Alerte de sécurité WordPress – 28-05-2015

Si vous avez suivi les informations liées à WordPress au cours du mois passé, vous savez qu’il y a eu des failles de sécurité, comme le patch de sécurité de la version 4.2.1 et la faille de la version 4.2. Non seulement ces failles affectent WordPress lui-même, mais également un grand nombre de plugin.

Lorsque les dernières failles de WordPress ont été découvertes, il y a eu une certaine coordonnation des efforts entre les experts en sécurité, ceux qui développent le noyau de WordPress et les nombreux auteurs de thèmes et plugin.

Résultat, les correctifs de sécurité ont été mis en ligne en très peu de temps.

Globalement, la situation n’aurait pu être mieux gérée.L’information a été partagée efficacement avec pour résultat, au final, peu de sites vraiment touchés.

Malheureusement, les bonnes intentions ne sont que passagères, et aujourd’hui encore, une dizaine de plugin s’ajoutent à la liste, déjà bien trop longues des failles de sécurité entourant les plugin WordPress.

Alerte de sécurité WordPress – 28-05-2015

[Tweet « 10 plugin WordPress comportent des failles de sécurité! »]

Plugin et Thèmes WordPress présentant des failles

• NextScripts: Social Networks Auto-Poster <= 3.4.17 – Cross Site Scripting

[alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]

• ThemeMakers Themes – Divulgation d’informations pour l’ensemble des thèmes de ThemeMakers

[alert-note]Dans certaines circonstances, l’exploitation de cette vulnérabilité peut entraîner la divulgation d’informations sensibles.[/alert-note]

• WordPress Hide Login 1.0 – Cross Site Request Forgery

[alert-note]Les attaques de type Cross Site Request Forgery utilisent l’utilisateur comme déclencheur, l’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés[/alert-note]

• WordPress Aspose Cloud eBook Generator : Traversée de répertoire

[alert-note]Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service[/alert-note]

• WordPress Free Counter Plugin – Cross Site Scripting

• WordPress gotmls : Cross Site Scripting

• WP Fast Cache 1.4 – Cross Site Request Forgery & Cross Site Scripting

• WordPress Plugin Free Counter 1.1 – Cross Site Scripting

• WordPress Shopping Cart – Elévation de privilèges

[alert-note]Une élévation des privilèges est un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement[/alert-note]

• WordPress WP All Import – Elévation de privilèges

[Tweet « Faille de sécurité pour 10 plugin WordPress! »]

Aucune faille n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les problèmes de sécurité!

Conseils pour sécuriser votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Login LockDown
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

---

 La sécurité est l’affaire de tous, dans l’intérêt de tout le monde, Partagez cet article, Merci!

Publié à l'origine le : 28 mai 2015 @ 9 h 39 min