Auteur Sujet: AVERTISSEMENT DE SECURITE SUR LES CMS JOOMLA - WORDPRESS - DRUPAL  (Lu 2861 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Leonard

  • Débutant
  • *
  • Messages: 76
AVERTISSEMENT Sécurité sur les CMS Joomla - Wordpress - Drupal

Suite à une recrudescence de piratages de CMS au cours du derniers mois, l'équipe PHPNET tient à vous informer sur les mesures à adopter pour vous protéger.

Les systèmes de gestion de contenu (CMS) Joomla, Wordpress et Drupal sont les plus visés. Des pirates repèrent et exploitent des failles de sécurité sur les versions obsolètes ou non mises à jour, ainsi que sur les thèmes et les plug-ins. Nous recommandons de garder constamment à jour vos CMS et leur contenu vers la dernière version disponible.

Dans la grande majorité des cas, le pirate exploite la fonction Mail de php pour envoyer du spam en grande quantité vers l’extérieur. Les failles de sécurité permettent aussi au pirate de supprimer ou modifier des fichiers.

Les éléments les plus critiques à mettre à jour dans l'immédiat sont :
- Wordpress mise à jour vers version 3.6
- Joomla mise à jour vers version 3
- Drupal mise à jour vers version 7.32
- Wisyja-Newsletter/Mail Poet pour Wordpress vers la dernière version
- RevolutionSlider pour Wordpress vers la dernière version

Vous trouverez plus d'informations sur la mise à jour nécessaire de Drupal en suivant ce lien :
http://forum.phpnet.org/index.php/topic,12712.0.html

La liste des thèmes Envato pour Wordpress inféctés comprenant SliderRevolution intégré est disponible ici (anglais) :
http://marketblog.envato.com/general/affected-themes/

Les informations de mise à jour pour WisyjaNewsletter/MailPoet sont ici :
http://forum.phpnet.org/index.php/topic,12680.0.html

BuilderX

  • Invité
Re : AVERTISSEMENT DE SECURITE SUR LES CMS JOOMLA - WORDPRESS - DRUPAL
« Réponse #1 le: 06 novembre 2014 à 17:51:43 »
merci pour l'info !  :mellow:

Hors ligne RobertG

  • Connaisseur
  • ***
  • Messages: 297
    • Robert Gastaud Conseils et Assistance
Re : AVERTISSEMENT DE SECURITE SUR LES CMS JOOMLA - WORDPRESS - DRUPAL
« Réponse #2 le: 07 novembre 2014 à 07:46:02 »
Merci Leonard de rappeler qu'un CMS doit en permanence être surveillé et mis à jour (ainsi que ses extensions) !
"Patience et longueur de temps font plus que force ni que rage..." (La Fontaine). MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - site pro https://www.robertg-conseil.fr

Hors ligne fge

  • Débutant
  • *
  • Messages: 1
Re : AVERTISSEMENT DE SECURITE SUR LES CMS JOOMLA - WORDPRESS - DRUPAL
« Réponse #3 le: 22 novembre 2014 à 12:17:47 »
Concernant plus spécifiquement WordPress une mise à jour de sécurité a été publiée hier : https://wordpress.org/news/2014/11/wordpress-4-0-1/ . On est pas obligé d'avoir la dernière version, mais il faut donc avoir au minimum avoir les versions 3.7.5, 3.8.5, 3.9.3 ou 4.0.1.

Depuis plusieurs mois WordPress intègre par défaut une fonctionnalité permettant de faire les mises à jour mineures de manière complètement autonome. Les mises à jour de sécurité sont donc faites dès publication de la nouvelle version, si la fonctionnalité n'a pas été désactivée.

Hors ligne Leonard

  • Débutant
  • *
  • Messages: 76
Re : AVERTISSEMENT DE SECURITE SUR LES CMS JOOMLA - WORDPRESS - DRUPAL
« Réponse #4 le: 24 novembre 2014 à 17:35:24 »
Effectivement, bon nombre de Wordpress ont été mis à jour automatiquement vers la 4.0.1
La mise à jour est importante et comble des failles de sécurité critiques  :wacko:

Hors ligne deletangp

  • Débutant
  • *
  • Messages: 1
  • (Débutant)
    • Gym 2000 Querqueville
Re : AVERTISSEMENT DE SECURITE SUR LES CMS JOOMLA - WORDPRESS - DRUPAL
« Réponse #5 le: 03 décembre 2014 à 07:39:21 »
Bonjour,

Je gère un certain nombre de sites Joomla! chez PHPNET depuis quelques années.

Certains sont attaqués régulièrement alors qu'il sont en V3.3.6 et que tous les composants sont à jour. Il n'y a donc pas uniquement un problème de mise à jour des CMS et de leurs composants.

J'utilise, pour ceux qui connaissent WatchFulli pour les mises à jour et la surveillance et je viens de mettre en place aeSecure.

Je ne suis pas spécialiste des contre-attaques et donc c'est difficile de trouver où sont cachés les malwares sur nos sites.

Est-ce qu'il des outils pour cela et gratuit si possible ?

Patrick DELETANG - Webmaster bénévole.
http://www.danseavecmoi.org

Hors ligne Laskov

  • Débutant
  • *
  • Messages: 16
Re : AVERTISSEMENT DE SECURITE SUR LES CMS JOOMLA - WORDPRESS - DRUPAL
« Réponse #6 le: 03 décembre 2014 à 07:48:06 »
Je pense qu'on peut aussi ajouter a la liste des CMS avec des failles E107 dans sa version 1.0.4.

En effet en juillet un mail de PhpNet à mis en évidence sur un de mes sites la présence de deux fichiers louche qui ne font pas partie des fichiers du core E107.

Les deux fichiers ont fait réagir mon antivirus bien qu'il ne soit qu'un long script PHP.

Le problème est que E107 et plus ou moins en arrêt de développement et ce n'est pas l'instable version 2.0 alpha 2 qui va sauver les meubles pour le moment.