C’est pas que, mais quand même…
Le plugin XCloner version 3.1.1, qui avait déjà fait parlé de lui au mois de février dernier en raison de plusieurs vulnérabilités est à nouveau sur le devant de l’affiche avec pas moins de 5 vulnérabilités:
- Divulgation des données de connexion MySQL, donnant accès à des informations sensibles
Un bon conseil, si XCloner est installé sur votre site, veillez à ce que la version installée soit la version 3.1.2.
Ceci dit, toujours sous lesfeux de la rampe, les plugin WordPress font les choux gras de tous les détracteurs de WordPress, arguant que d’autres CMS (tels que Joomla) ont moins de problèmes de sécurité.
Il faudrait peut être rappeler aux dénigreurs qu’avant de critiquer les autres, il vaut mieux d’abord balayer devant sa porte, mais aussi qu’avec près de 25% des sites Internet installés, WordPress a fait ses preuves.
Alerte de sécurité WordPress – 11-06-2015
[Tweet « Vulnérabilités découvertes dans 10 plugin WordPress »]Plugin et Thèmes WordPress présentant des failles
- History Collection <= 1.1.1 – Téléchargement Arbitraire de fichiers
- WooCommerce <= 2.3.10 – Injection d’Objet
- Smart Website Tools by AddThis 4.0.6-5.0.2 – Cross Site Scripting
- WordPress WP REST API – Obtention d’informations
- WordPress Duplicator : injection SQL
- zM Ajax Login & Register plugin before 1.1.0 – Cross-site scripting & Traversée de répertoire
- WordPress RobotCPA Plugin V5 – Inclusion de fichier local
- WordPress MainWP-Child – Elévation de privilèges
- WordPress Encrypted Contact Form Plugin 1.0.4 – Cross-Site Request Forgery
Aucune faille n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!
Conseils pour sécuriser votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Login LockDown
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!
Publié à l'origine le : 11 juin 2015 @ 10 h 13 min