Je souhaite obtenir des informations sur une formation complète concernant le thème DIVI dispensé
par un organisme de formation certifié par l’état.
Que la formation soit finançable par mon CPF (idéalement) ou autre


Le dernier cas de Ninja Forms

Les vulnérabilités de sécurité critiques les plus récentes ont été découvertes dans Formes de ninja, un plugin WordPress populaire, est un rappel brutal de la nécessité pour les développeurs d’effectuer une maintenance de routine, qui comprend la surveillance, la mise à jour et le blocage en continu de tous les sites WordPress de leur portefeuille.

Le 20 janvier 2021, une équipe de renseignement sur les menaces était à WordFence a informé les développeurs de Ninja Forms de quatre vulnérabilités critiques qui ont exposé plus d’un million de sites Web avec des installations actives à une situation potentielle de prise de contrôle de site Web complet. Le premier bogue répertorié permettait aux attaquants de rediriger les administrateurs du site vers différents emplacements. Le deuxième bug permettait aux pirates avec un accès au niveau abonné d’installer un plugin. Le troisième bug permettait aux hackers avec le même niveau d’accès d’obtenir la clé Ninja Forms OAuth, tandis que le quatrième bug permettait à ces hackers de déconnecter le site de leur connexion Ninja Forms OAuth.

Wordfence a immédiatement pris des mesures pour protéger ses utilisateurs de plugins payants et gratuits en ajustant les règles du pare-feu, tandis que Ninja Forms a publié un certain nombre de correctifs avec la version finale qui corrigent tous les problèmes publiés le 8 février 2021.

Les pirates recherchent des plugins obsolètes et vulnérables

Dans ce cas, pour autant que nous le sachions, l’équipe adepte du renseignement sur les menaces de Wordfence a été la première à découvrir les exploits potentiels et à les porter consciencieusement à l’attention de Ninja Forms. On ne sait pas si les pirates ont d’abord repéré les bogues et ont réussi à s’emparer des sites WordPress avec ces vulnérabilités.

C’est sûr qu’ils le feront maintenant. S’ils ne l’ont pas déjà fait, les pirates libèrent des robots pour rechercher et identifier les sites WordPress avec des versions plus anciennes de Ninja Forms.

Si des failles de sécurité critiques sont découvertes et que de nouvelles versions de plugins avec les correctifs appropriés sont publiées, cela ne protège guère les sites WordPress qui ne sont pas régulièrement mis à jour. Des millions de sites WordPress sont vulnérables en raison d’habitudes de mise à jour peu fréquentes ou inexistantes. Les pirates envoient des bots trop rapidement Analysez les sites Web WordPress et recherchez les vulnérabilités sous la forme d’anciens plugins présentant des risques de sécurité connus. Certains des plugins obsolètes les plus courants avec des risques de sécurité importants sont le gestionnaire de fichiers, le consentement aux cookies GDPR, le générateur de pages, le duplicateur, le client InfiniteWordPress et le kit de site de Google.

Une fois qu’un site a été identifié qui contient une version obsolète de ce plug-in ou d’autres, il est beaucoup trop facile de prendre le contrôle du site.

Les systèmes tiers développés en privé posent un risque de sécurité supplémentaire s’ils ne sont pas développés en permanence et activement entretenus pour faire face aux menaces récemment découvertes. Juste avant la plateforme de liberté d’expression Parler a été mis hors ligne par Amazon Web Services. Le site Web conçu par WordPress a été piraté par des hacktivistes qui ont exploité une faille de sécurité dans leur système de connexion mal conçu. Les pirates ont téléchargé toutes les données utilisateur et les données de publication car les publications étaient séquencées de manière non sécurisée dans un ordre numérique parfait.

Pour rester à jour

Selon WebARX, plus de 30 000 sites Web sont piratés chaque jour.

WordPress est utilisé par plus de 35% de tous les sites Web. Ce sont les sites Web que les pirates informatiques ciblent le plus souvent. Ce n’est pas à cause du cœur de WordPress, mais principalement à cause des portes grandes ouvertes créées par des plugins tiers obsolètes.

Il existe plusieurs services de notification gratuits qui informent les développeurs des dernières vulnérabilités de sécurité critiques. WebARX transmet les découvertes de vulnérabilités actuelles à ses abonnés et tient à jour une liste des Vulnérabilités de WordPress Ouvert au public avec des informations complètes sur chaque risque et un emplacement pour que les développeurs soumettent leurs propres découvertes.

