Le plugin Fancybox, un plugin populaire de WordPress avec plus de 550 000 téléchargements, est porteur d’une vulnérabilités sérieuse qui permet à des logiciels malveillants (ou n’importe quel script/contenu aléatoire) d’être ajouté à votre site. Cette faille n’étant actuellement pas corrigée, il est fortement conseillé de supprimer ce plugin de vos sites.
Une faille de sécurité majeure frappe toutes les versions d’Internet Explorer, de même que le nouveau navigateur Spartan de Microsoft. En attendant le correctif, il est recommandé d’utiliser un autre navigateur.
Le service de stockage en ligne iCloud d’Apple est populaire, non seulement chez les propriétaires de Mac, mais aussi des utilisateurs Windows … … et, malheureusement, des cyber-escrocs.
Cette fois, les escrocs ont modifié leur arnaque habituelle. Plutôt que de demander un paiement que vous êtes censé avoir effectué, mais qui n’a pas eu lieu, ils contestent la transaction, et vous demande, bien entendu, d’effectuer à nouveau ce paiement, via leur fausse page, vous demandant bon nombre d’informations inutiles. Soyez prudent si vous recevez un tel message!
Alertes en Vrac (hors WordPress)
- Le routeur TP-LINK Wireless Lite N Router WR741N peut être piraté via du code Javascript
- Des pirates ont eu accès aux données de plus de 69 millions de clients d’une des plus grandes sociétés de santé aux
États-Unis, Anthem Inc., Ils ont eu accès aux numéros de sécurité sociale, dates de naissance, noms, données
de revenus, etc…
- Des pirates russes ont compris comment récupérer jusqu’à plus d’un milliard de noms d’utilisateur et mots de passe des utilisateurs d’Internet à travers le monde.
- Plusieurs plugin Drupal sont porteurs de failles de type Cross Site Scripting ou Cross Site Request Forgery
- La réceptionniste d’un dentiste de Manhattan aurait volé les renseignements personnels des patients et les a utilisé pour acheter des cartes-cadeaux d’Apple, dont la valeur totale a été estimée à près de $ 700,000 (environ € 611,000)
- Divulgation potentielle des Mot de passe des comptes MyBitdefender – Un chercheur en sécurité affirme avoir trouvé deux problèmes de sécurité entre la dernière version de Bitdefender Internet Security et la connexion à la console Web MyBitdefender. Ces problèmes permettent la divulgation des login et des mot de passe des comptes utilisateurs.
- Presque tous les liens d’About.com sont vulnérabless aux attaques XSS, XFS (Cross Frame Scripting)
- Le site Internet La Boutique Officielle, spécialiste de la vente de vêtements « Urban » a été piraté et les données
clients ont été volées.
- Le Modem-Routeur Shuttle Tech ADSL 915 WM – comporte une faille permettant à un attaquant de modifier les DNS
- Windows tcpip.sys – Une vulnérabilité dans le pilote de protocole TCP / IP de Microsoft, tcpip.sys, peut permettre à un attaquant d’injecter la mémoire contrôlée dans un emplacement arbitraire du noyau de Windows.
- AVG Internet Security 2015 – Elévation de privilèges
- Malwarebytes Anti-Malware / Anti-Exploit Update – Elévation de privilèges
Alerte de Sécurité WordPress – 09 Février 2015
Liste des plugin et thèmes WordPress présentant des failles
- WordPress Easing Slider – Cross Site Scripting
- WordPress Pixarbay Images version 2.3 – Plusieurs vulnérabilités
- WordPress Easing Slider – Cross Site Scripting
- WordPress WP eCommerce – deux vulnérabilités
- WordPress CIP4 Folder Download Widget – Traversée de répertoire
- WordPress Bretheon – Traversée de répertoire
- WordPress Pie Register version 2.0.13 – Elévation de privilèges
- FancyBox for WordPress version <= 3.0.2 – Cross-Site Scripting
- UpdraftPlus <= 1.9.50 – Elévation de privilèges
- Cforms Plugin version 14.7 – Exécution de Code à distance
- WordPress Platform Theme – Exécution de Code à distance
- WordPress Quasar Theme version 1.9.1 – Elévation de privilèges
- Photo Gallery version <= 1.2.11 – Injection SQL
- XCloner pour WordPress – Plusieurs vulnérabilités
- Users Ultra version <= 1.4.35 – Injection SQL
Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!
Conseils pour améliorer la sécurité de votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
La sécurité nous concerne tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!
Publié à l'origine le : 9 février 2015 @ 9 h 43 min