👋 Hello, je te propose -10% sur Divi d'ElegantThemes.com en cliquant ici ! 😊
Geekeries.fr

Faille de sécurité WordPress « 0 day » !

Si vous disposez des dernières versions de WordPress (3.0.2) ou la beta de WordPress 3.1, vous n’avez aucun risque. Seul les versions antérieurs sont concernées. Toutefois, si vous ne souhaitez pas mettre à jour pour des raisons technique ou autre, il vous suffit de patcher votre installation à l’aide des indications suivantes.

Cette vulnérabilité permet tout simplement de récupérer le nom, le mot de passe et n’importe quelles autres informations directement depuis un article. L’auteur doit tout de même avoir le rôle nécessaire pour pouvoir publier un article. Cette exploit « 0 day » se forme grâce à l’utilisation de la fonction « do_trackbacks » et permet donc l’injection SQL. Les attaquants (distants) peuvent alors exécuter des commandes SQL directement dans votre installation WordPress. Pour patcher votre installation (WordPress 3.0.1), collez dans le fichier « comment.php » présent dans le dossier « wp-includes » le bout de code suivant.

Repérez

Pour commencer, faites une sauvegarde de votre fichier « comment.php ». Ouvrez-le et recherchez le bout de code suivant.

[code]
if ( !in_array($tb_ping, $pinged) ) {
    trackback($tb_ping, $post_title, $excerpt, $post_id);
    $pinged[] = $tb_ping;
} else {
    $wpdb->query( $wpdb->prepare(« UPDATE $wpdb->posts SET to_ping = TRIM(REPLACE(to_ping, ‘$tb_ping’,  »)) WHERE ID = %d », $post_id) );
}
[/code]

Remplacez

Sélectionnez le bout de code précédemment cité et coller le code suivant. Cela écrasera votre sélection puis enregistrez.
[code]
if ( !in_array($tb_ping, $pinged) ) {
    trackback($tb_ping, $post_title, $excerpt, $post_id);
    $pinged[] = $tb_ping;
} else {
    $wpdb->query( $wpdb->prepare(« UPDATE $wpdb->posts SET to_ping = TRIM(REPLACE(to_ping, %s,  »)) WHERE ID = %d », $tb_ping, $post_id) );
}
[/code]

Les extensions

Better Security est une extension vous permettant d’intégrer un véritable système de sécuritésur votre installation WordPress. Nous vous présentons l’une des plus complètes et des plus fonctionnelles extensions de sécurisation WordPress. Lire : Découvrez le tout en un de la sécurisation WordPress !

Login Logger est une extension vous permettant de surveiller l’activité des connexions entrantes de votre installation WordPress. Il liste les dernières connexions effectuées par vos membres et indique également les connexions échouées. La date, l’adresse IP sont enregistrés.

Publié à l'origine le : 7 décembre 2010 @ 1 h 11 min

Pour compléter votre lecture.

Geekeries.fr
👋 Hello, Pour maintenir ce service gratuit, nous recevons des commissions d'affiliation via certains de nos liens

👋 Hello,

Bienvenue sur BlogInfos.com !

Vous allez bientôt être redirigé vers notre partenaire ElegantThemes.com

Si vous ne souhaitez pas être redirigé vers notre partenaire et accéder à l’article, cliquez sur Fermer Maintenant.

FERMER MAINTENANT

DIVI - THÈME WORDPRESS

-10%

👋 Le site ElegantThemes.com propose une réduction de 10% et elle ne sera disponible que pendant quelques temps. Ne manquez pas ça !

JE PROFITE DE L'OFFRE

En cliquant sur le lien « Fermer Maintenant » vous acceptez d’aider ce site et d’être redirigé vers notre partenaire ElegantThemes.