.5.3 à 1.5.10– Téléchargement arbitraire de fichiers
- WordPress OptimizePress Theme – Téléchargement arbitraire de fichiers
- WordPress cache_lastpostdate – Exécution de code à distance
- WordPress W3 Total Cache – version <= 0.9.2.8 – Exécution de code à distance
- WP Super Cache version 1.2 – Exécution de code à distance
- WordPress Foxypress uploadify.php – Exécution de code à distance
- WordPress Custom Community : Cross Site Scripting
- WordPress Download Monitor : Traversée de répertoire
- WordPress FormGet Contact Form : Cross Site Scripting
- WordPress Google Analytics by Yoast : Cross Site Scripting
- InBoundio Marketing Plugin <= 2.0.3 – Téléchargement arbitraire de fichiers
- WordPress MP3-Jplayer <= 2.3 – Téléchargement arbitraire de fichiers
- WordPress Marketplace 2.4.0 – Téléchargement arbitraire de fichiers
- WordPress AB Google Map Travel – Cross Site Request Forgery & Cross Site Scripting
- WordPress All In One WP Security & Firewall : Injection SQL
- WordPress All In One WP Security & Firewall : Cross Site Request Forgery
- WordPress Contact Form DB : Cross Site Request Forgery
- WordPress Max Banner Ads : Cross Site Scripting
- AB Google Map Travel (AB-MAP) <= 3.4 – Cross Site Request Forgery & Cross Site Scripting
- WP Marketplace <= 2.4.0 – Téléchargement arbitraire de fichiers
- Photo Gallery <= 1.2.11 – Cross-Site Scripting
- Ajax Search Pro – Exécution de code à distance
- Ajax Search Lite <= 3.1 – Exécution de code à distance
Aucune faille n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!
Conseils pour sécuriser votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!
Publié à l'origine le : 25 mars 2015 @ 10 h 20 min