Wordfence, la société qui a découvert le dernier risque de sécurité Ninja Forms, en a également un newsletter gratuite pour les mises à jour de sécurité.

Protégez votre portefeuille de sites WordPress

Mettre à jour, mettre à jour, mettre à jour

Il va sans dire que le moyen le plus important pour les développeurs d’améliorer la sécurité sur les sites Web WordPress est de s’assurer que tous les plugins, thèmes et noyaux WordPress sont mis à jour au moins une fois par semaine. Outre les sites Web susceptibles de souffrir de conflits potentiels avec des mises à jour qui nécessitent une mise à jour manuelle, l’activation des mises à jour automatiques pour les trois systèmes est préférable pour les développeurs disposant d’un large portefeuille.

Sécurité de connexion

Une autre étape recommandée par les experts en sécurité consiste à modifier l’URL de connexion WordPress de /WordPress-admin et /WordPress-login.php vers une URL différente que les robots malveillants et les pirates ne peuvent pas facilement deviner. Dans ce contexte, il est également recommandé de restreindre les tentatives de connexion et d’activer l’authentification à deux facteurs.

Protection côté serveur

La plupart des fournisseurs d’hébergement offrent des options de sécurité qui sont incluses dans les plans et / ou disponibles sous forme de modules complémentaires. Vous pouvez utiliser ces outils pour renforcer vos sites Web au niveau du serveur. Par exemple, Media Temple Hosting propose un Paquet de sécurité de Sucuri Il s’agit notamment de la suppression des logiciels malveillants, des analyses continues des injections de scripts malveillants, des alertes en temps réel, du pare-feu personnalisable, du SSL et du blocage géographique.

PHP actuel

La mise à jour de la version PHP de tous les sites Web / serveurs est essentielle. Chaque nouvelle version de PHP n’est prise en charge que pendant deux ans. Pendant la période de support, ces versions seront continuellement mises à jour avec des correctifs de sécurité et des corrections de bogues. Une fois que cette version n’est plus prise en charge, un site Web qui l’exécute devient immédiatement vulnérable aux attaques. À partir de cette date, tout site utilisant PHP 7.1 ou inférieur est à risque.

Plugins de sécurité

Les plugins de sécurité doivent également être pris en compte. Par exemple, Wordfence propose un plugin gratuit qui est livré avec un pare-feu, une analyse quotidienne des scripts malveillants et un système manuel pour nettoyer les fichiers piratés. Ils proposent également une version premium pour plus de sécurité. Cloudflare Réduit les attaques DDoS grâce à la redirection DNS et à la mise en cache.

Etapes supplémentaires

Il existe de nombreuses façons dont les sites WordPress peuvent être davantage bannis, ce que la plupart des développeurs connaissent. Des solutions de contournement telles que la configuration d’un pare-feu côté serveur, le forçage de SFTP sur FTP, l’utilisation de certificats SSL, l’activation des sauvegardes, le déplacement du fichier WordPress-config.php bien connu vers un emplacement plus sécurisé et la mise à jour des clés de sécurité WordPress font appel à de nombreuses techniques plus populaires. devrait être mis en œuvre.

Aller de l’avant

Lorsque des vulnérabilités critiques sont identifiées, la plupart des développeurs peuvent rapidement mettre à jour et corriger leurs produits WordPress. Et si un plugin a été complètement compromis ou abandonné, WordPress le supprime définitivement de son référentiel de plugins. La mise à jour des plugins et la suppression des plugins qui ne sont plus pris en charge par des sites Web individuels sont des tâches qui ne peuvent être effectuées que par le développeur du site Web.

Il n’y a pas de moyen unique d’assurer la sécurité du site Web WordPress, mais il existe de nombreuses méthodes qui peuvent être combinées pour empêcher les attaques de pirates. C’est entièrement à vous d’élaborer un plan de défense complet.

Une publicité pour le paquet de sécurité de Media Temple. "Sécurité tout-en-un.  Les SSL CDN, WAF et Let's Encrypt sont désormais inclus dans tous les packages de sécurité.  À partir de 19 $."



Source link

Recent Posts