Alerte de Sécurité pour plusieurs plugin WordPress
Trop souvent négligée par les propriétaires de sites Internet, WordPress ou autres la sécurité est source de bien des tracas, et pourtant, il est plus facile de prévenir que de guérir.
Nous vous rappelons que si des attaques réussissent, c’est que l’homme derrière ces blogs a été faillible et n’a pas veillé à protéger son bien.
Ne soyez pas passifs en attendant que votre blog soit piraté, prenez en compte les mesures nécessaires pour faire de votre blog, un rempart contre les attaques.
Cette semaine Global Security Mag nous signale deux failles portant sur des plugin
Les plugins porteurs d’une faille de sécurité
- WordPress SEO Plugin LiveOptim: Cross Site Request Forgery – 2 May 2014
Description de la Vulnérabilité : Les attaques de type cross-site request forgery (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l’utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés.
- WordPress LineNity: directory traversal – 29 April 2014
Description de la Vulnérabilité : Les données de l’utilisateur sont directement insérées dans le chemin d’accès. Des séquences telles que «/ ..” peuvent ainsi être utilisées pour aller dans le répertoire supérieur. Un attaquant peut donc traverser les répertoires dans de WordPress, afin de lire des fichiers en dehors de la racine.
- WordPress Jetpack: Elevation des Privilege via XML-RPC – 29 April 2014
Description de la Vulnérabilité : Une élévation des privilèges est, en informatique, un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement.
- WordPress HK Exif Tags: Cross Site Scripting – 29 April 2014
Description de la Vulnérabilité : Le plugin ne filtre pas les données reçues avant de les insérer dans les documents HTML générés, un attaquant peut donc déclencher un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web
Ce n’est pas parce que les failles sont moins nombreuses que pour autant il faut relâcher la sécurité de votre site WordPress. Si vous repérez un plugin que vous utilisez, dans la liste ci-dessus, il vaut mieux le désinstaller avant qu’il ne soit trop tard.
Quelques points à vérifier pour sécuriser votre blog :
- Ne pas utiliser admin comme nom d’utilisateur
- Mettez à jour vos plugin et vos thèmes
- Sécurisez vos mots de passe
- Limitez le nombre de tentatives de connexion avec le plugin Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site
Utilisez au moins un plugin de sécurité pour votre site WordPress. Voici une liste non exhaustive de plugin qui vous aideront à sécuriser votre site WordPress :
- iThemes Security – Probablement le plus plugin de sécurité le plus performant
- All in One WP Security and Firewall – Un autre plugin très efficace
- BulletProof Scurity – Protège votre site via .htaccess
- All In One WP Security and Firewall – Ajoute un parefeu à votre site
- Sucuri Scanner – Scanne votre site pour débusquer les malware etc…
- WordFence – Plugin de sécurité très complet
- WebsiteDefender WordPress Security – Plugin simple à comprendre et à utiliser
- Exploit Scanner – Vérifie votre base de donnée à la recherche de code malicieux
Il est totalement inutile d’utiliser plusieurs plugin de sécurité, sauf si ceux-ci se complètent pour palier aux déficiences d’un autre.
Rappel de Sécurité:
Une sauvegarde régulière de la totalité de votre site WordPress est nécessaire afin de palier à tout problème.
Publié à l'origine le : 6 mai 2014 @ 17 h 28 min
