Plugin WordPress : Alerte de Sécurité – 25 Mars 2014

Alerte de Sécurité portant sur certains plugins WordPress

La sécurité est trop souvent négligée par les propriétaires de sites WordPress ou autres. Il est toujours bon de rappeler que si des attaques réussissent sur des sites Internet, c’est que l’homme derrière les blogs a été faillible et n’a pas veillé à protéger son bien.

Ne soyez pas passif en attendant que votre blog soit piraté, prenez en compte les mesures de sécurité nécessaire pour faire de votre blog, un rempart contre les attaques.

Cette semaine encore Global Security Mag nous signale quelques failles de sécurité portant sur différents plugins.

•  WordPress Premium Gallery Manager: upload de fichier  – 24 Mars 2014

Description de la Vulnérabilité : Le plugin peut être utilisé pour télécharger un fichier. Cependant, comme le type de fichier n’est pas limité, un fichier PHP peut être téléchargé sur le serveur, puis exécuté. Un attaquant peut donc envoyer un fichier malveillant sur WordPress en passant par le plugin, afin, par exemple, de télécharger un cheval de Troie.

•  WordPress Barclaycart: upload de fichier – 21 Mars 2014

•  WordPress Relevanssi: Injection SQL  – 20 Mars 2014

Description de la Vulnérabilité : Une injection SQL est un type d’exploitation d’une faille de sécurité d’une application interagissant avec une base de données, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.

•  WordPress Welcart e-Commerce: injection SQL   – 19 Mars 2014

•  WordPress Sixtees: upload de fichier  – 18 Mars 2014

•  WordPress thecotton: upload de fichier  – 18 Mars 2014

•  WordPress Google Analytics MU: Cross Site Request Forgery  – 18 Mars 2014

Description de la Vulnérabilité : Les attaques de type cross-site request forgery (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l’utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L’attaque étant actionnée par l’utilisateur, un grand nombre de systèmes d’authentification sont contournés.

Attention : Vos sites WordPress sont en danger

La sécurité de votre site WordPress est compromise si vous ne tenez pas compte des  avertissements de sécurité. Si vous repérez un plugin que vous utilisez, dans la liste ci-dessus, il vaut mieux le désinstaller avant qu’il ne soit trop tard.

Rappel de Sécurité:

Une sauvegarde régulière de la totalité  de votre site WordPress est nécessaire afin de palier à tout problème.

Photo by uıɐɾ ʞ ʇɐɯɐs

Publié à l'origine le : 25 mars 2014 @ 9 h 04 min