Alerte de Sécurité WordPress, Adobe Reader, Internet Explorer – 02 Décembre 2014

Olivia
17 Oct 2023
Sécurité WordPress

Les fêtes de fin d’années approchent, la sécurité de nombreux sites laisse à désirer et c’est sans grandes surprises que de nombreuses attaques se déploient jour après jour.

Depuis la dernière alertes de nombreux problèmes ont surgit, voici un florilège des problèmes de sécurité apparus ces derniers jours:

Je vous parlais récemment d’une attaque des serveurs de Sony Pictures, aujourd’hui plusieurs films, non encore disponibles dans les salles, sont disponibles en téléchargement illégal sur Internet, manque à gagner considérable pour la firme.

Le plugin Contact Form 7 a publié une mise à jour afin de réparer un bug. Il est à noter que l’éditeur du plugin a réparé la faille de sécurité en moins de 24 heures! Passez le plus tôt possible à la version 4.0.2.

Adobe vient de réparer une fois de plus le plugin Flash victime de failles à répétituins

Adobe toujours, une faille permettant l’exécution arbitraire de code dans la version 11.08 de Adobe Reader, a été partiellement réparée dans la version 11.09 rendant la faille quasiment impossible a exploiter, mais le risque reste présent.

De nouvelles campagnes de fishing utilisant les entêtes et logos d’administrations, d’EDF, GDF et des banques est en cours à l’approche de la fin d’année. Ne vous connectez jamais à ce genre de site en cliquant sur le lien fournit dans l’email!

Les distributions Linux de Redhat, Ubuntu, Mandriva et Debian sont affectées par des vulnérabilités dans différentes librairies

Escalade de Privilèges au sein du driver IOKIT pour Apple OS X version < 10.10

Exécution de code distant dans les versions < 11 de Internet Explorer

Des chercheurs en sécurité ont découvert des plugins et thèmes malveillants pour WordPress, entre autres CMS, révélant une porte dérobée nommée « CryptoPHP« . Afin de piéger les administrateurs de sites, ces derniers sont amenés à télécharger des versions gratuites, piratées , de plugin et thèmes premium pour WordPress.Une fois téléchargé, les produits (thèmes ou plugin) malveillants installent une porte dérobée sur le serveur de la victime.

Le malware est parfois difficile à repérer, car il utilise des inclusions malveillantes de PHP de type: « include(‘assets/images/social.png »

Il est bien entendu fortement déconseillé de s’approvisionner en thèmes ou plugins piratés sur des plateformes… les malwares y abondent !

Pour vos thèmes gratuits, préférez le repository officiel WordPress, à moins d’avoir de solides connaissances en développement et une capacité à analyser le code source.

Alerte de Sécurité WordPress – 02 Décembre 2014

Liste des éléments WordPress présentant des failles

WordPress Ad-Manager : redirection de track-click.php

[alert-note]La page track-click.php accepte de rediriger la victime sans la prévenir, vers un site externe indiqué par l’attaquant. Un attaquant peut donc tromper l’utilisateur via track-click.php de WordPress Ad-Manager, afin de le rediriger vers un site illicite.[/alert-note]

WordPress Html5 Mp3 Player with Playlist : obtention d’information via playlist.php

[alert-note]Un attaquant peut appeler directement playlist.php, pour provoquer une erreur, indiquant le chemin d’installation, afin d’obtenir des informations sensibles.[/alert-note]

SupportEzzy Ticket System : Cross Site Scripting

[alert-note]Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]

WP-DB-Backup 2.2.4 : Vol de sauvegardes

[alert-note]Possibilité de télécharger les sauvegardes – Accès distant non authentifié de fichiers de sauvegarde via des noms de fichiers facilement à deviner[/alert-note]

WordPress Ad-Manager : Elévation de privilèges

[alert-note]Une élévation des privilèges est un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement.[/alert-note]

WordPress db-backup : Téléchargement Arbitraire de Fichiers

[alert-note]Faiblesses dans la gestion des autorisations, privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note]

Sexy Squeeze Pages: Cross Site Scripting

wpDataTables version <= 1.5.3 : Injection SQL

[alert-note]Un attaquant peut provoquer une injection SQL afin de lire ou modifier des données[/alert-note]

wpDataTables version <= 1.5.3 : Téléchargement Arbitraire de Fichiers

WhyDoWork AdSense plugin 1.2 : Plusieurs Cross-site scripting

Apptha WordPress Video Gallery version <= 2.5 – Plusieurs Cross-site scripting

WordPress version < 4.01 : Multiple faille Cross Site Scripting

Wordfence 5.2.2 : Cross Site Scripting

Google Analytics by Yoast version <= 5.1.2 : Cross-Site Scripting

Contact Form DB version <= 2.8.17 : Cross-Site Scripting dans la partie administration du plugin

Google Document Embedder <= 2.5.14 – Injection SQL

Cart66 Lite WordPress Ecommerce 1.5.1.17 – Injection SQL

WordPress Slideshow Gallery : Upload de fichier

[alert-note]Un attaquant peut uploader un fichier illicite, afin par exemple de déposer un Cheval de Troie[/alert-note]

Another WordPress Classifieds injection SQL

[alert-note]Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données[/alert-note]

WP Symposium 14.10 : Multiple Cross-Site Scripting & Injection SQL

WordPress Password Check : Déni de Service

[alert-note]Un attaquant peut tenter de rendre indisponible un service, et d’empêcher ainsi les utilisateurs légitimes d’utiliser le service[/alert-note]

Paid Memberships Pro : Traversée de Répertoire

[alert-note]Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service[/alert-note]

DukaPress plugin before 2.5.4 – Traversée de Répertoire

Digital Zoom Studio – Multiple cross-site scripting

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de domicile ouverte en le quittant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour la sécurité de votre site

Ne pas utiliser “admin” comme identifiant administrateur
Faites attention à ce que vous téléchargez
Mettez à jour WordPress
Mettez à jour vos thèmes et plugin
Utilisez un mot de passe fort
Limitez le nombre de tentatives de connexion avec Limit Login Attempts
Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème de sécurité.

Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!

Publié à l'origine le : 2 décembre 2014 @ 9 h 04 min

Pour compléter votre lecture.

Olivia

Plugin WordPress : Alerte de Sécurité – 04 Mars 2014

Vulnérabilité de plusieurs plugin WordPress Les semaines se suivent et se ressemblent en terme de sécurité, hier au soir, une...

18 Sep
· Sécurité WordPress

Valentin

Sécurité WordPress – Vulnérabilités découvertes dans WordPress & 9 plugin

WordPress 4.7.2 arrive à point! Cette mise à jour corrige des graves problèmes de sécurité dans toutes les versions précédentes,...

24 Jan
· Sécurité WordPress