Une vulnérabilité XSS ( Cross-Site Scripting ) a été découverte dans les plugins et thèmes WordPress. Cette vulnérabilité est due au fait d’une utilisation abusive des fonctions add_query_arg() et remove_query_arg().
Toujours dans le cadre de la sécurisation de WordPress, je souhaitais vous parler de quelques bonnes pratiques et outils simples qui seront utiles à la prévention des attaques, et vous aideront le cas échéant à trouver plus rapidement les éléments qui auraient été modifiés à votre insu.
Depuis longtemps que j’utilise et propose à mes clients ce merveilleux outil qu’est WordPress, je suis en parallèle obligé de mettre en place des sécurisations diverses est variées afin d’empêcher la prolifération d’attaques en tout genre et l’utilisation de trou de sécurité, hélas toujours possible, simplement du fait de la notoriété de ce CMS. Voici l’épisode 1 des actions que je mets systématiquement en place pour protéger les abonnées, les membres, ou les administrateurs d’un WP.
« visiting this web site may harm your computer! », littéralement « visitez ce site peut endommager votre ordinateur ». C’est en ces termes que Google redirige les utilisateurs sur une recherche à propos du site internet php.net.
Alors faux positif, hack de php.net ou simple défaillance du tracking de malware Google ?
Et oui, encore un ! Et comme d’habitude, même mode opératoire. Un lien vous renvoie sur http://mail.forddean.com:5900… qui est un serveur qui reproduit le service de Paypal. Attention donc à ne pas cliquer sur ces emails. Vérifiez toujours dans ce type de lien que le nom de domaine du lien est bien paypal.fr ou paypal.com.
Plus d’info sur la page dédiée de Paypal Phishing Guide
Voilà un petit pense-bête quand on a besoin d’accéder à un serveur MySQL distant à partir de son poste Linux ou OS X . Cela fonctionne aussi pour tous les autres services selon le même procédé, il faut juste changer les ports en fonction du service désiré.EN SAVOIR PLUS