Post de RISKINTEL MEDIA

ParlonsTechs : Ces 3 plugins WordPress populaires sont ciblés par des pirates, mettez-les à jour ! Des chercheurs en sécurité ont découvert que des pirates exploitent activement trois vulnérabilités critiques affectant les plugins WordPress WP Statistics, WP Meta SEO et LiteSpeed Cache. Des millions de sites sont menacés par ces failles. En Savoir Plus 👇👇👇 https://lnkd.in/ekXr9YQe

Votre site est sur Worpress ? Si vous avez l’un de ces 3 plugins d’installé vous vous êtes peut être fait hacker ☠☠ !   Les coupables : ·       WP Meta SEO (version 4.5.12 et antérieures) ·       WP Statistics (version 14.5 et antérieures),  ·       LiteSpeed Cache (version 5.7.0.1 et antérieures)   Il s’avère que ces 3 plugins ont des grosses vulnérabilités à des attaques de type cross-site scripting (XSS) stockées et non authentifiées. En gros les pirates peuvent injecter des scripts malveillants qui pointent vers un fichier JS hébergé sur un domaine externe. Le rôle du script est simple : aider les attaquants à créer de nouveaux comptes d'admin et injecter des portes dérobées dans les sites web pour aider les criminels à surveiller les sites web infectés. Là on parle de millions de sites concernés ! 😱 Recommandations : Mettez à jour tous vos plugins + supprimer tous les dossiers que les anciennes versions des plugins auraient pu créer. Si vous voyez des choses louches sur votre site, vérifiez les droits d'utilisateur et inspectez tous les fichiers à la recherche de code injecté.

Votre site WordPress est-il sécurisé ? 3 fois sur 10 je trouve la page de connexion d’un site WordPress ainsi qu’un identifiant valide. Un pirate peut donc faire la même chose et en utilisant la force brute trouver le mot de passe associé à l’identifiant. Si votre mot de passe est faible cela peut ne prendre que quelques secondes. Alors on fait quoi ? 1. Évitez l’identifiant “admin”. 2. Dans la partie “Comptes” évitez de donner une adresse mail qu’un hacker pourrait trouver facilement. En effet, il est possible de se connecter à l’administration WordPress avec une adresse mail. Évitez donc de prendre celle que vous donnez sur votre site. 3. Changez l’url de connexion /wp-admin. Si vous ne codez pas, vous pouvez utiliser le plugin WPS Hide Login. 4. Dans la rubrique “Comptes”, l’identifiant ne doit pas être visible publiquement. Pour cela vous avez deux choix : a. Remplir le champ pseudonyme par autre chose que l’identifiant puis choisir d’afficher le pseudo en public. b. Remplir les champs prénom et/ou nom et choisir l’un, l’autre ou les deux. 5. Installez le plugin Wordfence avec la double authentification. N’hésitez pas à mettre le lien vers votre site WordPress en commentaire. Je vous enverrai un mp pour vous prévenir si votre site n’est pas assez sécurisé. ________ Si vous me découvrez, je m’appelle Aurélie. J’accompagne de A à Z les entrepreneurs à impact positif à créer un site web écoresponsable aligné avec leurs valeurs et qui convertit. Vous avez aimé ce post ? Suivez-moi et activez la cloche sur mon profil 🔔. _______

🚨 Alerte 🚨CVE-2024-44000 (CVSS 9.8) :Une vulnérabilité critique de prise de contrôle de compte corrigée dans le plugin LiteSpeed Cache. 🔍Le plugin LiteSpeed Cache présente une faille de sécurité qui permet à des attaquants non authentifiés de prendre le contrôle des comptes utilisateurs. Cela pourrait leur donner un accès au rôle d'administrateur, leur permettant d'installer des plugins malveillants et de prendre le contrôle total du site. ⚠️La vulnérabilité du plugin est due à la fonction de journal de débogage qui divulgue des en-têtes HTTP sensibles, notamment « Set-Cookie ». Si cette fonction est activée, les attaquants peuvent exploiter ces informations pour détourner les sessions des utilisateurs WordPress. ⚪L’exploitabilité de cette vulnérabilité dépend de deux conditions clés : ✨La fonctionnalité de journal de débogage doit être active ou avoir été activée dans le passé sans que le fichier journal ne soit purgé. ✨L’attaquant doit pouvoir accéder au /wp-content/debug.log fichier qui contient les cookies divulgués. 🔄Correctif: L'équipe LiteSpeed a publié un correctif dans la version 6.5.0.1🔗https://lnkd.in/e4m4DEJP du plug-in. Bien que le correctif résolve les problèmes principaux, des recommandations supplémentaires ont été formulées pour améliorer la sécurité des sites affectés : ✨Appliquez une règle .htaccess appropriée pour refuser l'accès direct au nouveau fichier journal. ✨Effectuez une purge ou supprimez le contenu de l'ancien fichier debug.log afin que les données des cookies précédemment divulguées ne soient plus accessibles. NB: Une petite note sur le patch, WordPress recommande aux utilisateurs d'analyser leur /wp-content/debug.log et de purger le fichier si le site a activé la fonction de débogage sur le plugin LiteSpeed Cache une fois. Références : 🔗https://lnkd.in/eZBQwycH 🔗https://lnkd.in/euGQ9j2N #CVE202444000 #CacheLiteSpeed #WordPress #vulnerability #log

