IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

WordPress sous le feu des Hackers ?
Plusieurs utilisateurs rapportent une attaque contre ce script de blogs

Le , par Gordon Fowler

24PARTAGES

1  0 
Il semblerait que le célèbre script de blog WordPress soit au centre d'une attaque d'envergure.
Seraient uniquement concernées les versions antérieures à la 2.8.4.

Pour l'instant rien n'est officiel mais de nombreux utilisateurs rapportent des "comportements" étranges.

Parmi eux, Lorelle, blogueuse reconnu pour tout ce qui touche de près ou de loin à la plateforme, relève que deux indices laissent fortement penser à une attaque.

Le premier est la modification de permaliens :

There are strange additions to the pretty permalinks, such as example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/. The keywords are “eval” and “base64_decode.”
Le deuxième est l'apparition d'administrateurs mystères sur de nombreux comptes. Certains retirant les droits d'accès au créateur du blog.

Pour se prémunir face à cette attaque potentielle, il est fortement recommandée de mettre à jour son WordPress et de changer ses mots de passe.

Quoiqu'il en soit de la véracité de l'intrusion, un tel remède ne peut pas faire de mal.

L'éditeur de WordPress garde pour l'instant le silence.

Dans le doute...

Source : Le billet de la "blog evangéliste" Lorelle

Lire aussi :

Livre Web : WordPress 2.7 - Créez et gérez un blog professionnel, critique par V. Brabant

Et vous ? :

Avez-vous constaté cette attaque sur WordPress ?
Pensez-vous qu'il s'agit d'un buzz organisé pour accélérer les updates vers la nouvelle version ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de ixpe
Membre averti https://www.developpez.com
Le 07/09/2009 à 18:49
Apparemment ce n est plus une rumeur...

http://wordpress.org/development/
Right now there is a worm making its way around old, unpatched versions of WordPress. This particular worm, like many before it, is clever: it registers a user, uses a security bug (fixed earlier in the year) to allow evaluated code to be executed through the permalink structure, makes itself an admin, then uses JavaScript to hide itself when you look at users page, attempts to clean up after itself, then goes quiet so you never notice while it inserts hidden spam and malware into your old posts.

The tactics are new, but the strategy is not. Where this particular worm messes up is in the “clean up” phase: it doesn’t hide itself well and the blogger notices that all his links are broken, which causes him to dig deeper and notice the extent of the damage. Where worms of old would do childish things like defacing your site, the new ones are silent and invisible, so you only notice them when they screw up (as this one did) or your site gets removed from Google for having spam and malware on it.
1  0 
Avatar de saturn1
Membre confirmé https://www.developpez.com
Le 07/09/2009 à 23:31
Pour l'instant j'ai pas encore été hacké mais j'ai une version antérieure à la 2.8.4 ...

De toute les manières je n'ai jamais beaucoup aimé WP...
1  0 
Avatar de gtraxx
Membre confirmé https://www.developpez.com
Le 09/09/2009 à 15:37
De toute façon rien n'est sécurisé à 100% , le risque d'avoir une faille dans une appli très répandue ne date pas d'aujourd'hui
Personnellement, j'utilise dotclear depuis presque 5 ans.
1  0 
Avatar de biboo_
Membre confirmé https://www.developpez.com
Le 09/09/2009 à 16:01
Pas de soucis de sécurité avec dotclear?
1  0 
Avatar de gtraxx
Membre confirmé https://www.developpez.com
Le 10/09/2009 à 10:52
Ben pour l'instant aucun retour à ce niveau, mais bon
Les failles existent partout y compris dans chaque être humain
1  0