WordPress a récemment patchée trois grandes failles de sécurité dans sa dernière mise à jour. Les failles pourraient permettre cross-site scripting et SQL injections, et un éventail d'autres questions suivantes. Les correctifs versions affectées WordPress 4.7.1 et plus tôt. l'application de la mettre à jour le plus tôt possible est toujours fortement recommandé.
Cependant, il est maintenant connu que, outre les questions de sécurité vient de mentionner la plate-forme fixe une vulnérabilité dangereuse et secrète zero-day qui pourrait conduire à un accès à distance et à la suppression des pages WordPress. La raison pour laquelle ils n'ont pas annoncé publiquement le zero-day est qu'ils ne voulaient pas attirer les pirates dans l'exploiter. Alors ils ont dit.
Zero-day dans WordPress 4.7 et 4.7.1 expliqué: Unauthenticated Vulnérabilité Privilege Escalation dans une API REST Endpoint
Le bug a permis toutes les pages sur les sites vulnérables à modifier. Aussi, les visiteurs auraient pu être redirigés vers des sites malveillants menant à plus de complications liées à la sécurité. WordPress a reporté l'annonce publique pendant une semaine et est maintenant exhorte toutes les parties concernées à mettre à jour.
en relation: TeslaCrypt Actuellement Propagation via Compromised WordPress Pages et EK nucléaire
Dans un poste supplémentaire, WordPress a écrit:
En plus des trois vulnérabilités de sécurité mentionnées dans la version post original, WordPress 4.7 et 4.7.1 avait une vulnérabilité supplémentaire pour laquelle la divulgation a été retardée. Il y avait une vulnérabilité Privilege Escalation Unauthenticated dans une API REST Endpoint. Les versions précédentes de WordPress, même avec le Plugin API REST, ont jamais été exposés à cette.
Le zero-day a été rapporté le 20 Janvier par le cabinet de sécurité Sucuri, plus particulièrement chercheur Marc-Alexandre Montpas. Heureusement, aucun des attaquants ont exploité le bug, et un correctif a été préparé peu de temps après il a été signalé. Cependant, WordPress a pris le temps de tester la question plus loin car il a estimé qu'il était tout à fait sérieux.
D'autre part, Sucuri a ajouté de nouvelles règles à leur Web Application Firewall afin d'exploiter les tentatives ont été bloquées. D'autres entreprises ont été contactées, trop, de créer des règles similaires pour protéger les utilisateurs contre les attaques avant la mise à jour a été finalisé.
jus écrit:
En Lundi, alors que nous avons continué à tester et d'affiner le correctif, notre objectif déplacé vers les hôtes WordPress. Nous les avons contactés en privé avec des informations sur la vulnérabilité et les moyens de protéger les utilisateurs. Les hôtes ont travaillé en étroite collaboration avec l'équipe de sécurité à mettre en œuvre les protections et régulièrement contrôlées pour exploiter les tentatives contre leurs utilisateurs.
en relation: Netgear Routeurs vulnérable aux attaques d'accès à distance
Finalement, la mise à jour était prêt jeudi dernier. Il est également important de noter que les utilisateurs de WordPress 4.7.x ont été rapidement protégés par le système de mise à jour automatique. Cependant, les utilisateurs qui ne mettent pas à jour WordPress ont automatiquement faire eux-mêmes avant qu'il ne soit trop tard.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: