Alerte de Sécurité pour plusieurs plugin WordPress
Trop souvent négligée par les propriétaires de sites Internet, WordPress ou autres la sécurité est source de bien des tracas, et pourtant, il est plus facile de prévenir que de guérir.
Nous vous rappelons que si des attaques réussissent, c’est que l’homme derrière ces blogs a été faillible et n’a pas veillé à protéger son bien.
Ne soyez pas passifs en attendant que votre blog soit piraté, prenez en compte les mesures nécessaires pour faire de votre blog, un rempart contre les attaques.
Cette semaine Global Security Mag nous signale des failles portant sur plusieurs plugin
Les plugins porteurs d’une faille de sécurité
- WordPress File Gallery : Exécution de Code – 12 Mai 2014
Description des Vulnérabilités : Un attaquant, ayant le rôle d’administrateur dans un environnement restreint, peut utiliser WordPress Galerie afin de faire exécuter du code PHP.
- WordPress iMember360 : Plusieurs vulnérabilités – 12 Mai 2014
Description des Vulnérabilités :
- Un attaquant peut modifier un paramètre, en vue d’obtenir des informations sensibles.
- Un attaquant peut provoquer un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web.
- Un attaquant peut supprimer un utilisateur, afin de provoquer un déni de service.
- Un attaquant peut employer le paramètre « i4w_trace », afin d’exécuter du code.
Toutes ces vulnérabilités sont à prendre au sérieux.
- WordPress Work-The-Flow : Téléchargement de fichiers malveillants – 12 Mai 2014
Description de la Vulnérabilité : Un attaquant peut envoyer un fichier malveillant au travers du plugin, afin par exemple de télécharger un cheval de Troie.
- WordPress Acumbamail : Divulgation d’information – 9 Mai 2014
Description de la Vulnérabilité : Un attaquant peut récupérer des données de WordPress Acumbamail, afin d’obtenir des informations sensibles.
- WordPress Theagency : Téléchargement de fichiers malveillants – 7 Mai 2014
Description de la Vulnérabilité : Un attaquant peut envoyer un fichier malveillant au travers du plugin afin par exemple de télécharger un cheval de Troie.
- WordPress Wp Js External : Cross Site Scripting – 7 Mai 2014
Description de la Vulnérabilité : Le plugin ne filtre pas les données reçues avant de les insérer dans les documents HTML générés, un attaquant peut donc déclencher un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web
- WordPress Simple Cu3er : Cross Site Scripting – 7 Mai 2014
- WordPress NextGen Cu3er Gallery : Cross Site Scripting – 7 Mai 2014
- WordPress Cu3er Slider : Cross Site Scripting – 7 Mai 2014
- WordPress Gallery Manager : Cross Site Scripting – 7 Mai 2014
- WordPress Cu3er Post Elements : Cross Site Scripting – 7 Mai 2014
Quelques points de base pour sécuriser votre blog :
- N’utiliser pas l’utilisateur « admin »
- Mettez à jour vos plugin et vos thèmes
- Sécurisez vos mots de passe
- Limitez le nombre de tentatives de connexion avec le plugin Limit Login Attempts
- Faites des sauvegardes régulières de la totalité de votre site
- Utilisez au moins un plugin de sécurité pour votre site WordPress.
Rappel de Sécurité:
Une sauvegarde régulière de la totalité de votre site WordPress est nécessaire afin de palier à tout problème.
Publié à l'origine le : 13 mai 2014 @ 8 h 52 min