Alerte de Sécurité WordPress – 31 Décembre 2014

Alors que l’année se termine dans quelques heures, il faut bien constater que 2014 aura été une des plus mauvaises années en terme de sécurité pour WordPress.

Le 08 Avril dernier, la version 3.8.2 était la première des mises à jour de sécurité de l’année, le 06 Août la version 3.9.2 corrigeait d’autres failles et le 20 Novembre alors que l’on attendait la sortie de la version 4.1 de WordPress, la version 4.0.1 réparait des failles qui existaient depuis la version 3.0.

Sécurité WordPress

Outre le cœur de WordPress, de très nombreux (trop nombreux) plugin ont fait parler d’eux, soit pour de petites failles rapidement corrigées, soit pour de gros bugs générant des problèmes en cascade pour de nombreux sites.

Le dernier en date, le plugin Slider Revolution, a permis, rappelez vous, la diffusion du malware SoakSoak qui a touché plus de 100.000 sites WordPress, et qui malheureusement continue à faire des victimes. La dernière évolution du malware utilise des fichiers utilisés par une très grande majorité de blogueur, à savoir le fichier favicon.ico et background.png pour ouvrir une porte dérobée permettant l’infection d’un site.

Il est malheureusement prévisible que 2015 sera la continuité de 2014, et qu’il deviendra de plus en plus difficile de contrer ce genre d’attaques. Selon de nombreux experts, les prochaines attaques de masse concerneront les smartphones, les objets connectés, les terminaux de paiements, sans oublier les attaques ciblées du genre de celles survenues récemment sur les plateformes Sony et xBox Live, les chaînes de magasins et de grandes entreprises.


 Alerte de Sécurité WordPress – 31 Décembre 2014

Sécurité WordPress

Liste des plugin WordPress présentant des failles

[alert-note]Le Cross Site Scripting est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note] [alert-note]Les attaques de type Cross Site Request Forgery utilisent l’utilisateur comme déclencheur, l’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés[/alert-note] [alert-note]Faiblesses dans la gestion des autorisations, privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note] [alert-note]Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service[/alert-note] [alert-note]La sécurité concernant la manipulation de fichier est remise en question car elle permet à un attaquant d’insérer du texte dans fichiers texte existants[/alert-note] [alert-note]Un attaquant peut uploader un fichier illicite, afin par exemple de déposer un Cheval de Troie.[/alert-note]

Sécurité WordPress

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour sécuriser votre site

  • Ne pas utiliser “admin” comme identifiant administrateur
  • Faites attention à ce que vous téléchargez
  • Mettez à jour WordPress
  • Mettez à jour vos thèmes et plugin
  • Utilisez un mot de passe fort
  • Limitez le nombre de tentatives de connexion avec Limit Login Attempts
  • Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
  • Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème de sécurité.


 Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!

Publié à l'origine le : 31 décembre 2014 @ 10 h 26 min

Pour compléter votre lecture.