Alerte de Sécurité WordPress, Webcam, Linux, Apple – 21 Novembre 2014

Malheureusement, les pirates et les spammeurs sont adeptes des failles des sécurité et ne manque pas d’espaces pour tenter de nuire à votre site web. Cela a toujours été un problème depuis le début d’Internet et ce sera probablement vrai encore longtemps.

Alerte de Sécurité WordPress – 21 Novembre 2014

Mauvaise semaine pour la sécurité WordPress:

  • WordPress vient de dévoiler la version 4.0.1 qui répare 8 problèmes de sécurité
  • Un faux plugin de sitemap, BWP Google XML Sitemaps (BWP-simple-GXS) est en réalité un malware qui injecte des liens vers des sites pour adultes
  • Les flux RSS des sites WordPress sont infectés par des codes malveillants
  • Les pirates réussissent à installer de faux plugin sur les sites WordPress, vérifiez régulièrement que les plugin de votre site sont bien ceux que vous avez installé.

Attention possesseurs de webcam!

Possesseurs de webcam, moniteur pour bébé ou caméra de sécurité à domicile, changez votre mot de passe dès à présent, les images de vos caméras sont publiées par un site russe qui tire parti du fait que les utilisateurs de ces appareils utilisent le mots de passe par défaut des appareils, tels que « 1234 », ou alors les fabricants, eux mêmes, divulguent sur leur site les mots de passe par défaut, ce qui facilite également le piratage. Il n’aura pas fallu longtemps pour que les pirates en fassent usage.

[alert-warning]Si vous utilisez une webcam intégrée à un ordinateur portable ou un notebook, je vous conseille de bricoler un cache qui obstrue l’objectif de la webcam lorsque vous ne l’utilisez pas, ainsi d’éventuels pirates ne pourraient vous enregistrer.[/alert-warning]
webcam
Source : iWatchlife

Infos de sécurité en vrac:

  • Mandriva, Ubuntu, Debian et RedHat sont porteurs de faille de sécurité
  • Microsoft a publié une mise à jour non planifiée pour réparer une faille de sécurité activement exploitée pour pirater les serveurs Windows
  • Apple TV 7.0.2 – Exécution de code malveillant
  • Apple OS X 10.10.1 – Exécution de code malveillant
  • Apple OS X iOS 8.1.1  – Exécution de code malveillant

Une vulnérabilité est un trou ou une faiblesse dans une l’application, un plugin, ou un thème, qui peut être un défaut de conception ou un bug , qui permet à un attaquant de causer des dommages aux utilisateurs.

 sécurité WP

Liste des éléments WordPress présentant des failles

[alert-note]Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note] [alert-note]Un attaquant peut provoquer un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web[/alert-note] [alert-note]Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données[/alert-note] [alert-note]Un attaquant peut provoquer un Cross Site Request Forgery, afin de forcer la victime à effectuer des opérations[/alert-note] [alert-note]iMember 360 permet à des attaquants distants afin de détourner l’authentification des administrateurs pour les demandes[/alert-note] [alert-note]iMember 360 permet aux administrateurs distant authentifié d’exécuter des commandes arbitraires via des métacaractères du shell dans le paramètre i4w_trace[/alert-note] [alert-note]Une attaque réussie pourrait permettre à un attaquant anonyme gagne le contrôle de l’application et la possibilité d’utiliser toutes les fonctions du système d’exploitation qui sont disponibles à l’environnement de script[/alert-note] [alert-note]Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service[/alert-note] [alert-note]Faiblesses dans la gestion des autorisations, privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note] [alert-note]Exécution de commandes arbitraires [/alert-note] [alert-note]Possibilité de télécharger les sauvegardes – Accès distant non authentifié de fichiers de sauvegarde via des noms de fichiers facilement à deviner[/alert-note] [alert-note]Mot de passe MySQL exposé[/alert-note] [alert-note]Effacer texte MySQL exposition de mot de passe via html zone de texte sous le panneau de configuration[/alert-note]

 

Sécurité WordPress

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de domicile ouverte en le quittant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour la sécurité de votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.


 Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!

Publié à l'origine le : 21 novembre 2014 @ 11 h 09 min

Pour compléter votre lecture.