Plugin WordPress : Alerte de Sécurité – 15 Avril 2014

Alerte de Sécurité portant sur certains plugins WordPress

La sécurité est trop souvent négligée par les propriétaires de sites Internet, WordPress ou autres. Il est toujours utile de rappeler que si des attaques réussissent, c’est que l’homme derrière ces blogs a été faillible et n’a pas veillé à protéger son bien.

Ne soyez pas passifs en attendant que votre blog soit piraté, prenez en compte les mesures de sécurité nécessaires pour faire de votre blog, un rempart contre les attaques.

Cette semaine Global Security Mag nous signale trois failles de sécurité portant sur des plugins

Vulnérabilité et Sécurité WordPress

Les plugins porteurs d’une faille de sécurité

Description de la Vulnérabilité : Le plugin peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté.

Un attaquant peut donc envoyer un fichier malveillant sur fond WordPress personnalisé, afin par exemple de télécharger un cheval de Troie.

Description de la Vulnérabilité : Un attaquant authentifié peut employer le script de classes / admin.php afin d’injecter des commandes shell, il peut donc employer admin.php de WordPress WP-Filebase Download Manager, afin d’exécuter du code.

Sécurité et Vulnérabilité WordPress

Rappel de Sécurité:

Une sauvegarde régulière de la totalité  de votre site WordPress est nécessaire afin de palier à tout problème. 

Publié à l'origine le : 15 avril 2014 @ 7 h 21 min

Pour compléter votre lecture.