Alerte de Sécurité WordPress – 10 Octobre 2014

Les sites WordPress sont à nouveau les cibles d’une menace de sécurité impliquant, cette fois, un réseau de cybercriminalité russe, qui est en train de voler les informations de connexion de grande banques américaines (JP Morgan Chase, CitiGroup) et européennes.

Grâce à l’utilisation d’un botnets (réseau de robots informatiques), les cybercriminels ont déjà obtenu des renseignements sur plus de 800.000 transactions bancaires en ligne. Plus de 50 pour cent d’entre elles concernent cinq des plus grandes banques des États-Unis.

Le côté sombre d’Internet réapparaît

Des criminels ont réussi à prendre le contrôle de sites WordPress en achetant des identifiants de connexion administrateur sur les marchés de la cybercriminalité en ligne. JPMorgan Chase a dévoilé que les données de 76 millions de ménages et 7 millions de PME avaient été volées.

La moins mauvaises nouvelles, c’est que la plupart des ordinateurs qui ont été touchées (environ 52 pour cent) utilisent encore Windows XP. Peut-être que Microsoft a eu raison de pousser les gens à changer de version de système d’exploitation, après tout!

Dans tous les cas, si vous utilisez un système d’exploitation Windows à jour, vous êtes probablement en sécurité, du moins pour l’instant!

Par mesure de sécurité, si vous utilisez un site WordPress, changez votre mot de passe IMMEDIATEMENT, créez un mot de passe fort et prenez l’habitude de le modifier périodiquement (ce qui évitera peut être des désagréments, un jour prochain).

Et MailPoet refait parler de lui!

Il y a quelques temps, le très populaire plugin Mailpoet contenait une vulnérabilité grave, aujourd’hui il est à nouveau en pointe parmi les failles de sécurité.

Une nouvelle faille a été découverte, et elle permet aux attaquants de pirater un site sain en utilisant un site contaminé pour y installer un malware, Command and Control (C&C), puis contacte des serveurs pirates pour déterminer que faire avec les sites contaminés.

Ne perdez pas de temps et, si vous faites partie des plus de 2.7 millions de sites WordPress ayant installé MailPoet, vérifiez que votre version est à jour (version 2.6.11 le 10 Octobre 2014), sinon, faites la mise à jour sans tarder. La sécurité de votre site WordPress en dépends.

  Alerte de Sécurité Plugin WordPress – 10 Octobre 2014

D’anciennes failles réapparaissent, ce qui n’augure pas de bonnes choses pour certains plugin. La sécurité de votre site WordPress repose avant tout sur le suivi que vous apportez à votre site, la mise à jour des plugin et des thèmes.

Liste des éléments présentant des failles

• WordPress InfusionSoft : Upload de fichiers

[alert-note]Un attaquant peut donc uploader un fichier illicite sur WordPress ck-and-syntaxhighlighter, afin par exemple de déposer un Cheval de Troie.[/alert-note]

• WordPress BulletProof Security 50.8 : Insertion de Script

[alert-note]Un attaquant local ou distant, sans compte utilisateur, peut injecter un code de script malveillant[/alert-note]

• Contact Form DB 2.8.13 : 2  Cross-Site Scripting

[alert-note]Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]

• EWWW Image Optimizer 2.0.1 : Cross-Site Scripting

• Spider Facebook 1.0.8 : SQL Injection

[alert-note]Une injection SQL est l’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note]

• Users Ultra 1.3.37 : SQL Injection

• Easy MailChimp Forms 3.0 – 5.0.6 : Cross-Site Scripting persistant

• MailPoet : Cross-site Request Forgery

[alert-note]Les attaques de type cross-site request forgery utilisent l’utilisateur comme déclencheur, il devient complice, sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés[/alert-note]

• MaxButtons WordPress : Cross-Site Scripting

• Google Calendar Events : Cross-Site Scripting

La sécurité de votre site WordPress est plus que jamais en péril ces jours. Si dans les avertissements ci-dessus, vous repérez un plugin que vous utilisez, il vaut mieux le désinstaller avant qu’il ne soit trop tard.

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour la sécurité de votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Limit Login Attempts
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

Publié à l'origine le : 10 octobre 2014 @ 9 h 06 min