Le premier virus de blog ?

Un chercheur en sécurité web allemand a trouvé sept vulnérabilités de type XSS(*) dans WordPress, et a écrit un correctif sous la forme d'un blogovirus XSS exploitant ces mêmes failles.

(*) Cross Site Scripting, une technique permettant l'attaque d'un site web vulnérable par l'exécution d'un script ou l'injection d'un code venant de l'extérieur.

9 commentaires

La moitié de ces failles nécessitant un compte admin sur le blog, ça reste assez "soft" comme XSS...

Euh, Mr Peer, et combien de blogs mono-auteurs sont-ils utilisés avec le seul compte administrateur ? (La réponse est "un certain nombre" ou, plus précisément, certainement beaucoup.)

Et les attaques commencent : http://planet-websecurity.org/Wordress+security+plugin/

La procédure est assez claire : il faut être dans l'espace d'administration et être connecté en tant qu'administrateur et cliquer sur un lien bien précis.
Beaucoup ou pas, ce hack ne se fait pas tout seul ;) Il faut bien que l'admin clique sur un lien. Après forcément si les gens sont assez cons pour bloguer avec un compte admin et cliquer sur tout et n'importe quoi comme lien, on peut plus rien pour eux :p

Visiblement je fais partie des gens "assez cons" (et de surcroît non anglophone - c'est un crime ?) pour bloguer en WP avec un compte admin (heureusement pour moi mon blog est pour l'instant hyper-confidentiel). Mr Peer serait-il "assez bon" pour éclairer nos lanternes et nous dire ce qu'il faut faire, ou ne pas faire, puisque ce qui semble logique (un compte admin est normalement destiné à administrer un site, non ?) est proscrit ?

lorran, je te rassure, moi aussi je fais partie des cons (pire, je blogue avec un truc "pas libre, qui pue" :p). C'est une évidence crasse que l'immense majorité des blogueurs en solo ne vont avoir qu'un seul compte, et donc les droits d'admin avec. C'est aux développeurs de ce genre de logiciel de faire en sorte de coder proprement et de boucher les trous de sécurité quand il y en a. Le jugement de Mr Peer sur les utilisateurs n'est qu'un jugement de valeur bien à côté de la plaque...

Merci François, me voilà rassuré… mais point guère plus informé. Mr Peer aurait-il perdu sa langue, ou plutôt ses doigts ? ;) Je suis sûr qu'on serait plusieurs à apprécier ses judicieux conseils.

PS: et bravo François pour cet espace d'infos toujours très intéressantes. J'y suis abonné depuis quelques mois maintenant sans avoir trouvé le temps/l'occasion de poster un commentaire. C'est chose faîte !

Pfff si on peut même plus troller tranquillement :p

@lorran : Je suis forcé de partir du principe que les gens font les pires conneries possibles avec les outils que l'ont met à leur disposition. Je vois ça tous les jours, même quand on fournit une doc, qu'on leur fait une formation, etc.
Bloguer avec le compte admin n'est pas totalement impossible. Seulement, beacoup de gens ont la mauvaise idée d'y associer rapidement un mot de passe trop simple (voir les études à ce sujet, il y a énormément de gens qui utilisent "password", "azerty", "123456" et autres comme mot de passe). Ce qui donne une bonne occasion de se faire hacker extrêmement facilement (et sans XSS), et c'est valable quelque soit l'outil de blog, de cms, de forum, de wiki, de ce qu'on veut.
Plusieurs solutions (dans le cas de WordPress) :
- garder le compte admin et avoir un mot de passe très compliqué
- garder le compte admin, avoir un mot de passe très compliqué, et aussi changer le nom d'utilisateur (par défaut 'admin', dans le cas de WordPress ce n'est modifiable qu'en passant par phpMyAdmin ou équivalent)
- utiliser le compte admin pour configurer le blog, changer le mot de passe en quelque chose de très compliqué et le noter quelque part (pour les changements de configuration dans le futur) + créer un nouveau utilisateur (onglet 'Utilisateurs') avec des droits limités (rôle = 'Editor') qui peut avoir un mot de passe plus simple, mais pas trop quand même ;)

@François : bien sûr, et dans le cas de WordPress, c'est fait assez rapidement (version avec un correctif publiée hier ;) ).
Mais il est également difficile de donner des fonctions d'administration très avancées à un utilisateur sans aucun risque. (pas impossible, mais il y a toujours un risque... et qui ne viendra pas forcément du logiciel principal lorsque celui ci peut avoir des plugins)

C'est l'époque des failles avec le DEFCON. Vous avez vu celle du wifi gratuit / gmail (http://tubbydev.typepad.com/entreprise_et_blog/2007/08/gmail-hack-avec.html)? Bientôt dispo à Paris avec les spots wifi ;-)))

Laisser un commentaire

En laissant un commentaire, vous acceptez la politique des commentaires de ce blog.

Billets plus ou moins similaires

Archives mensuelles

Notes récentes

  • Un repas de fête

    Un repas de réveillon improvisé et entièrement fait maison, à quatre mains : En apéritif, des bretzels (graines de pavot, sésame et mélange de graines...

  • Une simple question d'égalité

    L'indifférence est pire que la haine. En particulier l'indifférence de cette fameuse catin qu'on appelle « opinion publique ». L'avantage des opinions anti-mariage pour tous...

  • François, sans filtre

    Hier matin, un homme bien ne s’est pas réveillé. Un hommage sans filtre à un François, par celui grâce à qui j'ai eu le plaisir...

  • Ce qu’il faut pour être heureux

    Ce qu’il faut pour être heureux Il faut penser ; sans quoi l’homme devient, Malgré son âme, un vrai cheval de somme. Il faut...

  • La Nouvelle Calédonie en 6 minutes

    À huit jours du second tour de l'élection présidentielle française 2012 (cuvée « Casse-toi pov’con ! »), je voudrais partager cet aperçu de la Nouvelle-Calédonie...