Sécurité WordPress

Alerte de Sécurité WordPress | Android | Facebook – 17-03-2015

17 mars 2015

Alerte de Sécurité WordPress | Android | Facebook – 17-03-2015

Il semble que l’alarmisme fonctionne toujours très bien. Les médias ont fait le buzz autour de la faille de WordPress SEO by Yoast, ce qui a poussé de nombreux utilisateurs à mettre à jour leur plugin.En fait, avant que cette vulnérabilité ne soit divulguée, moins de 40% des utilisateurs utilisaient la version 1.7 de WordPress SEO.

WordPress SEO By Yoast

Malgré tout le bruit fait autour de cette faille seulement 67,3% des sites utilisent aujourd’hui la version 1.7 et certains n’utilise toujours pas la dernière version 1.7.4 qui inclut le correctif. (source: WP White Security)

Lollipop, lollipop… la chanson des Chordettes, en 1958 était entraînante et pleine de joie, mais la lollipop d’aujourd’hui va bientôt transformer bon nombre de périphériques Android, en zombies.

Depuis la sortie de la version 5 d’Android, les failles corrigées ne sont pas rétroactives, mettant en danger plusieurs centaine de millions d’utilisateurs… Qui faut-il remercier?

faille de sécurité du protocole USB

Alertes en Vrac (hors WordPress)

  • Le site du célèbre chef Jamie Oliver transmet des logiciels malveillants aux visiteurs, mais cette fois la pièce est
    signée numériquement. Ouf, si ils sont signés on est rassuré alors!
  • Un nouveau ver a été détecté sur Facebook, il se propage par un système de redirection complexe qui implique Amazon Web Services, pour télécharger un logiciel malveillant hébergé dans un compte de stockage Box.
  • La sortie d’Android 5.1 intègre deux correctifs de sécurité qui peuvent accorder à un attaquant des privilèges élevés
    sur le périphérique ou conduire à un déni de service, ce qui signifie que tous les appareils ne recevant pas ce
    correctifs sont à risque. Merci qui?
  • Yahoo prépare une extension pour le navigateur Chrome qui permettra de chiffrer, de bout en bout, les emails de Yahoo
    Mail. Cette extension sera compatible avec l’extension, du même type, créée par Google pour Gmail.
  • Un chercheur en sécurité russe a révélé une vulnérabilité concernant les clés USB. Cette vulnérabilité pourrait surcharger et endommager les composants électroniques sensibles d’un PC rien qu’en connectant la clé USB à un ordinateur… Heureusement cette clé n’existe pas encore!
  • Yahoo a introduit un nouveau système de mot de passe « à la demande » qui vous permet de vous connecter à votre compte en utilisant un code unique généré individuellement et qui sera transmis par SMS sur votre téléphone mobile.

Alerte de Sécurité WordPress – 17-03-2015

Alerte de sécurité WordPress

Plugin et Thèmes WordPress présentant des failles

[alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note] [alert-note]Les attaques de type Cross Site Request Forgery utilisent l’utilisateur comme déclencheur, l’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés[/alert-note] [alert-note]Une injection SQL est une faille qui permet à un attaquant d’injecter une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note] [alert-note]La divulgation de fichiers local est une vulnérabilité qui donnent la possibilité de lire le code source d’un fichier[/alert-note] [alert-note]Un attaquant peut écrire arbitrairement des données dans un fichier et exécuter le code entré sans que l’administrateur soit averti[/alert-note] [alert-note]Un attaquant peut uploader un fichier illicite afin, par exemple, de déposer un Cheval de Troie[/alert-note] Sécurité WordPress

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour améliorer la sécurité de votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.


 La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

2 commentaires
  1. Li-An

    Bonjour, c'est bizarre cette stat WP SEO sur les mises à jour vu que WP.org a lancé une mise à jour automatisée sur tous les sites qui l'ont installé.

  2. Hubert

    Les chiffres indiqués sont des statistiques provenant du site wpwhitesecurity.com. J'ai mis l'article a jour afin d'indiquer l'origine des chiffres, désolé pour l'oubli :)

Laisser un commentaire

You have to agree to the comment policy.

-25% sur ElegantThemes.com Maintenant !Cliquez-ici !
+