Alerte de Sécurité WordPress | Apple | Linux | Windows – 03-02-2015

Sénèque (58 av. J.-C.) disait « Que de maux sont arrivés, sans qu’ils fussent attendus, et combien ne sont jamais arrivés (quoique attendus) » que l’on peut résumer par « À chaque jour suffit sa peine ».

Aujourd’hui, malheureusement, plusieurs peines viennent simultanément attaquer les utilisateurs d’ordinateurs et d’Internet.

Des pirates de toutes sortes créent des codes malveillants, distribuent des programmes soit disant gratuits remplis de code malveillant, attaques les banques et autres administrations ou sites gouvernementaux, dans l’optique de détruire.

D’un autre côté l’absence ou la mauvaise qualité de certaines vérifications de code dans des plugin ou des thèmes met en danger de nombreux sites WordPress qui doivent déjà lutter contre toutes sortes d’attaques.

Que faudra-t-il pour qu’enfin les sites WordPress soient totalement sécurisés?

Alertes en Vrac (hors WordPress)

• Noyau Linux : contournement des règles du Parefeu SCTP

• Multiples vulnérabilités dans le noyau Linux de Red Hat

• Routeur ASUS RT-N10 Plus comporte une faille de type Cross Site Scripting

• McAfee Data Loss Prevention Endpoint – Ecriture arbitraire dans les fichiers & Elévation de privilèges

• Symantec Encryption Management Server – Exécution de commandes à distance

• Microsoft Windows Server 2003 SP2 – Elévation de privilèges

• Des cybercriminels ont développé un nouvel outil pour les aider à offrir des logiciels malveillants sur l’ordinateur des victimes d’une manière clandestine en abusant des fonctionnalité légitime de Windows et ils améliorent en permanence le code.

• FreeBSD Kernel <= 10.1 Crash / Code Execution – Plusieurs vulnérabilités

• Une nouvelle variante du cheval de Troie Dyre propage le Malware Upatre via Microsoft Outlook

• BMW corrige une faille de sécurité qui aurait permis à des pirates de déverrouiller les portes de plus de 2 millions de véhicules Rolls-Royce, Mini et BMW.

• Un malware caché dans une vidéo porno infecte plus de 100.000 personnes

• Raptr, le réseau social de jeux, a été piraté, les informations des utilisateurs et les mots de passe sont compromis

Tentative de Pishing pour les utilisateurs de l’Apple ID

Si vous recevez un e-mail avec le texte espagnol: « Hola, nuestro sistema ha detectado autorizado entrada intento de su Apple ID » (« Bonjour, notre système a détecté une tentative d’accès autorisé avec votre identifiant Apple … « ) Attention, il s’agit de phishing !

Sous prétexte que quelqu’un a essayé d’accéder à votre compte avec votre Apple ID, les cyber-criminels vous demandent de modifier vos informations. Lorsque vous cliquez sur le lien, une page s’ouvre, une imitation presque parfaite du site Web d’Apple

Après la connexion avec votre Apple ID, l’étape suivante consiste à mettre à jour vos informations personnelles. En plus de votre nom, adresse ou numéro de téléphone, il vous est demandé vos coordonnées bancaires et les détails de vos cartes de crédit afin de vérifier votre identité et de définir le mode de paiement par défaut pour les achats sur iTunes ou l’App Store.

Donc, si vous tombez dans le piège et saisissez toutes ces données, vous leur donnerez accès à ces informations sensibles,soyez vigilants, les cyber-criminels n’ont peur de rien !

---

Alerte de Sécurité WordPress – 03 Février 2015

Liste des plugin et thèmes WordPress présentant des failles

• La vulnérabilité GHOST peut affecter les pingbacks de WordPress

[alert-note]Pour éviter d’être victime de cette vulnérabilité, vous pouvez désactiver les pingbacks pour votre site. Allez dans Réglages -> Discussion puis décochez la case « Autoriser les liens de notifications depuis les autres sites (notifications par pings et rétroliens) ». Ensuite, faites défiler l’écran vers le bas et cliquez sur « Enregistrer les modifications ». Cela devrait aider à bloquer le vecteur d’attaque par pingbacks.[/alert-note]

• Un faux plugin appelé Mobile-Shortcuts injecte un malware dans WordPress.

[alert-note]Les sites sont compromis afin de diffuser des publicités pharmaceutiques ou des rétroliens vers des sites qui vendent des produits de luxe.[/alert-note]

• WordPress GD Star Rating : Cross Site Request Forgery & Injection SQL

[alert-note]Les attaques de type Cross Site Request Forgery utilisent l’utilisateur comme déclencheur, l’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés[/alert-note]

• WordPress Photo Gallery : Injection SQL

• WordPress Feedweb : Injection SQL

• WordPress Simple Security : Cross Site Scripting

[alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]

• WordPress SEO Plugin LiveOptim : Elévation de privilèges

[alert-note]Une élévation des privilèges est un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement.[/alert-note]

• Futures YourMembers : Injection SQL

• Banner Effect Header version <= 1.2.7 – Cross-Site Scripting

• Blubrry PowerPress version <= 6.0 – Cross-Site Scripting

• Geo Mashup version <= 1.8.2 – Cross-Site Scripting

• Photo Gallery 1.1.30 – Cross Site Scripting

• Photo Gallery version <= 1.2.8 – Injection SQL et plusieurs Cross Site Scripting

•  Photo Gallery version <= 1.2.5 – Inclusion de fichier local

[alert-note]La faille permet à un utilisateur d’inclure des fichiers locaux (appartenant donc au serveur externe) à partir d’une URL[/alert-note]

• RedSteel Theme – Téléchargement Arbitraire de Fichiers

[alert-note]Faiblesses dans la gestion des autorisations, privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note]

• Revive Old Post version <= 6.9.0 – Elévation de privilèges

• WordPress Calls to Action version <= 2.2.7 – Cross Site Scripting

[alert-note]Une commande AJAX permet à un attaquant non identifié de modifier les données de n’importe quel formulaire[/alert-note]

• WP Ultimate CSV Importer <= 3.6.74 – Export des tables de la base de données

[alert-note]L’absence de vérification de permissions des visiteurs autorise l’éxécution du fichier ‘export.php’ inclut dans toutes les installations, permettant de télécharger la totalité de la base de données, contenant entre autres les identifiants, mots de passe  et adresses email des utilisateurs.[/alert-note]

• WordPress Video Player <= 1.5.4 – Cross-Site Scripting

• TinyMCE Advanced 4.1 – Setting Reset CSRF

• Easing Slider – Cross Site Scripting

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour améliorer la sécurité de votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Limit Login Attempts
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

---

 La sécurité nous concerne tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

Publié à l'origine le : 3 février 2015 @ 10 h 08 min