Résumé des vulnérabilités WordPress : décembre 2019

2. Matérialise

Les versions 1.0.172 et inférieures de Materialis présentent une vulnérabilité de mise à jour des options authentifiées.

Ce que tu devrais faire

Comment être proactif sur les vulnérabilités des thèmes et plugins WordPress

L'exécution de logiciels obsolètes est la principale raison pour laquelle les sites WordPress sont piratés. Il est crucial pour la sécurité de votre site WordPress que vous ayez une routine de mise à jour. Vous devez vous connecter à vos sites au moins une fois par semaine pour effectuer des mises à jour.

Les mises à jour automatiques peuvent aider

Les mises à jour automatiques sont un excellent choix pour les sites Web WordPress qui ne changent pas très souvent. Le manque d'attention laisse souvent ces sites négligés et vulnérables aux attaques. Même avec les paramètres de sécurité recommandés, l'exécution de logiciels vulnérables sur votre site peut donner à un attaquant un point d'entrée sur votre site.

À l'aide de la fonction de gestion des versions du plug-in iThemes Security Pro, vous pouvez activer les mises à jour automatiques de WordPress pour vous assurer d'obtenir les derniers correctifs de sécurité. Ces paramètres aident à protéger votre site avec des options pour mettre à jour automatiquement vers de nouvelles versions ou pour augmenter la sécurité des utilisateurs lorsque le logiciel du site est obsolète.

Options de mise à jour de la gestion des versions

• Mises à jour WordPress – Installez automatiquement la dernière version de WordPress.
• Mises à jour automatiques des plugins – Installez automatiquement les dernières mises à jour des plugins. Cela devrait être activé, sauf si vous maintenez activement ce site quotidiennement et installez les mises à jour manuellement peu de temps après leur publication.
• Mises à jour automatiques du thème – Installez automatiquement les dernières mises à jour du thème. Cela devrait être activé sauf si votre thème a des personnalisations de fichiers.
• Contrôle granulaire des mises à jour de plugins et de thèmes – Vous pouvez avoir des plugins/thèmes que vous souhaitez soit mettre à jour manuellement, soit retarder la mise à jour jusqu'à ce que la version ait eu le temps de s'avérer stable. Vous pouvez choisir Personnalisé pour avoir la possibilité d'attribuer à chaque plugin ou thème une mise à jour immédiate ( Activer ), ne pas mettre à jour automatiquement ( Désactiver ) ou une mise à jour avec un délai d'un nombre de jours spécifié ( Délai ).

Renforcement et alerte aux problèmes critiques

• Renforcez le site lors de l'exécution d'un logiciel obsolète - Ajoutez automatiquement des protections supplémentaires au site lorsqu'une mise à jour disponible n'a pas été installée depuis un mois. Le plugin iThemes Security activera automatiquement une sécurité plus stricte lorsqu'une mise à jour n'a pas été installée depuis un mois. Premièrement, cela forcera tous les utilisateurs qui n'ont pas activé le double facteur à fournir un code de connexion envoyé à leur adresse e-mail avant de se reconnecter. Deuxièmement, cela désactivera l'éditeur de fichiers WP (pour empêcher les gens d'éditer le plugin ou le code de thème) , les pingbacks XML-RPC et bloquent plusieurs tentatives d'authentification par requête XML-RPC (les deux rendant XML-RPC plus fort contre les attaques sans avoir à le désactiver complètement).
• Rechercher d'autres anciens sites WordPress - Cela vérifiera les autres installations WordPress obsolètes sur votre compte d'hébergement. Un seul site WordPress obsolète avec une vulnérabilité pourrait permettre aux attaquants de compromettre tous les autres sites sur le même compte d'hébergement.
• Envoyer des notifications par e-mail – Pour les problèmes nécessitant une intervention, un e-mail est envoyé aux utilisateurs de niveau administrateur.

Gérer plusieurs sites WP ? Mettre à jour les plugins, les thèmes et le noyau à la fois à partir du tableau de bord de synchronisation iThemes

iThemes Sync est notre tableau de bord central pour vous aider à gérer plusieurs sites WordPress. À partir du tableau de bord Sync, vous pouvez afficher les mises à jour disponibles pour tous vos sites, puis mettre à jour les plugins, les thèmes et le noyau WordPress en un seul clic . Vous pouvez également recevoir des notifications quotidiennes par e-mail lorsqu'une nouvelle mise à jour de version est disponible.

Violations du Web

Nous incluons les violations du Web car il est essentiel d'être également conscient des vulnérabilités en dehors de l'écosystème WordPress. Les exploits du logiciel serveur peuvent exposer des données sensibles. Les violations de bases de données peuvent exposer les informations d'identification des utilisateurs de votre site, ouvrant la porte aux attaquants pour accéder à votre site.

1. Piratage de la caméra en anneau

Malheureusement, certaines familles signalent des épisodes de harcèlement après le piratage de leurs appareils Ring. Si vous utilisez une caméra de sécurité qui vous permet de visualiser à distance un flux en direct, vous devez savoir comment les pirates informatiques s'introduisent dans les caméras Ring.

Selon un porte-parole de Ring, ces rapports de piratage étaient isolés et n'étaient pas liés au piratage ou à la violation de Ring Security. C'est une excellente nouvelle, et cela signifie que le coupable probable des piratages était des mots de passe faibles et n'utilisant pas 2FA. Une attaque par force brute, lorsqu'un bot malveillant essaie une combinaison aléatoire de noms d'utilisateur et de mots de passe jusqu'à ce que l'un réussisse, et qu'il puisse accéder à votre compte.

Heureusement pour nous, il est assez facile de protéger vos comptes contre une attaque par force brute. Selon les recherches de Google sur la sécurité, l'utilisation de l'authentification à deux facteurs arrêtera 100 % des attaques de bots. famille en utilisant un mot de passe fort et une authentification à deux facteurs.

Résumé des vulnérabilités de WordPress pour
Décembre 2019, Partie 1