Les sites WordPress ne sont plus les seuls à être piratés, cela réchauffe le cœur, quoique… Selon les sites spécialisés dans la sécurité sur Internet, les choses vont en s’aggravant, pour exemple voici deux fausses, mais malgré tout vraies annonces de problème de sécurité.
Selon la presse, Dropbox a été piraté le 14 Octobre dernier, à quoi les responsables du sites ont répondu :
Les récents articles prétendants que Dropbox a été hacké sont faux. Vos affaires sont en sécurité. Les identifiants et mots de passe référencés dans ces articles ont été volés sur d’autres services, pas sur Dropbox. Ces agresseurs ont ensuite utilisé ces combinaisons pour se connecter à de multiples sites sur Internet, dont Dropbox.
La même mésaventure s’est produite la semaine passée avec l’application mobile Snapchat. Alors que les fichiers postés sont censés disparaîtres, il y aurait eu une fuite présumée de plusieurs centaines de milliers de fichiers, la société avait vite démenti le fait d’avoir été hackée, tout en accusant une application tierce, conçue pour sauvegarder les clichés et vidéos (qu’elle tente d’ailleurs d’interdire à ce titre), d’être responsable. Cette application, Snapsaved, a reconnu son erreur, dès le lendemain:
J’aimerais informer le public que le site snapsaved.com a été hacké, suite a une mauvaise configuration de notre serveur Apache. […] Snapchat n’a pas été hacké et les images en question ne proviennent pas de leur base de données.
Source
Et le pompon de la sécurité pour cette semaine, après HeartBleed et Shellshock, voici Poodle.
Les chercheurs de Google ont découvert un bug de sécurité nommé « Poodle » (qui signifie Caniche). La menace, bien que non négligeable, n’est pas aussi grave que Heartbleed ou Shellshock.
Poodle, pour « Padding Oracle on Downgraded Legacy Encryption », comme le précise Wired, est une faille qui affecte un protocole de chiffrement.
Un attaquant peut, au travers de cette faille, décrypter le cookie de votre session et ainsi prendre le contrôle de votre compte, sans avoir besoin de votre mot de passe.
Alors que le nombre de failles de sécurité ne cesse d’augmenter, votre vie privée est elle aussi menacée. Soyez prévoyant, tant avec vos sites WordPress, qu’ avec les sites que vous visitez, la sécurité est une faille quasi permanente vers laquelle bon nombre de gens se précipitent.
Alerte de Sécurité Plugin WordPress – 16 Octobre 2014
Liste des éléments WordPress présentant des failles
- WordPress Users Ultra : Injection SQL
- WordPress MaxButtons 1.26.0 : Cross Site Scripting
- WordPress WP Google Maps 6.0.26 : Cross Site Scripting
- WordPress Work-The-Flow 1.2.1 : Shell Upload
La sécurité de votre site WordPress est plus que jamais en péril ces jours. Si dans les avertissements ci-dessus, vous repérez un plugin que vous utilisez, il vaut mieux le désinstaller avant qu’il ne soit trop tard.
Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!
Conseils pour la sécurité de votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.
Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez, Merci!
Publié à l'origine le : 16 octobre 2014 @ 8 h 39 min
