Alerte de sécurité WordPress – 10-06-2015

On pourrait presque croire croire qu’il y a une épidémie de problèmes de sécurité parmi les plugin WordPress… Failles après failles, les plugin ne cessent d’être dangereux pour vos sites, mais que faites vous pour y remédier?

Si vous avez un doute sur la sécurité de votre thème, le site ThemeCheck vous permettra de mettre fin à vos doutes. Themecheck.org est dérive du plugin Theme Check plugin avec des tests supplémentaires, moins de faux positifs et une compatibilité avec WordPress, entre autres. Ce service est indépendant de WordPress.org.

Alerte de sécurité WordPress – 10-06-2015

[Tweet « Failles de sécurité pour 7 plugin WordPress »]

Plugin et Thèmes WordPress présentant des failles

• WordPress SP Project & Document Manager – Injection SQL

[alert-note]Une injection SQL est une faille qui permet à un attaquant d’injecter une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note]

• WordPress TheCartPress – Cross Site Scripting & Traversée de répertoire & Execution de Code & Divulgation d’informations

[alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note] [alert-note]Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service[/alert-note] [alert-note]Un attaquant peut écrire arbitrairement des données dans un fichier et exécuter le code entré sans que l’administrateur soit averti[/alert-note] [alert-note]Dans certaines circonstances, l’exploitation de cette vulnérabilité peut entraîner la divulgation d’informations sensibles.[/alert-note]

• WordPress Wpshop eCommerce – Upload de fichier

[alert-note]Un attaquant peut uploader un fichier illicite afin, par exemple, de déposer un Cheval de Troie[/alert-note]

• WordPress Daily Edition – Injections SQL & Upload de fichier

• WP Limit Posts Automatically – Cross-Site Request Forgery

[alert-note]Les attaques de type Cross Site Request Forgery utilisent l’utilisateur comme déclencheur, l’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés[/alert-note]

• WordPress SP Project And Document Manager – Plusieurs Injections SQL

• O2Tweet – Plusieurs Cross-Site Request Forgery

[Tweet « Vulnérabilités découvertes dans 7 plugin WordPress »]

Aucune faille n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour sécuriser votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Login LockDown
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

 La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

Publié à l'origine le : 10 juin 2015 @ 12 h 07 min