Sécurité WordPress

Alerte de sécurité WordPress – 11-06-2015

11 juin 2015

Alerte de sécurité WordPress – 11-06-2015

C’est pas que, mais quand même…

Le plugin XCloner version 3.1.1, qui avait déjà fait parlé de lui au mois de février dernier en raison de plusieurs vulnérabilités est à nouveau sur le devant de l’affiche avec pas moins de 5 vulnérabilités:

Un bon conseil, si XCloner est installé sur votre site, veillez à ce que la version installée soit la version 3.1.2.

Ceci dit, toujours sous lesfeux de la rampe, les plugin WordPress font les choux gras de tous les détracteurs de WordPress, arguant que d’autres CMS (tels que Joomla) ont moins de problèmes de sécurité.

Il faudrait peut être rappeler aux dénigreurs qu’avant de critiquer les autres, il vaut mieux d’abord balayer devant sa porte, mais aussi qu’avec près de 25% des sites Internet installés, WordPress a fait ses preuves.

Alerte de sécurité WordPress – 11-06-2015

Alerte de sécurité WordPress [Tweet « Vulnérabilités découvertes dans 10 plugin WordPress »]

Plugin et Thèmes WordPress présentant des failles

[alert-note]Faiblesses dans la gestion des autorisations, privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note] [alert-note]La vulnérabilité est uniquement présente lorsque l’option WooCommerce « PayPal Identity Token » est activée. Dans ce cas, votre site est vulnérable à une vulnérabilité de type Injection d’objet, ce qui signifie essentiellement que, selon le contexte, le site peut être utilisé pour faire une variété de choses, par exemple télécharger des fichiers critiques, comme wp-config.php.[/alert-note] [alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note] [alert-note]Dans certaines circonstances, cette vulnérabilité peut entraîner la divulgation d’informations sensibles qu’un attaquant peut exploiter pour accéder à un site.[/alert-note] [alert-note]Une injection SQL est une faille qui permet à un attaquant d’injecter une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note] [alert-note]Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service[/alert-note] [alert-note]La faille permet à un utilisateur d’inclure des fichiers locaux (appartenant donc au serveur externe) à partir d’une URL[/alert-note] [alert-note]Une élévation des privilèges est un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement[/alert-note] [alert-note]Les attaques de type Cross Site Request Forgery utilisent l’utilisateur comme déclencheur, l’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification est contourné[/alert-note] Sécurité WordPress [Tweet « Failles de sécurité dans 10 plugin WordPress »]

Aucune faille n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour sécuriser votre site

      • Ne pas utiliser “admin” comme identifiant administrateur
      • Faites attention à ce que vous téléchargez
      • Mettez à jour WordPress
      • Mettez à jour vos thèmes et plugin
      • Utilisez un mot de passe fort
      • Limitez le nombre de tentatives de connexion avec Login LockDown
      • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
      • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

séparateur de texte

 La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

2 commentaires
  1. Li-An

    Vous n'avez pas parlé de http://wptavern.com/woothemes-fixes-xss-vulnerability-in-products-using-the-prettyphoto-library.Le plugin History Collection ne semble disponible nulle part ???

  2. Hubert

    Effectivement, il n'est plus disponible sur le repository WordPress : https://wordpress.org/plugins/history-collection/

Laisser un commentaire

You have to agree to the comment policy.

-20% sur ElegantThemes.com Maintenant !Cliquez-ici !
+