On a beau se dire que les failles de sécurité vont être réparées et que l’on peut attendre avant de mettre à jour son site, un site n’est jamais totalement sécurisé. Pour preuve, alors que tout le monde pense que le cœur de WordPress est sécurisé, une faille au niveau du protocole XML-RPC laisse un accès ouvert aux éventuels attaquants, cette faille mettant à risque tous les sites WordPress n’ayant pas sécurisé ce protocole.
Solution pour la faille XML-RPC de WordPress
Pour bloquer cette faille, si vous utilisez le plugin iTheme Security, rendez vous dans l’onglet Settings, puis à la section WordPress Tricks, cochez la case EditURI Header et dans la zone XML-RPC chosissez « Completely disable XMLRPC« . Si vous ne l’utilisez pas encore, ne tardez pas à téléchargez iThemes Security
Parmi les autres programmes ayant des failles plus ou moins dangereuses, il y a à l’heure actuelle:
- Internet Explorer 8 – Plusieurs failles sérieuses
- Noyau Linux, FreeBSD et Ubuntu – Plusieurs failles
- VLC Media Player – Plusieurs failles
- Apple Quicktime – Plusieurs failles
Ne perdons pas espoir, de nombreux spécialistes réparent jour à jour les failles qui permettent aux hackers de détruire des sites Internet. Si vous rencontrez un problème de sécurité, signalez le, au plutôt, à l’éditeur du plugin, du thème ou du programme, il vous en saura gré, comme tous les utilisateurs.
Alerte de Sécurité WordPress – 11 Novembre 2014
Liste des éléments WordPress présentant des failles
WordPress CP Multi View Event Calendar : Injection SQL
[alert-note]La faille permet d’injecter des commandes SQL directement dans le plugin et ainsi donner l’accès aux identifiants du site[/alert-note]WordPress Compfight Plugin : Cross Site Scripting
[alert-note]Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]WordPress XCloner – Backup and Restore Plugin : Plusieurs Vulnérabilités
Another WordPress Classifieds Plugin Injection SQL et Cross Site Scripting
Contact Form Clean and Simple <= 4.4.0 : Cross-Site Scripting
WordPress WPSS : Plusieurs vulnérabilités
[alert-note]Un attaquant peut employer plusieurs vulnérabilités de WordPress SpreadSheetWordPress core : Déni de service via xmlrpc.php
[alert-note]Un attaquant peut soumettre des requêtes XML-RPC afin de lire des informations privées ou de mener un déni der service[/alert-note]WordPress InfusionSoft Plugin : Upload de fichiers
[alert-note]Un attaquant peut uploader un fichier illicite sur WordPress Gmedia Gallery, afin par exemple de déposer un Cheval de Troie[/alert-note]Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de domicile ouverte en le quittant, alors faites de même avec votre site WordPress, sécurisez le.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!
Conseils pour la sécurité de votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!
Publié à l'origine le : 11 novembre 2014 @ 13 h 40 min