WordPress 2.6 : contrôle de sécurité avant upgrade

Voici la traduction d’un article signé UseShots et paru chez WeblogToolsCollection :

WordPress 2.6 est sorti. C’est le moment de faire une mise à jour.

N’oubliez pas de faire une vérification de sécurité avant la mise à jour.

Si vous upgradez un blog compromis, la nouvelle installation va rester compromise. Les pirates (hackers) peuvent laisser une back doors, créer un nouvel utilisateur ou voler votre mot de passe d’administration. De cette façon, même la toute dernière version de WordPress 2.6 peut être piratée.

Voici 2 outil relativement nouveaux pour vous aider :

  • WordPress Exploit Scanner – Ce plugin cherche dans les fichier et dans la base de données de votre site après des signes d’activité anormales (suspicious). Il ne va pas empêcher quelqu’un de pirater votre site mais il peut vous aider à trouver des fichiers compromis laissés par les pirates. La version en cours en la 0.1 (publiée le 26 juin 2006) est destinée à WordPress 2.5.1. Il faut donc l’utiliser avant la mise à jour et la désactiver ensuite. Vous pouvez l’utiliser avec WordPress 2.6 mais elle pourrait signaler des faux positifs. J’imagine qu’une nouvelle version de ce plugin sortira bientôt.
Ce plugin affiche des avertissements pour ses propres fichiers. N’en tenez pas compte. Il ne faut pas tenir compte des alertes pour exploit-scanner.php car le plugin tombe sur ses propres chaines suspicieuses.
Il y a aussi une alerte à ne pas prendre en compte sur PSpellShell.php.
Si le plugin signale d’autres fichiers, il faudra les étudier soigneusement.
  • Si n’êtes pas à l’aise avec l’idée d’installer ce genre de truc sur votre WordPress, vous pouvez essayer le servie en ligne Unmask Parasites pour vérifier des pages particulières à la recherche de contenu suspect (genre liens de spam invisible, scripts malicieux et redirections). Ce service simple est en version béta (version du premier juillet 2007). Comme il n’a pas accès à votre serveur, il ne peut révéler que des failles visibles dans le code HTML de vos pages.
Ces 2 outils permettent de repérer la pluspart des failles de WordPress mais ne garantissent pas à 100% la fiabilité de leurs tests. et il ne vont toucher à rien. Néanmoins, dans un monde ou des milliers de blogs WordPress ont été attaqué par des pirates, l’étape de vérification de la sécurité est un must et ces outils font de leur mieux pour vous aider.
Bonne mise à jour !

Tags : , , , ,