Dyrk

Salut à tous,

Comme beaucoup le savent, je suis dans pas mal de groupe Facebook traitant de sujet de développement, d'administration système, de sécu, ....

Bref je m’intéresse un peu à ce qu'il se passe ^^

Et ça tombe bien !

Car mon ami Jérôme  a publié ce lien :
Une faille dans le plug-in Jetpack expose 1 million de sites WordPress

Bon ... 1 millions, ce n'est pas grand-chose ...
Je vous rassure, sur le nombre de WordPress actuellement en ligne, c'est peanuts.

D'autant que ça ne concerne que :

• Ceux qui ont installé (ou n'ont pas désinstallé  ;) ) le plugin JetPack

Aussi, la faille n'est pas associée au CMS, mais au plugin.
Désinstallez le ou mettez-le à jour et hop, théoriquement vous êtes en sécurité ^^

Cette faille serait, d'après cet article de nature "XSS", et une "XSS" permanente.
Pour rappel, la vulnérabilité XSS permet d'injecter du code dans une page.

Aussi, par exemple, un vilain petit hacker, pourrait très bien l'utiliser pour dérober la session d'un utilisateur, et s'authentifier comme si c'était ce même utilisateur, sans mot de passe.

Si vous pensez être concernés par cette faille ...
Ne vous rendez pas bêtement sur votre CMS ...

Si votre session n'a pas expiré, le petit script kiddies, caché derrière un masque à moustache, va vous avoir ...

Utilisez une "navigation privé" ...

La plupart des navigateurs le permettent.
Cette navigation, vous assure une navigation vierge, du coup vous pourrez vous connecter sur votre CMS , sans session en cours d'utilisation, et patcher ensuite le problème de sécurité qui vous concerne..

Petit conseil, ne mettez pas votre formulaire de connexion, sur la même page qu'un contenu potentiellement piratable ...
Une faille XSS permettrait tout simplement, en cas d'absence / non détéction de cookies, de mettre "sur écoute" (addListener) votre formulaire de login.
Ce qui donnerait au Hacker, vos identifiants, dès lors que vous les aurez saisi :/