Bienvenue, visiteur ! [ S'enregistrer | Connexion

Une faille critique touche les sites WordPress

Securite Wordpress 26 novembre 2014

Selon le chercheur en sécurité Jouk Pynnonen, WordPress compte une importante faille de sécurité de type XSS pouvant arriver à menacer 86% des sites web sous WordPress. Cela pourrait même être la pire des failles depuis 2009 puisqu’elle touche les versions 3.0 à 3.9.2. Selon le chercheur, il est question de la pire vulnérabilité de l’application sur ces 5 dernières années. Elle permet à un pirate d’attaquer les visiteurs d’un site sous WordPress.

Procédure d’injection du code malveillant

En effet, cette faille va permettre d’injecter du code dans les zones de texte. Pour cela l’attaque va avoir besoin du plugin WP-Statistics qui permet l’injection du Javascript dans les commentaires ce qui entrainerait une sorte de compromission de la machine des visiteurs ainsi que de celle de l’administrateur du site. A titre de rappel, selon le chercheur en sécurité, toute personne peut sans aucune authentification rajouter des commentaires sur un site wordpress.

une_faille_critique_touche_sites_wordpress

Le principal risque vient du fait de compromettre le compte de l’administrateur et ceci va faire en sorte que l’attaquant puisse prendre le contrôle du site et bien sur exécuter les attaques plus complexes.

Jouk Pynnonen a pu donc développer un PoC pour pouvoir illustrer la possibilité d’injecter un script avant l’utilisation du plugin d’édition pour l’écriture d’un code d’attaque PHP sur le serveur, procéder au changement du mot de passe utilisateur et créer un compte administrateur.

Share Button

    

1944 vues au total, 2 vues aujourd'hui

  

Une réponse à “Une faille critique touche les sites WordPress”

  1. Pour les utilisateurs WordPress qui ne sont pas des experts de Linux et de la sécurité web, vous pouvez faire appel à de véritables experts en intrusion informatique et en sécurité des sites web tournant sous WordPress.

    Les méthodes de nettoyage toutes faites et les plugins sécurité ne permettent pas de se prémunir de façon fiable et durable des attaques des pirates. Sans une maitrise des techniques employées par les pirates, d’une connaissance de toutes les vulnérabilités qui peuvent affecter un site web, votre site sera de nouveau piraté d’ici quelques semaines.

    WordPress Doctors propose 3 prestations de sécurité dédiées aux serveurs WordPress : diagnostic, correction en urgence et renforcement ultra-sécurisé.

    Découvrez WordPress Doctors : wordpress-doctors.com/fr

    Nous répondons à toutes les questions.

    Cordialement,

Ajouter un commentaire

Protected with IP Blacklist CloudIP Blacklist Cloud

Time limit is exhausted. Please reload CAPTCHA.

  • Référencement Blogs

    par sur 30 avril 2013 - 0 Commentaires

    Le blog est avant tout un site internet, donc il a besoin d’être indexé et référencé dans les moteurs de recherche afin d’être crawlé par ces derniers, et ainsi devenir visible et bien positionné dans les résultats des requêtes. Si vous voulez que votre blog soit vu et retrouvé facilement, il est important de l’optimiser […]

  • Mise à jour importante de l’application WordPress pour Blackberry 10 et Android

    par sur 26 avril 2013 - 0 Commentaires

    Nouvelle mise à jour de l’application WordPress pour Blackberry 10 et Android qui fera le bonheur des bloggeurs utilisant la plate-forme WordPress. Leur application favorite vient de connaitre une mise à jour importante. Les nouveautés de la nouvelle version Mise à jour de la Barre d’action: Un Nouveau Look avec de la barre d’action permettant […]

  • Comment ajouter une video Youtube sur wordpress?

    par sur 24 avril 2013 - 0 Commentaires

    Rien n’est plus simple Pour mettre une vidéo youtube sur un blog WordPress, c’est très facile, il suffit de suivre ces étapes. Se rendre sur youtube.com et choisir la vidéo que vous souhaitez intégrer dans votre blog : Ensuite cliquer sur « Partager » (juste en bas de la vidéo) et puis « Intégrer » Articles Similaires: Créer son site […]

  • wordpress

    Comment choisir le meilleur thème WordPress ?

    par sur 3 avril 2013 - 0 Commentaires

    Le choix du thème est-il nécessaire ? Un site web sous WordPress ou autre a généralement son but propre qu’il est nécessaire de poursuivre mais ceci aurait certainement tendance à affecter le thème WordPress à quêter.Il faudrait commencer par savoir que WordPress aurait été à l’origine un moteur de blog personnel et que son utilisation massive […]

  • Comment utiliser un Transient sur WordPress ?

    par sur 1 avril 2013 - 0 Commentaires

    Définition et fonctionnement d’un Transient Le Transient est une fonctionnalité WordPress qui va servir à mettre en cache une information d’une façon temporaire, directement en base de données. Elle va être utile pour éviter de recalculer des éléments de page et aide à l’accélération du temps de chargement. Ce Transient est généralement stocké en base […]

  • Choisir correctement son thème WordPress

    par sur 25 mars 2013 - 0 Commentaires

    Importance du choix d’un thème WordPress Un  thème WordPress doit être choisi minutieusement car ceci revêt de la plus haute importance. En effet, un site WordPress doit refléter l’activité mais ceci sans oublier de respecter les contraintes techniques. WordPress et le respect de l’activité Un site WordPress doit refléter l’activité et ceci en premier lieu […]

  • Wordpress : pour créer simplement votre site internet

    par sur 14 mars 2013 - 0 Commentaires

    WordPress est un CMS (Custom Management System) puissant permettant aux novices du web de créer facilement et gratuitement un blog ou un site Internet. WordPress étant libre de droit (donc GRATUIT !), tout un chacun peut se lancer dans la création de son site ou blog sous wordpress ; les pré-requis nécessaires pour prendre en […]

  • Blog wordpress sur les aides et financement entreprises

    par sur 11 mars 2013 - 0 Commentaires

    Retrouvez les dernières actualités et informations sur les nouvelles modalités et mesures de financement d’entreprises sur : http://financemententreprises.wordpress.com Du financement de la création d’entreprise aux plans de soutien d’entreprises en difficulté passant par les crédits impôt recherche, ce blog vous propose régulièrement les dernières actualités utiles pour l’entreprise. Articles Similaires: Financement création d’entreprise Site internet, […]

  • Mise sous tutelle

    par sur 17 janvier 2013 - 0 Commentaires

    Vous avez un proche qui souffre d’une altération de ses facultés mentales ou corporelles? vous voulez vous renseigner sur les procédures de mise sous protection juridique? Sur notre site tuteur-tutelle.com trouvez la réponse sur toutes vos question! Tutelle, curatelle, sauvegarde juridique ou même aide sociale vous trouverez tout ce que vous chercher pour mener à […]

  • Diffusion Annonces Gratuites

    par sur 18 décembre 2012 - 0 Commentaires

    Publiez gratuitement vos annonces sur le site de petites annonces gratuites : tootokaz.com Site d’annonces gratuites en France Plateforme d’annonces gratuites, ce site est facile et simple à utiliser. Une fois votre annonce insérée, elle est publiée immédiatement. Les webmasteurs du site consultent régulièrement les dernières annonces pour écarter les annonces suspectes et les arnaques. […]