Vous n'êtes pas identifié(e).

  • Contributions :
  • Vos boîtes de messages privés sont vides.

#1 2017-05-06 18:43:36

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 977

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Faille de sécurité Wordpress

Salut,

je viens de tomber sur cette info en faisant ma veille. Apparemment, une énorme faille de sécurité vient d'être découverte dans Wordpress.

Voici le lien de l'article en question : http://www.arobasenet.com/2017/05/faille-securite-wordpress-insoluble-3860.html

Ce qui est inquiétant, c'est que Wordpress a pas l'air impliqué. Il faut activer le “UseCanonicalName” sur la configuration serveur.

D'où ma question à la con : comment configurer ceci sur un hébergement mutualisé type OVH ?

@Julien_G  @KrustyHack une idée ? tongue

Merci big_smile

Dernière modification par superframboise (2017-05-06 19:20:26)


-------------------------------------------------------------

Création de site internet Wordpress | Audit SEO | Consulting

Hors ligne

#2 2017-05-06 22:49:15

Mention Seoxis
Soldier
Lieu : Calais
Inscription : 2014-04-29
Messages : 585

Scraping
Netlinking Auto
Audit et Analyse
Automatisation Web
Site Web

Re : Faille de sécurité Wordpress

en gros tu récupères l'ip de ton domaine et tu essayes de te connecter dessus

si ton wp s'affiche ce n'est pas bon signe .......



pour te protéger tu peux modifier le .htaccess et vérifier qu'il y a bien www dans l'url sinon ça redirige vers www...
ce qui fera que si quelqu'un se connecte via l'ip , le .htaccess redirigera vers www.123.123.123.123 (et affichera une jolie erreur)

vous confirmez @Julien_G  @KrustyHack  ?


Envie de me faire plaisir , achetez les mêmes proxys que j'utilise via ce lien : -=[ buyproxies.org ]=-  (15€ pour 10 proxys dédiés)

Envie de tester ZennoPoster c'est par ici : -=[ ZennoPoster ]=- (à partir de 87$)

Hors ligne

#3 2017-05-07 10:32:06

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 977

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Re : Faille de sécurité Wordpress

@Seoxis merci pour ta réponse. J'ai essayé de me connecter via l'IP et ca me met heureusement une 404.

J'attends confirmation pour mettre en place ta solution smile

Dernière modification par superframboise (2017-05-07 10:32:18)


-------------------------------------------------------------

Création de site internet Wordpress | Audit SEO | Consulting

Hors ligne

#4 2017-05-07 11:16:56

Mention KrustyHack
Soldier
Inscription : 2015-12-02
Messages : 653

Adminstration Serveur
Sécurité
Scraping
Développement Python
Site Web

Re : Faille de sécurité Wordpress

Ay,

Le paramètre UseCanonicalName est à définir dans la conf Apache : https://httpd.apache.org/docs/2.2/fr/mod/core.html#usecanonicalname

Sinon en mode gros bourrin, tu commentes le block "if" en question dans le fichier pluggable.php. Comme ça t'es sûr qu'à ce niveau là un attaquant ne pourra pas recevoir l'email à ta place.

Après j'ai regardé en diagonale faudrait que j'analyse plus. smile

Là ils expliquent qu'un trou du cul peut spoofer l'élément "Host" lors d'une requête pour réussir à récupérer les mails lors d'une demande de mot de passe. Comment est-ce possible ? Tout simplement parce que Wordpress à ce fameux "if" qui si l'email enregistré dans le compte membre n'est pas dispo il va envoyer la demande de mot de passe à wordpress@$_SERVER['SERVER_NAME']. Donc l'attaquant peut spoofer ce "SERVER_NAME" en forçant le header lors de ses requêtes.

Exemple :

curl https://www.monsite.com/ -H "Host: pwned.com"

Dernière modification par KrustyHack (2017-05-07 11:32:06)


Infrastructure, VPS, serveurs, ... J'ai forcément ce qu'il te faut, alors contacte-moi !

Hors ligne

#5 2017-05-07 12:11:20

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 977

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Re : Faille de sécurité Wordpress

@KrustyHack OK merci beaucoup pour tes précisions  big_smile


-------------------------------------------------------------

Création de site internet Wordpress | Audit SEO | Consulting

Hors ligne

#6 2017-05-07 20:45:07

Mention Julien_G
Soldier
Lieu : Lyon
Inscription : 2015-06-26
Messages : 556

Développement PHP
Sécurité
Automatisation Web
Social Engineering
Site Web

Re : Faille de sécurité Wordpress

Je passe un peu tard mais Krustyhakc a bien résumé le truc.

Bizarre quand même que Wordpress ferme les yeux sur cette faille qui est assez grave !


----------------------------------------------------------------

Skype : t3n0k_UG - Automatisation SEO et Hacking

Hors ligne

#7 2017-05-08 10:10:54

Mention Seoxis
Soldier
Lieu : Calais
Inscription : 2014-04-29
Messages : 585

Scraping
Netlinking Auto
Audit et Analyse
Automatisation Web
Site Web

Re : Faille de sécurité Wordpress

d'une manière générale , le hack c'est pas bien hein Julien lol


Envie de me faire plaisir , achetez les mêmes proxys que j'utilise via ce lien : -=[ buyproxies.org ]=-  (15€ pour 10 proxys dédiés)

Envie de tester ZennoPoster c'est par ici : -=[ ZennoPoster ]=- (à partir de 87$)

Hors ligne

#8 2017-05-08 18:13:16

Mention cb_nalex
Soldier
Inscription : 2014-04-26
Messages : 748

Html Css
Netlinking
Sémantique
Audit et Analyse

Re : Faille de sécurité Wordpress

LOL non c'est mal
Ce site en parle aussi
http://cgweb.fr.nf/hacking-wordpress-admin-password-reset/


°¨¨°³º¤£ [  COOLBYTES  ] £¤º³°¨¨° - Skype: cb_nalex_levrai

Hors ligne

#9 2017-05-10 10:09:59

Mention elyard
Scout
Inscription : 2017-04-20
Messages : 231

Re : Faille de sécurité Wordpress

Y'a que des deux solutions pour se protéger ?

Dernière modification par elyard (2017-05-10 10:12:00)

Hors ligne

#10 2017-05-10 12:13:55

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 977

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Re : Faille de sécurité Wordpress

@elyard c'est déjà pas mal big_smile en fait j'étais protégé sans le savoir vu que je redirige systématiquement http:// vers http://wwww.


-------------------------------------------------------------

Création de site internet Wordpress | Audit SEO | Consulting

Hors ligne

#11 2017-05-17 07:32:28

Mention elyard
Scout
Inscription : 2017-04-20
Messages : 231

Re : Faille de sécurité Wordpress

Oui c'est sur que c'est déjà cela, en attendant une mise à jour qui corrige ça (si c'est possible de le corriger)

Hors ligne

Pied de page des forums