Alerte de Sécurité WordPress | Android | Facebook – 17-03-2015

Il semble que l’alarmisme fonctionne toujours très bien. Les médias ont fait le buzz autour de la faille de WordPress SEO by Yoast, ce qui a poussé de nombreux utilisateurs à mettre à jour leur plugin.En fait, avant que cette vulnérabilité ne soit divulguée, moins de 40% des utilisateurs utilisaient la version 1.7 de WordPress SEO.

Malgré tout le bruit fait autour de cette faille seulement 67,3% des sites utilisent aujourd’hui la version 1.7 et certains n’utilise toujours pas la dernière version 1.7.4 qui inclut le correctif. (source: WP White Security)

Lollipop, lollipop… la chanson des Chordettes, en 1958 était entraînante et pleine de joie, mais la lollipop d’aujourd’hui va bientôt transformer bon nombre de périphériques Android, en zombies.

Depuis la sortie de la version 5 d’Android, les failles corrigées ne sont pas rétroactives, mettant en danger plusieurs centaine de millions d’utilisateurs… Qui faut-il remercier?

Alertes en Vrac (hors WordPress)

• Le site du célèbre chef Jamie Oliver transmet des logiciels malveillants aux visiteurs, mais cette fois la pièce est
  signée numériquement. Ouf, si ils sont signés on est rassuré alors!

• Un nouveau ver a été détecté sur Facebook, il se propage par un système de redirection complexe qui implique Amazon Web Services, pour télécharger un logiciel malveillant hébergé dans un compte de stockage Box.

• La sortie d’Android 5.1 intègre deux correctifs de sécurité qui peuvent accorder à un attaquant des privilèges élevés
  sur le périphérique ou conduire à un déni de service, ce qui signifie que tous les appareils ne recevant pas ce
  correctifs sont à risque. Merci qui?

• Yahoo prépare une extension pour le navigateur Chrome qui permettra de chiffrer, de bout en bout, les emails de Yahoo
  Mail. Cette extension sera compatible avec l’extension, du même type, créée par Google pour Gmail.

• Un chercheur en sécurité russe a révélé une vulnérabilité concernant les clés USB. Cette vulnérabilité pourrait surcharger et endommager les composants électroniques sensibles d’un PC rien qu’en connectant la clé USB à un ordinateur… Heureusement cette clé n’existe pas encore!

• Yahoo a introduit un nouveau système de mot de passe « à la demande » qui vous permet de vous connecter à votre compte en utilisant un code unique généré individuellement et qui sera transmis par SMS sur votre téléphone mobile.

Alerte de Sécurité WordPress – 17-03-2015

Plugin et Thèmes WordPress présentant des failles

• WordPress WP Media Cleaner : Cross Site Scripting

[alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]

• WordPress WPBook : Cross Site Request Forgery

[alert-note]Les attaques de type Cross Site Request Forgery utilisent l’utilisateur comme déclencheur, l’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés[/alert-note]

• WordPress WP SlimStat – Injection SQL

[alert-note]Une injection SQL est une faille qui permet à un attaquant d’injecter une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note]

• WordPress Event Calendar – Injection SQL

• WooCommerce 2.3 – 2.3.5 – Injection SQL

• IP Blacklist Cloud <= 3.42 – Divulgation de fichier local

[alert-note]La divulgation de fichiers local est une vulnérabilité qui donnent la possibilité de lire le code source d’un fichier[/alert-note]

• WPML <= 3.1.7.2 – Plusieurs Vulnérabilités

• WordPress Huge IT Slider 2.6.8 – Injection SQL

• WooThemes Daily Edition <= 1.6.2 – Cross-Site Scripting

• WordPress Download Manager – Exécution de code

[alert-note]Un attaquant peut écrire arbitrairement des données dans un fichier et exécuter le code entré sans que l’administrateur soit averti[/alert-note]

• WordPress WP Symposium – Upload de Fichiers

[alert-note]Un attaquant peut uploader un fichier illicite afin, par exemple, de déposer un Cheval de Troie[/alert-note]

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour améliorer la sécurité de votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Limit Login Attempts
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

---

 La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

Publié à l'origine le : 17 mars 2015 @ 12 h 21 min