Alerte de Sécurité WordPress – 04 Novembre 2014

Moins d’alertes ne signifie pas que les failles de sécurité n’existent plus et que les risques sont minimes. Les failles sont plus longues à être détectées, et certaines mettent beaucoup de temps à être corrigées.

Selon les sites spécialisés dans la sécurité Internet, les choses vont aller en s’aggravant dans le futur, aussi c’est dès aujourd’hui qu’il faut prendre les devants et mettre en place un processus de sécurité pour vos sites WordPress. Soyez prévoyant, tant avec vos sites WordPress, qu’ avec les sites que vous visitez, la sécurité est une faille quasi permanente vers laquelle bon nombre de gens se précipitent.

 

Alerte de Sécurité WordPress – 04 Novembre 2014

Liste des éléments WordPress présentant des failles

• WordPress Database Manager : Injection SQL

[alert-note]La faille permet d’injecter des commandes SQL directement dans le plugin et ainsi donner l’accès aux identifiants du site[/alert-note]

• GB Gallery Slideshow versions 1.5 – Injection SQL

• CBI Referral Manager versions <= 1.2.1 – Cross-Site Scripting (XSS)

[alert-note]Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]

• WP-e-Commerce versions <= 3.8.14.3 – Authorisation Bypass

[alert-note]Un utilisateur malveillant pourrait profiter de la faille pour obtenir facilement l’accès au site et modifier des informations privées du site[/alert-note]

• CP Multi View Event Calendar – Injection SQL

• Alipay plugin for WordPress versions <= 3.6.0 –  Cross-Site Scripting

• Rich Counter 1.1.5 – Cross-Site Scripting

• Gravity Forms AddOn version <= 1.5.10 – Téléchargement possible des fichiers

[alert-note]Un attaquant peut télécharger des fichiers malveillants sur le serveur[/alert-note]

• WP Google Maps version <= 6.0.26 – Cross-Site Scripting

A chaque nouvelle alerte vous êtes en mesure de constater que pas un thème ou un plugin n’est exempt de faille, certaines sont résolues avant même que des sites spécialisées ne les découvrent, alors que d’autres traînent parfois des mois leur problème de sécurité, avant d’être réparé.

 

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour la sécurité de votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Limit Login Attempts
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

---

 Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!

Publié à l'origine le : 4 novembre 2014 @ 15 h 21 min