Alerte de sécurité WordPress | Android | Flash | Twitch – 25-03-2015

Dans le monde qui nous entoure, la seule chose dont l’on soit sûre c’est que notre sécurité est en panne, ou sur le point d’y être, mais que l’on ne fait pas grand chose pour y remédier.

Des chercheurs en sécurité trouvent tous les jours des bugs, failles, malware et autres virus qui ne sont que les prémices de ce qui nous attends si nous ne prenons pas en main notre propre sécurité.

Pour preuve s’il en fallait encore, des scientifiques ont utilisé l’imagerie par résonance magnétique (IRM) pour mesurer la chute de l’attention d’un cerveau humain lorsqu’un utilisateur d’ordinateur est soumis à seulement deux avertissements de sécurité dans un laps de temps court. Au delà de dix avertissement, le cerveau montre une absence quasi totale de réactions…

Si nous ne prenons pas immédiatement les alertes en compte, cela laisse augurer de sérieux soucis dans un avenir pas si lointain que cela.

printemps

Mais c’est le printemps, alors on ne va pas se prendre la tête…

Alertes en Vrac (hors WordPress)

  • Une jeune fille de 12 ans, de Boulder dans le Colorado (USA) a été arrêté vendredi pour tentatives d’empoisonnement sur sa mère pour avoir privé, deux fois, sa fille de son iPhone.
  • Un chercheur en sécurité affirme qu’il y a un bug dans l’API Instagram qui pourrait permettre à un attaquant d’envoyer un message avec un lien vers une page qui héberge un fichier malveillant et qu’il contrôle. Lorsque l’utilisateur télécharge le fichier, il apparaîtra comme venant du domaine Instagram, conduisant la victime à faire confiance à la source.
  • Les autorités pakistanaises interdisent l’accès au domaine WordPress.com et tous ses sous-domaines.  A l’heure actuelle, il semble que les blogs WordPress.org auto-hébergés ont été épargnés.
  • Des chercheurs en sécurité ont découvert qu’un bug, patché par la société en 2011, dans les anciennes versions du compilateur Adobe Flex SDK, peut encore être exploitée par un attaquant dans les dernières versions du plugin navigateur de Flash Player.
  • Victime d’une intrusion, la plate-forme de streaming de jeu Twitch force ses utilisateurs à changer leur mot de passe.
  • Android est victime d’une faille qui permet de remplacer une vraie appli par un malware. Près de la moitié des utilisateurs Android peut être victime de cette vulnérabilité qui donne accès à toutes les  informations du smartphone, même les plus sensibles.
  • Plus de 700 000 routeurs ADSL fournis par les FAI à travers le monde sont vulnérables au piratage à distance en raison d’un défaut appelé « directory traversal » (Traversée de répertoire)

Alerte de sécurité WordPress – 25-03-2015

Alerte de sécurité WordPress

Plugin et Thèmes WordPress présentant des failles

[alert-note]Faiblesses dans la gestion des autorisations, privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note] [alert-note]Un attaquant peut écrire arbitrairement des données dans un fichier et exécuter le code entré sans que l’administrateur soit averti[/alert-note] [alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la paget[/alert-note] [alert-note]Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service[/alert-note] [alert-note]Les attaques de type Cross Site Request Forgery utilisent l’utilisateur comme déclencheur, l’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés[/alert-note] [alert-note]Une injection SQL est une faille qui permet à un attaquant d’injecter une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note]

Sécurité WordPress

Aucune faille n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour sécuriser votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.


 La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

Publié à l'origine le : 25 mars 2015 @ 10 h 20 min

Pour compléter votre lecture.