IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

WordPress : l’extension WP Statistics vulnérable aux attaques par injection SQL


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    1 813
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 1 813
    Points : 50 863
    Points
    50 863
    Par défaut WordPress : l’extension WP Statistics vulnérable aux attaques par injection SQL
    WordPress : l’extension WP Statistics vulnérable aux attaques par injection SQL
    Nécessite une mise à jour vers 12.0.8 ou plus

    Les chercheurs en sécurité de la firme Sucuri ont découvert que l’extension WP Statistics du CMS WordPress est vulnérable à des attaques par injection de code via des requêtes SQL. Les versions de l’extension antérieures à 12.0.8 sont celles qui sont affectées.

    Si l’on s’en tient aux chiffres publiés sur le site du CMS, cette extension tourne sur un minimum de 300 000 sites, ce qui en dit long sur sa popularité. Pour ce qui est du CMS lui-même, les chiffres DVP témoignent du regard que lui portent les membres de la communauté.

    Un sondage DVP mené en septembre 2016 montre en effet – toutes proportions gardées – que le CMS WordPress serait utilisé par le plus grand nombre des membres de la communauté.

    Dans une étude de la firme Sucuri – publiée parallèlement au sondage DVP 2016 sur WordPress –, les chercheurs ont souligné le fait que la négligence des webmestres était l’une des causes principales des attaques répétées contre les sites développés à l’aide de ce CMS.

    Faillir à effectuer cette mise à jour de l’extension vers la version 12.0.8 ou postérieure viendrait donner encore plus de force à ce diagnostic des experts de la firme Sucuri.

    Cette extension revêt une utilité pratiquement incontournable pour les sites Web de nos jours. Elle permet en effet d’obtenir : des informations en temps réel sur le nombre de visiteurs en ligne, de conserver des chiffres sur le nombre de visites reçues et de visiteurs et d’obtenir d’autres statistiques sur la page sur laquelle elle est déployée.

    Ainsi, une fois le signalement de la vulnérabilité – sur une extension d’utilité aussi courante – reçu, et les correctifs disponibles, le responsable Web devrait procéder à une mise à jour dans les plus brefs délais.

    Pour ceux qui n’ont pas encore effectué cette mise à jour laquelle, faudrait-il le rappeler, est disponible sur le site dédié à l’extension depuis le 29 juin, l’un des risques encourus par le biais de cette faille est de se faire voler la base de données du site développé à l’aide de ce CMS.

    télécharger WP Statistics 12.0.9 ici

    Source : Sucuri

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    WordPress sort en urgence la mise à jour 4.7.2 pour corriger trois failles de sécurité incluant une faille de type injection SQL et XSS
    WordPress : une faille critique a été découverte dans le plugin NextGen Gallery, il est installé sur plus d'un million de sites
    WordPress : Plus de 90 000 sites et blogs seraient victimes d'attaques lancées par quatre groupes de hackers, altérant ainsi leur contenu
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 805
    Points
    4 805
    Billets dans le blog
    6
    Par défaut
    Une attaque par injection SQL dans un module Wordpress aussi utilisé ?
    laisser moi deviner :
    • pas de requete préparé
    • pas de vérification du retour des données utilisateur
    • pas d'échappement du ' ou "

    prenez dans la liste au choix 1 ou plusieurs
    Bien c'était les 3 en même temps
    et en plus ça ne vérifiait pas les droits d'accès
    Rien, je n'ai plus rien de pertinent à ajouter

  3. #3
    Membre confirmé
    Homme Profil pro
    nope
    Inscrit en
    Décembre 2012
    Messages
    122
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : nope

    Informations forums :
    Inscription : Décembre 2012
    Messages : 122
    Points : 466
    Points
    466
    Par défaut
    Alors je ne suis pas spécialiste en la matière, mais quand on créer un plug in Wordpress on est pas censé utiliser le module de gestion de requêtes SQL de wordpress qui lui est déjà protégé contre les injections SQL et autres ?

Discussions similaires

  1. Mise à jour vers la 2007
    Par JavaAcro dans le forum Mandriva / Mageia
    Réponses: 5
    Dernier message: 27/10/2006, 22h54
  2. Réponses: 2
    Dernier message: 13/09/2006, 11h23
  3. Mise a jour vers serveur 2003
    Par pierrot10 dans le forum Windows Serveur
    Réponses: 2
    Dernier message: 29/05/2006, 18h44
  4. [phpMyAdmin] Problème suite à mise à jour vers phpMyAdmin 2.8.1
    Par inginfodz dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 3
    Dernier message: 24/05/2006, 11h31
  5. Problème mise à jour vers IE6 sous W2K
    Par lio33 dans le forum Autres Logiciels
    Réponses: 2
    Dernier message: 11/10/2005, 12h51

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo