Trier par :
View:

Catégorie : sécurité informatique

http://www.desmoulins-thibault.fr/wp-content/uploads/2016/03/logo_wordpress_CMS-960x443_c.png

WordPress – Comment sécuriser son site


 Wordpress, un outil massivement utilisé

Il est très difficile de vérifier les statistiques, mais il est toutefois sûr de dire que WordPress est l’un des CMS les plus utilisés dans le monde. Selon les données officielles, près de 25% des sites du monde tournent sous WordPress.

Cette extraordinaire popularité en fait de lui un candidat tout choisi pour les hackers. Ces derniers n’ont qu’à parcourir le Web à la recherche de WordPress non sécurisé pour faire leur petite affaire (vol de données, hameçonnage, etc). Bien évidemment, vous ne pouvez pas vous prémunir d’attaques touchant au code source même de l’application. Si les auteurs même du CMS étaient au courant, ils auraient déjà créé des correctifs pour le sécuriser. Le but ici est d’éviter les erreurs les plus courantes afin que l’attaquant décide de s’attaquer à plus faible, ou d’abandonner. Et comme bien souvent, pour savoir comment se sécuriser, il faut se mettre à la place de l’attaquant : que va faire ce dernier pour attaquer un site ?

Dans la peau d’un hacker

D’une part, celui-ci va parcourir le Web à la recherche de sites WordPress (ou alors va tomber sur votre site et va se dire « Tiens, qu’est-ce qu’il y a dessous ? » et va vite découvrir ce que vous utilisez). Les sites sous WordPress sont très faciles à identifier car ils ont toujours la même structure, avec des dossiers tels que « wp-include », « wp-content », etc. Et si vous avez fait une installation par défaut, votre interface d’administration se trouve à l’adresse « nom_de_votre_site/wp-admin ». Une fois sur l’interface d’administration il ne suffit plus qu’à tester des centaines de combinaisons identifiant / mot de passe pour essayer de se connecter. Comment s’en prémunir : ne pas utiliser d’identifiant ou de mot de passe simple (comme « admin » pour identifiant par exemple). Second point : modifier le nom du répertoire permettant d’accéder à l’administration.

D’autre part, l’attaquant va essayer de trouver la version du WordPress que vous utilisez et la version des plugins que vous avez installé afin de trouver les vulnérabilités connues pour cette version. Celles-ci sont publiques et s’appellent des CVE (pour Common Vulnerabilities and Exposure). Vous pouvez d’ailleurs trouver cette liste de CVE sur des sites spécialisés tels que cvedetails et constaterez qu’il existe des centaines de vulnérabilités déjà répertoriées. Ne vous inquiétez pas, celles-ci ont déjà été corrigées depuis bien longtemps. Là où je veux en venir c’est qu’il faut régulièrement mettre à jour son site WordPress et ses plugins. Autre point important, n’installez pas n’importe quel plugin. Plus vous installez de plugins et plus vous ajoutez de potentielles vulnérabilités si ceux-ci sont mal faits.

Enfin : faites régulièrement des sauvegardes de votre base de donnéesinstallez un plugin pour éviter le spam dans les commentaires et un autre pour limiter les tentatives de connexion à votre compte.

http://www.desmoulins-thibault.fr/wp-content/uploads/2016/04/adobe-flash-logo-960x450_c.jpg

Flash Player – Nouvelle faille critique (CVE-2016-1019)


Une nouvelle faille critique a été dévoilée concernant Flash sur les versions 21.0.0.197 et précédentes. Celle-ci permet à l’attaquant de faire planter l’ordinateur ou de prendre le contrôle de ce dernier. Cette faille concerne tous les systèmes d’exploitation bien connus (Mac OS, Windows, Linux). Il est donc bien évidemment recommandé de faire la dernière mise à jour !

Sous Mac c’est un peu particulier à trouver pour faire la mise à jour alors voici comment faire :

  • Ouvrez Spotlight (raccourcis clavier « CMD+Espace » ou « Ctrl+Espace » en fonction du clavier)
  • Recherchez « Flash Player.prefPane » puis faites « Entrée »

Recherche Spotlight Flash Player

  • Onglet « Mises à jour »
  • Cliquez sur « Rechercher maintenant »
  • Vous serez amenés sur la page de mise à jour du site officiel, vous pouvez désormais télécharger la mise à jour et l’installer

Bonne mise à jour !

Menu