Alerte de Sécurité WordPress – 30 Octobre 2014

Depuis le 22 Octobre, l’ensemble des plugin et thèmes de WordPress semblaient être dépourvus de failles de sécurité. Loin s’en faut, les failles ont été plus longues à apparaître.

Poodle n’a pas fini de faire parler de lui

Je vous ai parlé dans l’Alerte de sécurité du 16 Octobre 2014, de Poodle (pour “Padding Oracle on Downgraded Legacy Encryption”),qui est une faille qui affecte un protocole de chiffrement SSL.

La vulnérabilité permet à un pirate de devenir le « man in the middle » (celui qui voit tout) d’une conversation entre votre navigateur et un serveur Web et ainsi surveiller les données sécurisées, voler des numéros de carte de crédit, etc… Cela signifie que si vous exécutez un site d’e-commerce en utilisant un plugin tel que WooCommerce et si votre site communique avec une passerelle de paiement comme PayPal ou Authorize.net, votre site risque d’être affecté. Voyez avec votre hébergeur les mesures qu’il a mis en place.

Liste Noire Google

Depuis le week-end dernier, Google a mis sur liste noire deux sites très connus des surfeurs, « bit.ly » et « del.icio.us », comme hébergeant des malwares. Même si vous n’êtes pas d’accord avec la position de Google de « blacklister » ces deux sites, gardez à l’esprit que si les sites restent sur la liste noire, un lien vers ces sites peut nuire à votre classement dans le moteur de recherche.

Il est donc fortement conseillé d’examiner attentivement vos liens, modifiez les liens raccourcis créé avec « bit.ly » et remplacez les par des liens créé avec Pretty Link, de même pour les liens pointant vers del.icio.us sont à remplacer remplacez par des liens vers Delicious.com.

 

Alerte de Sécurité WordPress – 30 Octobre 2014

Liste des éléments WordPress présentant des failles

• WordPress Spreadsheet (wpSS) plugin 0.62 : Injection SQL

[alert-note]Une injection SQL est l’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité[/alert-note]

•  WordPress HTML5 and FLash PLayer Plugin :  : Injection SQL

•  WordPress CP Multi View Event Calendar 1.01 : Injection SQL

•  WordPress GB Gallery Slideshow plugin 1.5 : Injection SQL

• WordPress Count-per-Day Plugin : Injection de Code

[alert-note]Possibilité d’injection à distance de code malveillant par un attaquant[/alert-note]

•  WordPress HT-Poi Plugin : Téléchargement possible des fichiers

[alert-note]Un attaquant peut télécharger tous les fichiers présents sur le serveur[/alert-note]

• WordPress Download Manager Plugin : Inclusion arbitraire de fichiers

[alert-note]Faiblesses dans la gestion des autorisations , privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note]

• WordPress gallery-bank Plugin : Upload Vulnerability

[alert-note]Un attaquant peut uploader un fichier illicite sur WordPress Formidable Forms, afin par exemple de déposer un Cheval de Troie[/alert-note]

• WordPress Creative Contact Form 0.9.7 : Shell Upload

[alert-note]Un attaquant peut uploader des fichiers illicites sur WordPress, afin par exemple de déposer un Cheval de Troie[/alert-note]

• WordPress Database Manager 2.7.1 : Injection de Commande

[alert-note]La faille permet d’injecter des commandes SQL directement dans le plugin et ainsi donner l’accès aux identifiants du site[/alert-note]

• WordPress Content Audit : Blind SQLi vulnerability

[alert-note]Un attaquant avec le rôle d’administrateur peut insérer du code qui sera exécuté quotidiennement via wp-cron job[/alert-note]

• WordPress Rich Counter 1.1.5 : Cross-Site Scripting (XSS)

[alert-note]Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]

• WordPress Alipay <= 3.6.0 : Cross-Site Scripting (XSS)

A chaque nouvelle alerte vous êtes en mesure de constater que pas un thème ou un plugin soit exempt de faille, certaines sont résolues avant même que des sites spécialisées ne les découvrent, alors que d’autres traînent parfois des mois leur problème de sécurité, avant d’être réparé.

 

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour la sécurité de votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Limit Login Attempts
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème.

---

 

Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!

 

Publié à l'origine le : 30 octobre 2014 @ 10 h 07 min