Wordpress où comment se faire hacker en 2 minutes .

Hello ,

je viens vers pour déjà vous mettre en garde sur une vague assez massive de hacking de blogs wordpress , en effet pas plus tard qu'hier matin un petit malin s'est amusé à rentrer sur l'un deux où je suis admin et a plié le décor pour faire mumuze bref il a pas trop fait de dégats ( même rien d'ailleurs ) , il pose une image à la noix et se barre .

Voilà ses tableaux de chasse => http://www.zone-h.org/archive/notifier=Sam%20San3a

Vous allez me dire par où est il passé ?

Réponse => http://www.blogmastering.info/2008/09/09/wordpress-hacke/

C'est quand même honteux que le chemin soit aussi simple que ça pour un log utilisé de plus en plus , bravo les Dev's ...

@ ++

Cette faille date quand même de 2008 et elle a été corrigé rapidement.

Aucun CMS n'est infaillible, bien que certains soient pire que d'autres. Aucun ne peut se venter de n'avoir jamais eu de faille de sécurité.

Il suffit d'une variable mal vérifiée, d'un oublie sur un check ou d'une petite chose qui ne se voit pas forcémént au premier coup d'oeil.

Un CMS est comme un logiciel classique, une faille peut arriver.

C'est pour ca qu'il faut impérativement mettre à jour ce qu'on utilise, en particulier pour le web.

Beaucoup n'y connaissent rien, installe un Joomla ou un wordpress sans jamais le mettre a jour.

ET un beau jour, ils se retrouvent avec des pages de phishing, à spammer pour du Viagra ou a se retrouver avec une base de données dans la nature

Pour d'autres ils se retrouvent à balancer des virus a tout va grâce à des injections de code inséré par les pirates.

D'autres se retrouvent avec des shell php, ...

Il est impératif de mettre à jour régulièrement les outils que l'on utilise.

Actuellement il est bon aussi de changer ses accès FTP, il y a eu plusieurs trojan spécialisés dans al récupération des accès FTP,un bon paquet de sites se sont fait defacer ou modifier de cette façon.

Et si vous vous faites hacker, l'idéal est de tout effacé et de restaurer un backup, ou de érifier les différents fichiers pour être sur que vous n'ayez pas une petite surprise laissé par le pirate.

Certains sites existent et listent les failles de sécurité contenue en les classant par dangerosité.

Il y a par exemple vupen

http://www.vupen.com/english/security-advisories/

C'est toujours intéressant à savoir.

Surtout que depuis quelques jours, Microsoft et son service Live à transféré tous les espaces perso chez Wordpress ....

Cette faille date quand même de 2008 et elle a été corrigé rapidement.

Et bien peut être mais notre joueur est bien passé par là en tout cas , il s'est créé un compte et hop

il y a eu plusieurs trojan spécialisés dans al récupération des accès FTP

Vu que tu en parles , je pense que tu fais allusion à Filezilla ?

Qui lui stocke les Id's de site non cryptées

Lire la suite de l'article

Et bien peut être mais notre joueur est bien passé par là en tout cas , il s'est créé un compte et hop

Si tu as cette faille et que tu n'as pas mis a jour ton wrodrepss, il y en a d'autres.

La encore tu as eu à faire à un joueur.

Mais tu peux tout a fait tomber sur des systèmes automatisés qui exploitent certaines failles.

Wordpress a des failles comme de nombreux CMS, mais elles sont corrigé à temps.

Le pire était phpbb 2 qui avait je ne sais pas combien de failles de sécurités, mais elles sotn aussi patché.

Quoi qu'il en soit il est IMPERATIF de mettre à jour les applicatifs utilisées et le système également lorsque l'on dispose d'un serveur dédié.

Vu que tu en parles , je pense que tu fais allusion à Filezilla ?

Ce n'est pas le seul mais il en fait parti.

Après il suffit d'avoir des trojan évolué pour que ca puisse fonctionner avec d'autres aussi.

L'idéal est de se connecter en FTPS / SFTP voir en SCP pour ceux qui ont cette possibilité, ca compliquerait un peu la tache et bloquerait certaines possibilités

Edit : j'ai retiré ta vidéo.

Désolé pour la vidéo je savais pas que tu les acceptais pas ( enfin dans ce style )