Les codeurs et les développeurs disent que Wordpress n'est pas du tout sécurisé contre les pirates informatiques, est-ce vrai ? Non je ne pense pas que ça soit vrai. - Il y a plus de 75 millions de sites internet qui fonctionnent grâce à wordpress. S’il y avait des hacks de ces sites internet, cela serait forcément dans les journaux. - Il existe des bad bots qui scannent l’internet pour poster des commentaires sur des sites wordpress. Ces bad bots pourraient être utiliser pour hacker les sites wordpress mais en fait, cela n’arrive pas. - Il y a des façons de sécuriser wordpress. On peut limiter le nombre d’authentification sur la page d’administration directement par le serveur grâce au module mod_security. - Les problèmes de sécurité peuvent être liés à un plugin wordpress. Un plugin peut injecter n’importe qu’elle code dans votre site internet. Mais il suffit d’écrire soit même ses plugins pour éviter les écueils. Êtes-vous du même avis que moi ? Je suis Prichrist GBOYOU votre Développeur WordPress. Je donne vie à vos projets numériques 🙂 #challengelinkedin  #linkedin30days #wordpress --------------------------------------------------------- Challenge LinkedIn organisé par Maurice NONTONDJI  le pasteur qui a commencé 30 jours de prière et délivrance intensive avec ses fidèles dont je suis fière de faire partie. Je participe à ce challenge avec Chéridane MALENOU Taïrou Cissé Dalyl SOSSA , et pleins d'autres personnes 🙂

🚨 SÉCURITÉ WORDPRESS RENFORCÉE 🚨 WordPress a pris des **mesures cruciales** contre les attaques de plugins: * ❌ SUSPENSION TEMPORAIRE des mises à jour de plugins * 🔑 RÉINITIALISATION OBLIGATOIRE des mots de passe Ces actions visent à **protéger les utilisateurs** et **sécuriser** le contenu face aux attaques sur la chaîne d'approvisionnement. Pour en savoir plus, découvrez l'article complet ici [https://lnkd.in/gzvBJM8a].

WordPress a été piraté ce qui impacte 25 000 sites ayant le template Bricks Builder 😱. Les bonnes pratiques pour éviter tout piratage et assurer une cybersecurite quasiment sans faille. *mettre à jour son template et ses plug-ins de manière régulière *choisir un mot de passe complexe *limiter le nombre d'administrateurs *sauvegarder vos données fréquemment https://lnkd.in/e-7gbK_5

🔒💻CVE-2024-1071 ou la vulnérabilité du plugin Ultimate Member qui met en danger potentiellement plus de 200.000 sites Wordpress 🛑 Cette vulnérabilité permet à une personne malveillante d’injecter du code SQL et d’interagir avec la base de données afin de recueillir des informations confidentielles. Dans cet article , je vous montre les différentes étapes à suivre pour exploiter cette vulnérabilité et les solutions à mettre en place pour la corriger. 👇

🤙🏻 voici la liste des quatre basiques failles de sécurité des sites WordPress : • Plugins et thèmes vulnérables : De nombreux plugins et thèmes WordPress sont développés par des tiers et peuvent contenir des failles de sécurité si le code n'est pas rigoureusement vérifié et maintenu à jour. • Mots de passe faibles : L'utilisation de mots de passe faibles ou réutilisés sur plusieurs comptes expose les utilisateurs à des attaques par force brute ou par dictionnaire. • Fichiers et permissions incorrectes : Les fichiers et répertoires WordPress peuvent avoir des permissions de fichier incorrectes, ce qui permet aux attaquants d'accéder à des fichiers sensibles ou d'exécuter des scripts non autorisés. • Absence de mises à jour : Ne pas mettre à jour régulièrement WordPress, ainsi que ses plugins et thèmes, expose le site à des vulnérabilités connues. Pour vérifier, sécuriser et maintenir votre site wordpress à tarif agréable, faites appel à une grenouille, c'est peu commun mais ça marche. Contactez moi.

5 conseils pour améliorer la sécurité de votre site WordPress ! WordPress est le CMS le plus utilisé au monde (43.2% de l'ensemble des sites en 2024), de ce fait, il est une cible privilégiée de la part des hackers qui scrutent la moindre faille pouvoir atteindre un nombre toujours plus important de cibles. Voici 5 conseils pour améliorer votre sécurité (liste non exhaustive) : 1️⃣ Mises à jours : Je ne le répéterais jamais assez, mais c'est la base. Il faut faire des mises à jours régulières, des failles sont découvertes tous les jours (sur Wordpress ou ses plugins) et sont immédiatement exploitables par les pirates. 2️⃣ Utiliser le - de plugins possible : Chaque plugin est un vecteur potentiel pour s'introduire dans votre système. Il faut donc limiter au maximum le nombre de plugins utilisés. 3️⃣ Isolation de l'environnement : Comme je l'ai dit, WordPress est une cible privilégiée. Que ce soit pour empêcher que votre site soit un point d'entrée vers le reste de votre infrastructure, ou inversement, il vaut mieux héberger son environnement de manière séparée du reste. 4️⃣ Captcha + 2FA : Pour limiter les risques de Bruteforce et de hack, je vous conseille d'installer un Captcha (personnellement, j'ai tendance à préférer Turnstile de CloudFlare) et également une solution de double authentification (2FA). 5️⃣ BDD en local : Un dernier petit tips est de configurer sa base de données afin qu'elle n'écoute qu'en local pour éviter les tentatives d'accès depuis l'extérieur. Appliquez vous un ou des conseils que j'ai présenté ? Quelles sont vos propres méthodes pour sécuriser WordPress ? Partagez votre expérience en commentaire. (On dirait pas une tortue ? 🐢 )