Alerte de Sécurité WordPress | – 23 Janvier 2015

Après deux alertes sévères en 2014 (Heartbleed and Shellshock), il faut s’attendre à ce que 2015, qui a mal commencé en terme de sécurité, ne soit guère mieux loti. Les attaques quotidiennes que se livrent des groupes de pirates rivaux vont en empirant, et à l’heure actuelle personne ne sait quelle sera l’issue de ces batailles numériques.

La sécurité sur Internet semble en panne dans tous les domaines de part le monde, parmi les victimes, des sociétés connues dont certaines spécialisées dans la sécurité, et pas des moindres, pour preuve:

• Alibaba, concurrent chinois d’Amazon, est victime d’une faille de type Cross Site Scripting

• McAfee Advanced Threat Defense Sandbox sensé protèger contre les logiciels malveillants est victime d’une faille grave

• MalwareBytes Anti-Exploit versions 1.03.1.1220 et 1.04.1.1012 souffre d’une vulnérabilité de déni de service

• Symantec Server Advanced et Symantec Critical System Protection souffre de failles de type Cross Site Scripting, Injection SQL, Divulgation d’informations, etc…

• Fuite d’information depuis Google Drive

Cerise sur le gâteau, les jauges des réservoirs automatiques des stations de carburant peuvent être programmées et surveillées par un port série intégré, un fax/modem ou un réseau TCP / IP, toutefois le mot de passe sensé protéger les interfaces série, n’est que rarement mis en œuvre.

Résultat, plusieurs centaines de milliers de jauges à travers le monde, sont à la merci d’attaquants qui sont en mesure de fermer les stations en trompant le niveau de combustible déclaré. Le dysfonctionnements des jauges de réservoirs est considéré comme un problème grave en raison des questions de réglementation et de sécurité qui peuvent s’appliquer.

Alertes en Vrac (hors WordPress)

De nombreux thèmes WordPress sont porteurs d’une  faille permettant à des attaquants de changer la première page des sites au travers du fichier download.php. Mettez à jour vos thèmes pour éviter d’être victime de piratage.

• McAfee ePO victime d’une injection XML externe – Un attaquant authentifié peut transmettre des données XML illicites, afin de lire un fichier, de scanner des sites, ou de mener un déni de service.

• Un des pirates ayant mis en ligne le dernier album de Madonna a été arrêté

• Une vulnérabilité dans la voiture de luxe électrique, la Tesla Model S, permet à un attaquant de  déverrouiller le véhicule, démarrez le moteur et partir avec elle sans rien abîmer.

• Le compte Twitter du journal Le Monde a été brièvement pris en otage par un groupe de hacker syrien, qui a affiché une bannière « Je Ne Suis Pas Charlie ». « 

• Des joueurs, dans certains pays d’Asie, ont été ciblés par des cybercriminels qui ont implanté un cheval de Troie dans les versions officielles des jeux en ligne League of Legends (LoL) et Path of Exile (PoE).

• Le FBI a émis une alerte vers les utilisateurs d’ordinateurs concernant des escroqueries de type ransomware. Le verrouillage de l’ordinateur est une façon cybercriminelle de tenter d’extorquer de l’argent de leurs victimes.

• Les analystes des Laboratoires Bitdefender alertent que des cybercriminels envoient des e-mails ciblés au service administratif des entreprises avec en pièce jointe un fichier tout à fait inoffensif. Ces e-mails prennent la forme d’un virement, émis par une banque, et comportent un fichier Microsoft Word (.doc) ou Excel (.xls).

• Google diffuse trois failles de sécurité concernant Apple OS X

• 11 pour cent des applications bancaires Android sont suspectes.

• osTicket  – Porteur d’une faille de type Cross Site Scripting

• Android PhotoSync 1.1.3 – Porteur d’une faille de type Injection de données

• Android Remote Desktop v0.9.4 – Porteur d’une faille de type de plusieurs vulnerabilité

• Prestashop version 1.6.0.9 – Porteur d’une faille de type Cross Site Scripting

Alerte de Sécurité WordPress – 23 Janvier 2015

 

Liste des plugin et thèmes WordPress présentant des failles

• WordPress WP SlimStat – Cross Site Scripting

[alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]

• WordPress Banner Effect Header – Cross Site Scripting

• WordPress Relevanssi : Cross Site Scripting

• WordPress SEO Friendly Images : Cross Site Scripting

• WordPress WP-EMail : Cross Site Scripting

• Contact Form 3.82 – Cross Site Scripting

• Cardoza AJAX Post Search – Injection SQL

[alert-note]Une injection SQL est un l’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note]

• Pagelines Theme <= 1.4.6 – Elévation de Privilèges

[alert-note]Une élévation des privilèges est un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement.[/alert-note]

• Platform Theme <= 1.6.2 – Elévation de Privilèges

• WP eCommerce 3.9.1 – Cross Site Scripting & Cross Site Request Forgery

[alert-note]Les attaques de type Cross Site Request Forgery utilisent l’utilisateur comme déclencheur, l’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés[/alert-note]

• Easing Slider – Cross Site Scripting

• Pods version < 2.5 – Cross-site scripting – Plusieurs Cross Site Request Forgery

• April’s Super Functions Pack version < 1.4.8 – Cross-site scripting

• mTouch Quiz before 3.0.7  – Plusieurs Cross Site Scripting

• Unconfirmed plugin before 1.2.5 – Cross Site Scripting

• WordPress Theme Avada – Téléchargement Arbitraire de Fichiers

[alert-note]Faiblesses dans la gestion des autorisations, privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note]

• WordPress Theme U-Design – Téléchargement Arbitraire de Fichiers

• WordPress Theme Pindol – Téléchargement Arbitraire de Fichiers

• WordPress A.F.D Theme Echelon- Téléchargement Arbitraire de Fichiers

• WordPress Theme Terra – Téléchargement Arbitraire de Fichiers

• Ultimatum Theme – Téléchargement Arbitraire de Fichiers

• Medicate Theme – Téléchargement Arbitraire de Fichiers

• Centum Theme – Téléchargement Arbitraire de Fichiers

• Striking Theme – Téléchargement Arbitraire de Fichiers

• IncredibleWP Theme – Téléchargement Arbitraire de Fichiers

• Ultimatum Theme – Téléchargement Arbitraire de Fichiers

• TrinityTheme – Téléchargement Arbitraire de Fichiers

• Lote27 Theme – Téléchargement Arbitraire de Fichiers

• Revslider Theme – Téléchargement Arbitraire de Fichiers

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils améliorer la sécurité de votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Limit Login Attempts
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

---

 La sécurité nous concerne tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

Publié à l'origine le : 23 janvier 2015 @ 13 h 44 min