Le plugin Fancybox, un plugin populaire de WordPress avec plus de 550 000 téléchargements, est porteur d’une vulnérabilités sérieuse qui permet à des logiciels malveillants (ou n’importe quel script/contenu aléatoire) d’être ajouté à votre site. Cette faille n’étant actuellement pas corrigée, il est fortement conseillé de supprimer ce plugin de vos sites.

FancyBox

Une faille de sécurité majeure frappe toutes les versions d’Internet Explorer, de même que le nouveau navigateur Spartan de Microsoft. En attendant le correctif, il est recommandé d’utiliser un autre navigateur.

Internet Explorer

Le service de stockage en ligne iCloud d’Apple est populaire, non seulement chez les propriétaires de Mac, mais aussi des utilisateurs Windows … … et, malheureusement, des cyber-escrocs.

Logo iCloud

Cette fois, les escrocs ont modifié leur arnaque habituelle. Plutôt que de demander un paiement que vous êtes censé avoir effectué, mais qui n’a pas eu lieu,  ils contestent la transaction, et vous demande, bien entendu, d’effectuer à nouveau ce paiement, via leur fausse page, vous demandant bon nombre d’informations inutiles. Soyez prudent si vous recevez un tel message!

securite

Alertes en Vrac (hors WordPress)

  • Le routeur TP-LINK Wireless Lite N Router WR741N peut être piraté via du code Javascript
  • Des pirates ont eu accès aux données de plus de 69 millions de clients d’une des plus grandes sociétés de santé aux
    États-Unis, Anthem Inc., Ils ont eu accès aux numéros de sécurité sociale, dates de naissance, noms, données
    de revenus, etc…
  • Des pirates russes ont compris comment récupérer jusqu’à plus d’un milliard de noms d’utilisateur et mots de passe des utilisateurs d’Internet à travers le monde.
  • Plusieurs plugin Drupal sont porteurs de failles de type Cross Site Scripting ou Cross Site Request Forgery
  • La réceptionniste d’un dentiste de Manhattan aurait volé les renseignements personnels des patients et les a utilisé pour acheter des cartes-cadeaux d’Apple, dont la valeur totale a été estimée à près de $ 700,000 (environ € 611,000)
  • Divulgation potentielle des Mot de passe des comptes MyBitdefender –  Un chercheur en sécurité affirme avoir trouvé deux problèmes de sécurité entre la dernière version de Bitdefender Internet Security et la connexion à la console Web MyBitdefender. Ces problèmes permettent la divulgation des login et des mot de passe des comptes utilisateurs.
  • Presque tous les liens d’About.com sont vulnérabless aux attaques XSS, XFS (Cross Frame Scripting)
  • Le site Internet La Boutique Officielle, spécialiste de la vente de vêtements « Urban » a été piraté et les données
    clients ont été volées.
  • Le Modem-Routeur Shuttle Tech ADSL  915 WM – comporte une faille permettant à un attaquant de modifier les DNS
  • Windows tcpip.sys – Une vulnérabilité dans le pilote de protocole TCP / IP de Microsoft, tcpip.sys, peut permettre à un attaquant d’injecter la mémoire contrôlée dans un emplacement arbitraire du noyau de Windows.
  • AVG Internet Security 2015 – Elévation de privilèges
  • Malwarebytes Anti-Malware / Anti-Exploit Update – Elévation de privilèges

 

Alerte de Sécurité WordPress – 09 Février 2015

Faille de sécurité WordPress

Liste des plugin et thèmes WordPress présentant des failles

Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page

Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service

Une élévation des privilèges est un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement

Un attaquant peut écrire arbitrairement des données dans un fichier et exécuter le code entré sans que l’administrateur soit averti

Une injection SQL est l’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité

Sécurité WordPress

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour améliorer la sécurité de votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.


 La sécurité nous concerne tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

BRANDT Valentin

J'ai travaillé dans l'informatique pendant près de 30 ans. De la formation, la maintenance, le développement, et le management, j'ai touché à presque tous les domaines. Maintenant que je ne travaille plus, je m'intéresse avant tout à Wordpress et Android.

Ne manquez pas nos autres contenus :