Alerte de Sécurité WordPress | SEO by Yoast | DropBox | Dram – 12-03-2015

La troisième alerte de la semaine! Est ce que c’est un bon signe? Certainement pas, mais ne voyant pas le mal partout, n’est ce pas, il nous entoure dès que nous nous connections à Internet, alors pourquoi paniquer. 🙂

Parmi les plugin affectés par des failles de sécurité, il y a WordPress SEO by Yoast (pour les versions inférieures à 1.7.3.3) qui est porteur d’une faille de type Injection SQL. Toutefois, l’équipe de Yoast a réagit très vite en mettant en ligne la version 1.7.4 qui corrige ce problème, alors mettez  à jour WordPress SEO by Yoast, sans tarder!

Alerte de sécurité WordPress

Alertes en Vrac (hors WordPress)

  • Le ministère du Commerce américain a eu la « bonne idée » de publier la liste des sites favorisant le piratage dans le but d’inciter les autorités internationales à agir contre eux. Et ils pensent peut être que personne d’autre ne va utiliser cette liste?
  • Une faille matérielle, baptisée Rowhammer, permet à des pirates d’exploiter des barrettes défectueuses de DRAM, que l’on trouvent sur les PC et les serveurs de données, pour prendre le contrôle d’un ordinateur.
  • La CIA a mis les bouchées doubles pour trouver des failles dans les produits Apple et contourner ainsi les protections en place, jouant une fois de plus avec les libertés et la vie privée de plusieurs millions de personnes.
  • Une vulnérabilité dans le SDK Dropbox pour Android peut être exploitée par un attaquant pour télécharger les données sur un compte non autorisée.
  • Les chercheurs de Trend Micro ont analysé un malware qui se connecte à des routeurs domestiques pour analyser les périphériques connectés, puis envoie les informations qu’il recueille à un serveur, avant de s’effacer sans laisser de trace. Le fichier infecte les utilisateurs qui naviguent sur des sites Web malveillants hébergeant une prétendue mise à jour d’Adobe Flash.

Alerte de Sécurité WordPress – 12-03-2015

Un cheval de Troie inversé pour WordPress, un malware (installé sans le consentement du webmaster), ajoute des fonctionnalités à WordPress. Ce malware a touché beaucoup de site utilisant WordPress dernièrement. Il crée des portes dérobées pour les mots clés pharmaceutiques et redirige les visiteurs en provenance des moteurs de recherche vers des sites tiers.

Lire l’article Inverted WordPress Trojan (en anglais) sur leblog de Sucuri.net.

sécurité WordPress

Plugin et Thèmes WordPress présentant des failles

[alert-note]Blind SQL Injection est une technique avancée d’injection de données (Injection SQL) dans une base vulnérable. Cette faille se caractérisent parle fait que les résultats de l’injection ne sont pas visibles pour l’attaquant[/alert-note] [alert-note]Cette vulnérabilité permet à quiconque de se connecter en tant qu’administrateur sans qu’il soit nécessaire de fournir des identifiants de connexion[/alert-note] [alert-note]Une élévation des privilèges est un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement[/alert-note] [alert-note]Une injection SQL est une faille qui permet à un attaquant d’injecter une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note] [alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note] [alert-note]Un attaquant peut uploader un fichier illicite afin, par exemple, de déposer un Cheval de Troie[/alert-note]

Sécurité WordPress

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour améliorer la sécurité de votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.


 La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

Publié à l'origine le : 12 mars 2015 @ 10 h 02 min

Pour compléter votre lecture.