Vulnérabilité et Sécurité WordPress

Vulnérabilité de plusieurs plugin WordPress

Les semaines se suivent et se ressemblent en terme de sécurité, hier au soir, une nouvelle alerte de sécurité a été émise par Global Security Mag. Nous vous suggérons, par mesure de sécurité, de désinstaller ces plugins en attendant une mise à jour sécurisée.

Description de la Vulnérabilité : Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d’injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page

Description des Vulnérabilités :

  1. Un attaquant peut employer Database Backup, afin d’obtenir des informations sensibles.
  2. Un attaquant peut provoquer un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web. 

Description de la Vulnérabilité : Les attaques de type cross-site request forgery (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l’utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés.

Description de la Vulnérabilité : Une élévation des privilèges est, en informatique, un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement.

Description de la Vulnérabilité : Le plugin WordPress Frontend Upload peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté. Un attaquant peut donc envoyer un fichier malveillant sur WordPress en passant par WordPress Frontend Upload , afin, par exemple, de télécharger un cheval de Troie.

Description de la Vulnérabilité : Le plugin WordPress Kido peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté. Un attaquant peut donc envoyer un fichier malveillant sur WordPress en passant par Global Flash Galleris, afin, par exemple, de télécharger un cheval de Troie

Vulnérabilité WordPress

Attention : Vos sites WordPress sont en danger

La sécurité de votre site WordPress est compromise si vous ne tenez pas compte des  avertissements de sécurité. Si dans la liste ci-dessus, vous repérez un plugin installé sur votre site WordPress, il vaut mieux le désinstaller avant qu’il ne soit trop tard.

Rappel de Sécurité:

Une sauvegarde régulière de votre site WordPress est nécessaire afin de palier à tout problème.

BRANDT Valentin

J'ai travaillé dans l'informatique pendant près de 30 ans. De la formation, la maintenance, le développement, et le management, j'ai touché à presque tous les domaines. Maintenant que je ne travaille plus, je m'intéresse avant tout à Wordpress et Android.

Ne manquez pas nos autres contenus :