Blog Informatique

[Sécuriser WordPress] Le cas de l’utilisateur « admin »

Sécurité   11 réactions »
A ce point ?PassableIntéressantYeahExcellent! (2 vote(s), moy. : 5,00 sur 5)
Loading...

Il fallait vivre dans un igloo cette semaine pour ne pas entendre parler des différentes brèches de sécurités récemment dévoilées dans WordPress.

securiser-blog-wp-partie1

Voici un premier billet d'une longue série dans laquelle j'aborderai différentes techniques et méthodes de sécurité qui vous permettront de limiter les dégâts pour de prochaines éventuelles failles. » Lire la suite

Google,Microsoft, Apple, Yahoo […] victimes d’un DNS spamming

Sécurité   Une réaction »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

google-dns-spoofing

[Mise à jour] Comme l'explique MagicalTux, employer le mot "dns spamming" n'est pas exact. Il s'agit plus exactement d'une manipulation au niveau des Glue Records : c'est à dire du serveur de nom dont votre registrar peut vous autoriser la modification.

Il semblerait que certains serveurs soient victime d'un DNS Spamming influant sur le WHOIS de très nombreux sites tels que Amazon, Youtube, eBay, CNN, Apple, Microsoft, Yahoo ou encore Facebook.

Voici ce que retourne le WHOIS de Apple.com :

» Lire la suite

Ne vous faites plus voler vos mots de passe

Sécurité   13 réactions »
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), moy. : 5,00 sur 5)
Loading...

Microsoft propose d'analyser en ligne la complexité de vos mots de passe :

password-checker » Lire la suite

Générateur de mot de passe mnémotechnique sécurisé

Sécurité   4 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

L'éditeur de logiciels PCTools nous propose un générateur de mot de passe comprenant de nombreuses options :

pctools-generator-options

La possibilité d'exclusion des caractères similaires (sources d'erreur) tels que "i, l, o, 1, 0, I" est loin d'être un gadget sera fort utile pour générer un mot de passe un minimum complexe, c'est à dire qui contient à la fois des minuscules et des majuscules (en plus de chiffres et autres caractères spéciaux).

L'option phonétique, elle, vous permettra de façon mnémotechnique de vous rappeler un peu plus facilement de votre mot de passe :

pctools-generator-result » Lire la suite

Espionnez les domaines de vos concurrents sur le web

Internet, Sécurité   11 réactions »
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), moy. : 5,00 sur 5)
Loading...

Un serveur mutualisé permet d'héberger plusieurs sites web sur une même machine, c'est à dire sur une seule adresse IP visible du web (publique).

Les principaux avantages du mutualisé sont le coût ainsi que la maintenance minime. Mais vous pouvez tout à fait louer un serveur dédié pour plusieurs de vos sites personnels et/ou professionnels.

Un des outils du site YouGetSignal vous permet, à partir de l'adresse d'un site, de lister tous les sites voisins (neighborhood) hébergés sur cette machine :

» Lire la suite

Une faille DoS qui plante Firefox 3.0.6

Sécurité   2 réactions »
A ce point ?PassableIntéressantYeahExcellent! (1 vote(s), moy. : 2,00 sur 5)
Loading...

Une possibilité de crash de Firefox (version 3.0.6 incluse) vient d'être révélée.

Le code source concerne la balise "BODY onload" :

Ce qui provoque :

» Lire la suite

Quand Twitter rime avec hacker…

Sécurité   2 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Hier le plus populaire site de micro-blogging Twitter a eu de la visite ! 33 comptes ont été piratés, parmi lesquels : Barack Obama, Britney Spears, Rick Sanchez (journaliste vedette de CNN), etc. !

Il y a quelques jours Twitter était déjà victime d'une vague de phishing mais les responsables de Twitter affirment que les deux attaques ne sont nullement liées.

Les pirates auraient réussi à voler le » Lire la suite

Pensez à mettre à jour votre WordPress 2.6.3

Sécurité   4 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Une faille dans la version WordPress 2.6.3 vient d'être découverte. Elle ne concerne uniquement les serveurs Apache 2.x virtuels basés sur IP.

Je fais ce billet également pour vous dire que l'on passe de la version 2.6.3 à la 2.6.5 et qu'il n'existera jamais de 2.6.4 tout simplement à cause du fait que des rumeurs avaient circulées sur cette version... Pour éviter toute confusion l'équipe de développement de WP a préférer sauter cette version 2.6.4.

La version française n'étant encore pas disponible sur WordPress-fr (elle le sera peut-être à l'heure ou vous lisez ce billet), vous pouvez soit télécharger uniquement les fichiers modifiés (pas de perte de la langue française), soit re-télécharger la version anglaise complète en version 2.6.5.

Personnellement j'ai seulement mis à jour les fichiers patchés (ce que je fais à chaque fois d'ailleurs pour éviter de perdre certaines personnalisations dans le code source).

Voici la note officielle :

WordPress 2.6.5 is immediately available and fixes one security problem and three bugs. We recommend everyone upgrade to this release.

The security issue is an XSS exploit discovered by Jeremias Reith that fortunately only affects IP-based virtual servers running on Apache 2.x. If you are interested only in the security fix, copy wp-includes/feed.php and wp-includes/version.php from the 2.6.5 release package.

2.6.5 contains three other small fixes in addition to the XSS fix. The first prevents accidentally saving post meta information to a revision. The second prevents XML-RPC from fetching incorrect post types. The third adds some user ID sanitization during bulk delete requests. For a list of changed files, consult the full changeset between 2.6.3 and 2.6.5.

Note that we are skipping version 2.6.4 and jumping from 2.6.3 to 2.6.5 to avoid confusion with a fake 2.6.4 release that made the rounds. There is not and never will be a version 2.6.4.

WordPress-fr
WordPress (officiel)

Sécurité à revoir sur le site du Crédit Agricole

Sécurité   15 réactions »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Si vous êtes client du Crédit Agricole sachez cette information vous concerne.

Vous avez peut-être souscris à l'option permettant d'accéder à la gestion de vos comptes en ligne (payante, disponible dans certains packs), généralement ça fonctionne plutôt bien... sauf que aujourd'hui j'ai voulu me connecter et voici ce sur quoi je suis tombé :

Normal allez vous me dire ? Sauf que c'était ma première connexion et que je suis certains d'avoir entré le bon mot de passe ! Quelqu'un a donc essayé de s'identifier à ma place... ayant une machine propre (scannée régulièrement, à jour, etc) j'ai tout de suite mis hors de cause mon pc.

Quel est le problème ?

Le problème vient en fait de l'identifiant de chaque personne qui est "facilement" devinable puisqu'il est composé des 8 premiers chiffres du numéro de compte suivi de "960". » Lire la suite

Disque dur externe sécurisé par code

Sécurité   Réagir »
A ce point ?PassableIntéressantYeahExcellent! (Votez !)
Loading...

Lenovo lance un disque dur USB protégé contre le vol de données. Le contenu du disque est crypté en 128 bit et nécessite un code d'accès numérique pour accéder aux données :

Il supporte jusqu'à 10 utilisateurs différents en plus du compte administrateur. » Lire la suite