Alerte de Sécurité WordPress – 30 Septembre 2014

La semaine passée a été mauvaise en ce qui concerne la sécurité de WordPress. Alors qu’Apple a réussi à réparer le bug Bash ShellShocker, les serveurs fonctionnant sous Linux ne semblent avoir que des patchs provisoires, mais que semble-il la faille, introduite, sous forme de test, il y a plus de 20 ans risque de faire plus de dégâts que supposé à l’origine.

Alerte de Sécurité WordPress – 30 Septembre 2014

Aux failles détectées dans les plugin, se rajoutent aujourd’hui des problèmes de sécurité dans deux thèmes, lote27 and NativeChurch, tout deux offrant la possibilité à un attaquant de télécharger les fichiers contenus sur le serveur.

Il devient difficile de protéger votre site WordPress, faites en sorte de tenir compte des avertissements afin de palier à tout problème de sécurité prévisible.

Liste des éléments présentant une faille de sécurité

• My Calendar 1.10.2 : Cross-Site Scripting dans les paramètres de PATH_INFO

[alert-note]Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]

• Zingiri Web Shop 2.2.0 : Inclusion arbitraire de fichier

[alert-note]Faiblesses dans la gestion des autorisations , privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note]

• N-Media File Uploader Plugin < 3.4 : Inclusion arbitraire de fichier

• WP Photo Album Plus 5.4.4 & 5.4.3 : Cross-Site Scripting

• Advanced Access Manager 2.8.2 – Accès à l’écriture de fichiers et exécution arbitraire de code

[alert-note]Un attaquant peut écrire arbitrairement des données dans un fichier et exécuter le code entré sans que l’administrateur soit averti[/alert-note]

• WordPress Rich Counter : Cross Site Scripting

• WordPress Trinity : Traversée de répertoire de download.php

[alert-note]Un attaquant peut traverser les répertoires dans download.php de WordPress Authentic, afin de lire un fichier situé hors de la racine du service[/alert-note]

• WordPress Photo Gallery : Cross Site Scripting

• WordPress WP Support Plus Responsive Ticket System : Multiples vulnérabilités

[alert-note]Un attaquant peut provoquer une injection SQL, lire un chemin via downloadAttachment.php, traverser les répertoires et contourner l’authentification pour accéder à downloadAttachment.php[/alert-note]

• Easy MailChimp Forms < 5.06  :  Cross-Site Scripting

• lote27 Theme : Téléchargement possible des fichiers

[alert-note]Un attaquant peut télécharger tous les fichiers présents sur le serveur[/alert-note]

• NativeChurch Theme : Téléchargement possible des fichiers

---

La sécurité de votre site WordPress est compromise dès lors que vous ne tenez pas compte des avertissements donnés. Si dans la liste ci-dessus, vous repérez un plugin que vous utilisez, il vaut mieux le désinstaller avant qu’il ne soit trop tard.

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour sécuriser votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Limit Login Attempts
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel de Sécurité

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

---

Partagez les informations concernant la sécurité, nous sommes concernés!

Publié à l'origine le : 30 septembre 2014 @ 9 h 45 min