Alors que l’année se termine dans quelques heures, il faut bien constater que 2014 aura été une des plus mauvaises années en terme de sécurité pour WordPress.
Le 08 Avril dernier, la version 3.8.2 était la première des mises à jour de sécurité de l’année, le 06 Août la version 3.9.2 corrigeait d’autres failles et le 20 Novembre alors que l’on attendait la sortie de la version 4.1 de WordPress, la version 4.0.1 réparait des failles qui existaient depuis la version 3.0.
Outre le cœur de WordPress, de très nombreux (trop nombreux) plugin ont fait parler d’eux, soit pour de petites failles rapidement corrigées, soit pour de gros bugs générant des problèmes en cascade pour de nombreux sites.
Le dernier en date, le plugin Slider Revolution, a permis, rappelez vous, la diffusion du malware SoakSoak qui a touché plus de 100.000 sites WordPress, et qui malheureusement continue à faire des victimes. La dernière évolution du malware utilise des fichiers utilisés par une très grande majorité de blogueur, à savoir le fichier favicon.ico et background.png pour ouvrir une porte dérobée permettant l’infection d’un site.
Il est malheureusement prévisible que 2015 sera la continuité de 2014, et qu’il deviendra de plus en plus difficile de contrer ce genre d’attaques. Selon de nombreux experts, les prochaines attaques de masse concerneront les smartphones, les objets connectés, les terminaux de paiements, sans oublier les attaques ciblées du genre de celles survenues récemment sur les plateformes Sony et xBox Live, les chaînes de magasins et de grandes entreprises.
Alerte de Sécurité WordPress – 31 Décembre 2014
Liste des plugin WordPress présentant des failles
- WordPress WP Construction Mode : Cross Site Scripting
- WordPress Sliding Social Icons : Cross Site Scripting
- WordPress Timed Popup : Cross Site Scripting
- WordPress WP-FB-AutoConnect : Cross Site Scripting
- WordPress Lightbox Photo Gallery : Cross Site Scripting
- WordPress Facebook Like Box : Cross Site Scripting
- WordPress Sliding Recent Posts : Cross Site Scripting
- WordPress Simple Sticky Footer : Cross Site Scripting
- WordPress WP-ViperGB : Cross Site Scripting
- WordPress Simple Visitor Stat : Cross Site Scripting
- WordPress Our Team Showcase : Cross Site Scripting
- WhyDoWork AdSense 1.2 – Cross Site Scripting / Cross Site Request Forgery
- Sell Downloads 1.0.1 – Téléchargement Arbitraire de Fichiers
- DukaPress 2.5.2 – Traversé de Répertoire
- WordPress Frontend Uploader 0.9.2 – Cross Site Scripting
- WordPress Dmsguestbook – Injection de Données
- WordPress Frontend Uploader – Cross Site Scripting
- WordPress IP Ban – Cross Site Scripting
- WordPress Infusionsoft Gravity Forms – Upload de fichier
- WordPress N-Media – Upload de fichier
Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de votre domicile ouverte en partant, alors faites de même avec votre site WordPress, sécurisez le.
Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!
Conseils pour sécuriser votre site
- Ne pas utiliser “admin” comme identifiant administrateur
- Faites attention à ce que vous téléchargez
- Mettez à jour WordPress
- Mettez à jour vos thèmes et plugin
- Utilisez un mot de passe fort
- Limitez le nombre de tentatives de connexion avec Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
- Utilisez au moins un plugin de sécurisation tel que iThemes Security
Rappel important!
Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème de sécurité.
Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!
Publié à l'origine le : 31 décembre 2014 @ 10 h 26 min