La prévention est une chose, mais en terme de sécurité informatique il est difficile de prévoir, lorsque l’on code un plugin ou un thème, le comportement malveillant qui sera utilisé par certaines personnes. En programmation comme en piratage les techniques évoluent, mais malheureusement, dans le second cas elles semblent évoluer beaucoup plus vite.
De là à baisser les bras, il n’y a qu’un pas, que les développeurs ne franchiront pas, et pour éviter le chaos, ils corrigent rapidement, dans la grande majorité des cas, les failles détectées. Le dernier exemple en date, WP Super Cache dont je vous parle juste après.
Si les développeurs ne baissent pas les bras, pourquoi devriez vous, utilisateurs, laisser aux personnes malveillantes libre accès à votre site WordPress.
Pour rappel, un site non protégé est un futur site piraté, ne prenez pas de risques, tout comme avec votre santé appliquez les soins nécessaires à votre blog WordPress.
Infos sur la sécurité WordPress en Vrac
Le week-end dernier, le plugin de cache WP Super Cache a été mis à jour deux fois, en très peu de temps, la seconde mise à jour venant corriger un bug introduit lors de la première mise à jour.
La première mise à jour, WP Super Cache 1.4.3, corrige un bug de sécurité dans la page des paramètres du plugin. Une requête soigneusement élaborée par un tiers pouvant entraîner une faille de type Cross Site Scripting.
WP Super Cache 1.4.4 corrige le bug introduit dans la version précédente et qui provoquait une erreur fatale.
Si vous utilisez une ancienne version de WP Super Cache empressez vous de passer à la version 1.4.4 dès que possible!
Alerte de sécurité WordPress – 08-04-2015
Plugin et Thèmes WordPress présentant des failles
- WordPress All-in-One WP Migration : Accès en lecture
- WordPress AB Google Map Travel version < 4.0 : Cross Site Scripting
- WordPress Photo Gallery : Cross Site Scripting
- WP Super Cache version <= 1.4.2 – Cross-Site Scripting
- WP Easy Slideshow version <= 1.0.3 – Plusieurs Cross-Site Request Forgery
- WordPress Video Gallery version <= 2.8 – Plusieurs Cross-Site Reuest Forgery
- All In One WP Security & Firewall version <= 3.9.0 – Injection SQL
- PHP Event Calendar version <= 1.5 – Téléchargement arbitraire de fichiers
- Work The Flow File Upload version version <= 2.5.2 – Shell Upload
- Simple Ads Manager version <= 2.5.94 – Téléchargement arbitraire de fichiers & Injection SQL
- QAEngine Theme – Elévation de Privileges
- WordPress Business Intelligence Plugin – Injection SQL
- WordPress Shareaholic version 7.6.0.3 – Cross Site Scripting
- WordPress Contus Video Gallery – Cross Site Request Forgery
- WordPress WP Easy Slideshow – Cross Site Request Forgery
- WordPress PHP Event Calendar – Upload de fichiers
- WordPress WassUp Real Time Analytics : Cross Site Scripting
Aucune faille n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!
Conseils pour sécuriser votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!
Publié à l'origine le : 8 avril 2015 @ 10 h 02 min
