Sécurité WordPress

Alerte de Sécurité WordPress, Poodle, Dropbox – 16 Octobre 2014

16 octobre 2014

Alerte de Sécurité WordPress, Poodle, Dropbox – 16 Octobre 2014

Les sites WordPress ne sont plus les seuls à être piratés, cela réchauffe le cœur, quoique… Selon les sites spécialisés dans la sécurité sur Internet, les choses vont en s’aggravant, pour exemple voici deux fausses, mais malgré tout vraies annonces de problème de sécurité.

80's style Hacker Picture

Selon la presse, Dropbox a été piraté le 14 Octobre dernier, à quoi les responsables du sites ont répondu :

Les récents articles prétendants que Dropbox a été hacké sont faux. Vos affaires sont en sécurité. Les identifiants et mots de passe référencés dans ces articles ont été volés sur d’autres services, pas sur Dropbox. Ces agresseurs ont ensuite utilisé ces combinaisons pour se connecter à de multiples sites sur Internet, dont Dropbox.

Source

La même mésaventure s’est produite la semaine passée avec l’application mobile Snapchat. Alors que les fichiers postés sont censés disparaîtres, il y aurait eu une fuite présumée de plusieurs centaines de milliers de fichiers, la société avait vite démenti le fait d’avoir été hackée, tout en accusant une application tierce, conçue pour sauvegarder les clichés et vidéos (qu’elle tente d’ailleurs d’interdire à ce titre), d’être responsable. Cette application, Snapsaved, a reconnu son erreur, dès le lendemain:

J’aimerais informer le public que le site snapsaved.com a été hacké, suite a une mauvaise configuration de notre serveur Apache. […] Snapchat n’a pas été hacké et les images en question ne proviennent pas de leur base de données.

Source

Et le pompon de la sécurité pour cette semaine, après HeartBleed et Shellshock, voici Poodle.

Les chercheurs de Google ont découvert un bug de sécurité nommé « Poodle » (qui signifie Caniche). La menace, bien que non négligeable, n’est pas aussi grave que Heartbleed ou Shellshock.

Poodle, pour « Padding Oracle on Downgraded Legacy Encryption », comme le précise Wired, est une faille qui affecte un protocole de chiffrement.

Poodle
Crédit : greg westfall  | licence cc by FlickR
Relativement simple à exploiter, et malgré qu’elle ne donne pas un accès direct aux données sensibles, elle pourrait sérieusement handicaper le commerce en ligne, mais pas seulement, car des services comme Twitter ou Google pourrait être affecté.

Un attaquant peut, au travers de cette faille, décrypter le cookie de votre session et ainsi prendre le contrôle de votre compte, sans avoir besoin de votre mot de passe.

Source

Alors que le nombre de failles de sécurité ne cesse d’augmenter, votre vie privée est elle aussi menacée. Soyez prévoyant, tant avec vos sites WordPress, qu’ avec les sites que vous visitez, la sécurité est une faille quasi permanente vers laquelle bon nombre de gens se précipitent.


 

 Alerte de Sécurité Plugin WordPress – 16 Octobre 2014

Liste des éléments WordPress présentant des failles

[alert-note]Une injection SQL est l’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note] [alert-note]Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note] [alert-note]Un attaquant peut uploader des fichiers illicites sur WordPress, afin par exemple de déposer un Cheval de Troie.[/alert-note]

La sécurité de votre site WordPress est plus que jamais en péril ces jours. Si dans les avertissements ci-dessus, vous repérez un plugin que vous utilisez, il vaut mieux le désinstaller avant qu’il ne soit trop tard.

Sécurité WordPress

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour la sécurité de votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.


Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez, Merci!

 

Laisser un commentaire

You have to agree to the comment policy.

-20% sur ElegantThemes.com Maintenant !Cliquez-ici !
+

-20% sur les thèmes et les plugins d’ElegantThemes.Com

-20%

OFFRE

Jours
Heures
Minutes
Secondes