La troisième alerte de la semaine! Est ce que c’est un bon signe? Certainement pas, mais ne voyant pas le mal partout, n’est ce pas, il nous entoure dès que nous nous connections à Internet, alors pourquoi paniquer. 🙂
Parmi les plugin affectés par des failles de sécurité, il y a WordPress SEO by Yoast (pour les versions inférieures à 1.7.3.3) qui est porteur d’une faille de type Injection SQL. Toutefois, l’équipe de Yoast a réagit très vite en mettant en ligne la version 1.7.4 qui corrige ce problème, alors mettez à jour WordPress SEO by Yoast, sans tarder!
Alertes en Vrac (hors WordPress)
- Le ministère du Commerce américain a eu la « bonne idée » de publier la liste des sites favorisant le piratage dans le but d’inciter les autorités internationales à agir contre eux. Et ils pensent peut être que personne d’autre ne va utiliser cette liste?
- Une faille matérielle, baptisée Rowhammer, permet à des pirates d’exploiter des barrettes défectueuses de DRAM, que l’on trouvent sur les PC et les serveurs de données, pour prendre le contrôle d’un ordinateur.
- La CIA a mis les bouchées doubles pour trouver des failles dans les produits Apple et contourner ainsi les protections en place, jouant une fois de plus avec les libertés et la vie privée de plusieurs millions de personnes.
- Une vulnérabilité dans le SDK Dropbox pour Android peut être exploitée par un attaquant pour télécharger les données sur un compte non autorisée.
- Les chercheurs de Trend Micro ont analysé un malware qui se connecte à des routeurs domestiques pour analyser les périphériques connectés, puis envoie les informations qu’il recueille à un serveur, avant de s’effacer sans laisser de trace. Le fichier infecte les utilisateurs qui naviguent sur des sites Web malveillants hébergeant une prétendue mise à jour d’Adobe Flash.
Alerte de Sécurité WordPress – 12-03-2015
Un cheval de Troie inversé pour WordPress, un malware (installé sans le consentement du webmaster), ajoute des fonctionnalités à WordPress. Ce malware a touché beaucoup de site utilisant WordPress dernièrement. Il crée des portes dérobées pour les mots clés pharmaceutiques et redirige les visiteurs en provenance des moteurs de recherche vers des sites tiers.
Lire l’article Inverted WordPress Trojan (en anglais) sur leblog de Sucuri.net.
Plugin et Thèmes WordPress présentant des failles
- WordPress SEO by Yoast version <= 1.7.3.3 – Blind SQL Injection
- MainWP Child version <= 2.0.9.1 – Contournement d’authentification
- WordPress Rock Form Builder – Elévation de privilèges
- WordPress Gallery Bank Responsive Photo Gallery – Injection SQL
- WordPress ADPlugg – Cross Site Scripting
- WordPress WooCommerce – Cross Site Scripting
- WordPress Easy Social Icons – Cross Site Scripting
- Pie Register version 2.0.14 – Cross Site Scripting
- WordPress Fraction Theme version 1.1.1 – Elévation de privilèges
- WordPress Daily Edition version 1.6.2 – Upload de Fichiers
- WonderPlugin Audio Player version < 2.1 – Plusieurs failles de type Cross Site Scripting
Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!
Conseils pour améliorer la sécurité de votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!
Publié à l'origine le : 12 mars 2015 @ 10 h 02 min