WordPress – Protégez-vous !
Mise à jour 12/11/2015 : La dernière mise à jour de wordpress corrige la faille.
WordPress est un CMS (Content Management System) spécialisé dans la création de blog et depuis quelques années dans la création de site web de tout type. WordPress est le CMS le plus populaire du marché, de ce fait il est susceptible de connaitre plus d’attaques de la part d’hackers. Mais la vulnérabilité d’un site web est surtout liée à la négligence des failles de sécurité. Pour rester informé il existe différents blogs comme par exemple secupress.
Il faut savoir qu’une nouvelle méthode d’attaque a été découverte qui permet à un hackers de tester de très nombreux identifiants et mots de passe avec une simple requête http. En effet une attaque classique était configurée comme ceci 1 requête = 1 tentative, mais avec cette nouvelle approche qui exploite une faiblesse dans XML-RPC, on obtient 1 requête = x tentatives.
Pour se protéger de cette attaque, en attendant une mise à jour de wordpress, il suffit de rentrer une ligne de code, dans le fichier function.php, pour désactiver les appels à la méthode system.multicall.
function mmx_remove_xmlrpc_methods ($methods) {
unset ($methods[‘system.multicall’]);
return $methods;
}
add_filter(‘xmlrpc_methods’,’mmx_remove_xmlrpc_methods’);