Résumé des vulnérabilités WordPress : octobre 2019, partie 1

Thèmes WordPress

Comment être proactif sur les vulnérabilités des thèmes et plugins WordPress

L'exécution de logiciels obsolètes est la principale raison pour laquelle les sites WordPress sont piratés. Il est crucial pour la sécurité de votre site WordPress que vous ayez une routine de mise à jour. Vous devez vous connecter à vos sites au moins une fois par semaine pour effectuer des mises à jour.

Les mises à jour automatiques peuvent aider

Les mises à jour automatiques sont un excellent choix pour les sites Web WordPress qui ne changent pas très souvent. Le manque d'attention laisse souvent ces sites négligés et vulnérables aux attaques. Même avec les paramètres de sécurité recommandés, l'exécution de logiciels vulnérables sur votre site peut donner à un attaquant un point d'entrée sur votre site.

À l'aide de la fonction de gestion des versions du plug-in iThemes Security Pro, vous pouvez activer les mises à jour automatiques de WordPress pour vous assurer d'obtenir les derniers correctifs de sécurité. Ces paramètres aident à protéger votre site avec des options pour mettre à jour automatiquement vers de nouvelles versions ou pour augmenter la sécurité des utilisateurs lorsque le logiciel du site est obsolète.

Options de mise à jour de la gestion des versions

• Mises à jour WordPress – Installez automatiquement la dernière version de WordPress.
• Mises à jour automatiques des plugins – Installez automatiquement les dernières mises à jour des plugins. Cela devrait être activé, sauf si vous maintenez activement ce site quotidiennement et installez les mises à jour manuellement peu de temps après leur publication.
• Mises à jour automatiques du thème – Installez automatiquement les dernières mises à jour du thème. Cela devrait être activé sauf si votre thème a des personnalisations de fichiers.
• Contrôle granulaire des mises à jour de plugins et de thèmes – Vous pouvez avoir des plugins/thèmes que vous souhaitez soit mettre à jour manuellement, soit retarder la mise à jour jusqu'à ce que la version ait eu le temps de s'avérer stable. Vous pouvez choisir Personnalisé pour avoir la possibilité d'attribuer à chaque plugin ou thème une mise à jour immédiate ( Activer ), ne pas mettre à jour automatiquement ( Désactiver ) ou une mise à jour avec un délai d'un nombre de jours spécifié ( Délai ).

Renforcement et alerte aux problèmes critiques

• Renforcez le site lors de l'exécution d'un logiciel obsolète - Ajoutez automatiquement des protections supplémentaires au site lorsqu'une mise à jour disponible n'a pas été installée depuis un mois. Le plugin iThemes Security activera automatiquement une sécurité plus stricte lorsqu'une mise à jour n'a pas été installée depuis un mois. Premièrement, cela forcera tous les utilisateurs qui n'ont pas activé le double facteur à fournir un code de connexion envoyé à leur adresse e-mail avant de se reconnecter. Deuxièmement, cela désactivera l'éditeur de fichiers WP (pour empêcher les gens d'éditer le plugin ou le code de thème) , les pingbacks XML-RPC et bloquent plusieurs tentatives d'authentification par requête XML-RPC (les deux rendant XML-RPC plus fort contre les attaques sans avoir à le désactiver complètement).
• Rechercher d'autres anciens sites WordPress - Cela vérifiera les autres installations WordPress obsolètes sur votre compte d'hébergement. Un seul site WordPress obsolète avec une vulnérabilité pourrait permettre aux attaquants de compromettre tous les autres sites sur le même compte d'hébergement.
• Envoyer des notifications par e-mail – Pour les problèmes nécessitant une intervention, un e-mail est envoyé aux utilisateurs de niveau administrateur.

Violations du Web

1. Hackers utilisant des gifs pour attaquer Drupal

Akami, une société de recherche en sécurité, a remarqué une augmentation des attaques incorporant des codes malveillants dans des fichiers .gif. La bonne nouvelle est que Drupal a corrigé cette vulnérabilité il y a plus d'un an. La mauvaise nouvelle est que les sites mal entretenus n'ont toujours pas été mis à jour.

La principale raison pour laquelle les attaques malveillantes réussissent est due à des logiciels obsolètes. Ne soyez pas le gars/la fille dont le site est compromis par une mise à jour vieille d'un an. Mettez à jour votre site

2. La vulnérabilité du signal permet aux pirates d'écouter les microphones Android

Google Project Zero a récemment révélé une vulnérabilité dans l'application de messagerie Signal. La vulnérabilité peut être utilisée lors de l'appel du téléphone de quelqu'un à l'aide de l'application Signal. Pendant l'appel téléphonique, le pirate devra appuyer sur le bouton muet pendant que le téléphone de la cible sonne. Appuyer sur le bouton muet forcera l'appareil de la cible à répondre à l'appel, permettant à l'attaquant d'écouter sa marque.

Après avoir été informé du bug par Google Project Zero, Signal a rapidement publié un correctif. L'exploit a obligé l'attaquant à supprimer et à modifier le code de l'application. Heureusement, en raison de la difficulté, il n'y a aucun rapport sur l'exploit utilisé dans la nature.