Hébergements

  • État Terminé
  • Pourcentage achevé
    100%
  • Type Amélioration
  • Catégorie Général
  • Assignée à Personne
  • Système d'exploitation All
  • Sévérité Basse
  • Priorité Très Basse
  • Basée sur la version 1.0
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes
  • Privée
Concerne le projet: Hébergements
Ouverte par Benoit GEORGELIN - 07.08.2014
Dernière modification par Benoit GEORGELIN - 05.09.2014

FS#316 - [Sécurité] Mettez à jour votre Wordpress et ses plugins

Bonjour, Récemment Wordpress fait beaucoup parler de lui. Deux vulnérabilités ont été découvertes avec une criticité importante. L'une concerne un plugin d'envoi de newsletter: MailPoet L'autre concerne le moteur de l'application Wordpress, le coeur du système. - Vulnérabilité sur le plugin: MailPoet Risque: IMPORTANT Conséquence: Permet à une tierce personne d'accéder à l'ensemble de votre hébergement, des fichiers et des données se trouvant dessus. Action: Mettre à jour le plugin. Ce plugin Wordpress permet d'envoyer des newsletters depuis votre blog . Toute version du plugin inférieur à la version 2.6.7 doit être mise à jour Que le plugin soit actif ou non, celui-ci rends votre hébergement vulnérable. Plusieurs clients ont déjà été touchés. Nous avons prévu de prévenir les clients identifiés comme utilisant une version du plugin vulnérable. La recommandation est simple: Mettez à jour vos plugins et plus particulièrement MailPoet Ici le lien d'un article intéressant sur le sujet : http://blog.platine.com/content/mailpoet-un-plugin-wordpress-vulnerable - Vulnérabilité du moteur Wordpress Risque: IMPORTANT Conséquence: Permet à une personne externe de réaliser une attaque dite de "dénis de service" sur les serveurs hébergeant des sites Wordpress non à jour. Action: Mettre à jour Wordpress Cette vulnérabilité sur le moteur wordpress concerne les versions 3.5 à 3.9.1 Article sur le site de wordpress France http://www.wordpress-fr.net/2014/08/07/wordpress-3-9-2-et-wordpress-4-0-beta-3/ ---------------------------------------------------------------------------------------------------------- Voici de manière générale ce que nous recommandons aux personnes victimes d'un acte de piratage Suite à un hébergement compromis : - identifier et supprimer les fichiers indésirables identifiés (libre à vous de faire une copie) - modifier le mot de passe de vos comptes FTP - modifier le mot de passe de tous les comptes MySQL (sans exception) - modifier le mot de passe de tout autre fichier sur votre hébergement contenant un mot de passe. Si une personne est entrée dans votre hébergement elle peut avoir tout récupéré. - si le ou les mots de passes compromis sur votre hébergement sont utilisés par d'autres service interne ou externe à Web4all (Email, Forum etc..) de bien vouloir les changer par précaution. - vérifier que vos bases de données ne comportent pas de nouveaux utilisateurs admin ou avec des droits élevés - si vous avez des données sensibles non cryptés dans vos bases de données (comme des mots de passe) celles-ci peuvent être compromises. - vérifier que votre site ne comporte pas d'autres fichiers déposés à votre insu, caché dans les sous-dossiers de sous-dossiers de sous-dossier etc.. - attention aussi aux fichiers cachés. Pour éviter l'utilisation de la faille une seconde fois : - mettre à jour votre CMS - mettre à jour les plugins de votre CMS - s'assurer que le template du site utilisé n'est pas l'élément qui comporte une faille C'est la partie la plus compliquée, elle consiste à trouver la faille et la combler pour qu'elle ne soit pas de nouveau utilisée. ---------------------------------------------------------------------------------------------------------- Merci à tous de votre vigilance et la prise en compte de la sécurité de vos données et celle des infrastructure Web4all . Cordialement, Benoît.

Chargement...

Available keyboard shortcuts

Liste des tâches

Task Details

Task Editing