Planification SEM pour 2024 : parce que 2023 ne vous a pas préparé
Préparez-vous pour 2024 avec un plan SEM solide. Apprenez à surmonter les défis et à optimiser vos efforts de marketing de recherche pour des résultats optimaux.
23 janvier 2024
Une vulnérabilité de sécurité importante a été identifiée et corrigée dans le plugin File Manager largement utilisé pour WordPress, affectant plus d'un million de sites Web. La vulnérabilité est notée 8,1 sur 10 en termes de gravité et pourrait potentiellement permettre à des attaquants non authentifiés d'accéder à des informations sensibles, notamment aux données contenues dans les sauvegardes du site.
Ce qui rend cette vulnérabilité très préoccupante est le fait qu’un pirate informatique n’a pas besoin d’informations de connexion pour lancer une attaque, ce que l’on entend par le terme non authentifié.
Dans le cadre d’une vulnérabilité de plugin WordPress, un attaquant peut accéder à des informations sensibles sans avoir besoin de se connecter ou d’authentifier son identité. Ce type d'attaque exploite une faille de sécurité que le plugin File Manager appelle Utilisation de valeurs insuffisamment aléatoires.
Le site Web de sécurité Common Weakness Enumeration décrit ce type de vulnérabilité :
« Le produit utilise des nombres ou des valeurs insuffisamment aléatoires dans un contexte de sécurité qui dépend de chiffres imprévisibles.
Lorsque le produit génère des valeurs prévisibles dans un contexte exigeant de l'imprévisibilité, il peut être possible pour un attaquant de deviner la prochaine valeur qui sera générée et d'utiliser cette supposition pour usurper l'identité d'un autre utilisateur ou accéder à des informations sensibles.
Cette catégorie de vulnérabilité est due à une faiblesse dans l'algorithme de génération de nom de fichier de sauvegarde du plugin File Manager. L'algorithme combine un horodatage avec un nombre aléatoire à quatre chiffres, mais ce degré de randomisation n'est pas suffisamment aléatoire pour empêcher un attaquant de deviner les noms de fichiers et, par conséquent, permet aux attaquants d'accéder aux fichiers de sauvegarde dans des configurations où il n'y a pas de fichier . htaccess pour bloquer l'accès.
Le type de vulnérabilité Utilisation de valeurs insuffisamment aléatoires est une faille dans le plugin qui repose sur la génération de numéros de fichiers aléatoires et imprévisibles afin d'empêcher les attaquants de deviner quel est le nom d'un fichier de sauvegarde. Le manque de randomisation du plugin permet à un attaquant de comprendre les noms de fichiers et d’accéder à des informations sensibles.
La vulnérabilité de sécurité se retrouve dans toutes les versions jusqu'à la 7.2.1 incluse et a été corrigée dans la dernière mise à jour du plugin, avec la sortie de la version 7.2.2.
La mise à jour, comme indiqué dans la documentation du journal des modifications du plugin WordPress du gestionnaire de fichiers , inclut un correctif pour le problème de sécurité. Il est fortement conseillé aux utilisateurs du plugin d'envisager de mettre à jour vers cette dernière version pour protéger leurs sites Web contre les exploits potentiels.
Lisez l’avis de Wordfence pour plus d’informations :
Image en vedette par Shutterstock/Perfect_kebab
Préparez-vous pour 2024 avec un plan SEM solide. Apprenez à surmonter les défis et à optimiser vos efforts de marketing de recherche pour des résultats optimaux.
Le carrousel du forum de Google suscite un débat, soulevant des inquiétudes concernant la désinformation et incitant l'entreprise à réagir.
YouTube introduit de nouvelles informations sur les impressions, permettant aux chaînes de voir une répartition des téléspectateurs nouveaux et connus.