Plugin WordPress : Alerte de Sécurité – 24 Février 2014

Vulnérabilité et Sécurité WordPress

Vulnérabilité de plusieurs plugin WordPress

Comme malheureusement chaque semaine, une nouvelle alerte de sécurité a été émise par Global Security Mag. Par mesure de sécurité, il est suggéré de désinstaller ces plugins en attendant une mise à jour sécurisée.

Description de la Vulnérabilité : Le plugin WordPress Dandelion peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté. Un attaquant peut donc envoyer un fichier malveillant sur WordPress en passant par WordPress Dandelion , afin, par exemple, de télécharger un cheval de Troie.

Description de la Vulnérabilité : Les données de l’utilisateur de thèmes Mysitemyway sont directement insérées dans le chemin d’accès. Des séquences telles que «/ .. » peuvent ainsi être utilisées pour aller dans le répertoire supérieur. Un attaquant peut donc traverser les répertoires dans _mysite_download_skin de WordPress Mysitemyway, afin de lire des fichiers en dehors de la racine

Description de la Vulnérabilité : Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d’injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page.

Description de la Vulnérabilité : Le plugin WordPress Contact Form 7 peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté. Un attaquant peut donc envoyer un fichier malveillant sur WordPress en passant par Contact Form 7, afin, par exemple, de télécharger un cheval de Troie.

  • WordPress: bypassing Stop User Enumeration – 18 February 2014

Description de la Vulnérabilité : Un attaquant peut contourner le plugin  Stop User Enumeration de WordPress  afin d’obtenir des informations sensibles grâce à l’utilisation de requêtes HTTP GET.

Crédit Photo: [martin] via photopin
Crédit Photo: [martin] via photopin

Attention : Vos sites WordPress sont en danger

La sécurité de votre site WordPress est compromise si vous ne tenez pas compte des  avertissements de sécurité. Si vous repérez un plugin que vous utilisez, dans la liste ci-dessus, il vaut mieux le désinstaller avant qu’il ne soit trop tard.

Rappel Sécurité:

Une sauvegarde régulière de la totalité  votre site WordPress est nécessaire afin de palier à tout problème.

Publié à l'origine le : 25 février 2014 @ 9 h 38 min

Pour compléter votre lecture.