120 000 sites équipés d’un plugin WordPress obsolète peuvent être entièrement effacés ! Un nouveau plugin bogué permet à des hackers de prendre le contrôle et de supprimer toutes les données d’un site internet tournant avec WordPress. Deux failles de sécurité ont été découvertes sur le plugin PageLayer, qui permettent...

Un chercheur en sécurité informatique (Max Kersten) a compilé une liste de sites marchands infectés entre 2018 et 2020 par un malware capable de récupérer le numéro de carte bancaire des clients. Parmi les pays infectés la France arrive en 8e position avec 34 sites infectés. Un code Javascript s’exécute...

Enfin une bonne nouvelle pour les webmasters WordPress ! Une mise à jour automatique des plugins et des thèmes WordPress sera disponible avec la version 5.5, prévue en Août 2020. Les dernières actualités WordPress confirme cette triste réalité. La plupart des failles de sécurité se trouvent dans des thèmes et...

Ce sont essentiellement les plugins qui font régulièrement l’objet d’attaques malveillantes. Après une petite période de calme fin 2019, les attaques ont repris leur rythme de croisière. Diverses entreprises proposant des services de cybersécurité pour WordPress, ont fait état d’un grand nombre d’attaques ces deux dernières semaines. Certains groupes d’assaillants...

 La faille de sécurité concerne les addons ThemeRex, dont le plugin est installé sur plus de 44 000 sites. Elle pourrait permettre aux attaquants de prendre le contrôle du site. Des pirates ont exploité une vulnérabilité de type “zero-day” dans un plugin WordPress réalisé par ThemeREX, qui propose des thèmes payants sur...

Les propriétaires de sites WordPress qui utilisent des thèmes commerciaux fournis par ThemeGrill doivent être attentifs à une faille de sécurité qui pourrait permettre d’effacer leur site en cas d’attaque. La vulnérabilité réside dans ThemeGrill Demo Importer, un plugin fourni avec certains thèmes vendus par ThemeGrill, une société de développement web qui...

De graves vulnérabilités ont été découvertes par des chercheurs dans trois plugins WordPress à savoir InfiniteWP Client,  WP Time Capsule et WP Database Reset. Pour les deux premiers, il s’agit d’un bogue permettant facilement à n’importe quel utilisateur d’accéder à un compte administrateur. Pour WP Database Reset, la faille autorise...

Un bug de courte durée a affecté WordPress, qui permettait à n’importe qui de se connecter comme administrateur, même sans mot de passe. En cause ? un plug-in particulièrement populaire, InfiniteWP Client. Pour l’instant, on ne sait pas s’il y a eu des sites web qui ont pu être affectés...

Jetpack vient d’émettre une alerte de sécurité sur ce célèbre plugin installés sur de nombreux sites WordPress.  Il est vivement conseillé de mettre à jour tous les sites que vous administrez dès que possible. Maintenant que la mise à jour a été publiée, ce n’est qu’une question de temps avant...

Vous connaissez cet adage :  Quand c’est gratuit c’est vous le produit ! Cela vient d’être confirmé par la société Wordfence qui a confirmé que de nombreux plugins ou extensions WordPress payantes “crackés” proposés en téléchargement gratuit, sont volontairement infectés de malware (plugins ou templates “nulled’). Les pirates n’utilisent aucune...

On trouve depuis quelques jours sur internet, un programme ciblant WordPress écrit en Python 3 permettant de décoder brutalement jusqu’à 1000 mots de passe par seconde ! Il est plus rapide que Hydra et WpScan, et ce trouve assez facilement en téléchargement gratuit sur internet. D’où l’impérieuse nécessité de paramétrer...

Google va bloquer progressivement le contenu mixte par défaut, à partir de  la version 79 de Chrome (décembre 2019). Un contenu mixte fait référence à des ressources comme des images, vidéos, feuilles de style ou encore scripts qui sont chargées par le biais d’une connexion non sécurisée HTTP alors que...