01/04/2019

Attention Faille de sécurité sur le login détecté par sécupress sur wordpress 5.1.1 #wordpress #security #0day

Alerte sécurité wordpress 



Aujourd'hui, l'éditeur de plugin de sécurité pour wordpress Sécu-press a trouvé une faille 0day sur wordpress 5.1.1



Comment fonctionne la faille WordPress 5.1.1 Login Bypass


J'ai fait un test sur mon blog, mettez toto et un fake mot de passe et vous verrez que ça marche.Ne vous inquiétez pas j'ai sauvegardé le blog ailleurs.

https://www.love-moi.fr/wp-admin/


Comment se protéger de la faille de connection wordpress 5.1.1 découverte par secupress ?


Il s'agit d'un problème de droit administrateur lié à l'utilisateur 1, c'est à dire le super admin.

  1. Lorsque vous vous connectez et si vous voyez un user qui s'appelle admin, désactivez le (sauf si vous êtes en train de l'utiliser)
  2. Créez un nouvel utilisateur, créez un mot de passe difficile à retenir.
    Wordpress permet d'en générer un. 
  3. Apprenez le par coeur. 
  4. Donnez vous les droits administrateurs et enregistrez
  5. Reconnectez-vous à l'admin
  6. Si le 1er utilisateur est TOTO, renommez le en TATA et mettez le rôle en subscriber.
Voilà votre wordpress est protégé jusqu'à demain.

Pour aller plus loin, vous pouvez interdire l'accès à votre admin wordpress à votre seule adresse IP,assurez vous juste de le débloquer si vous passez par un autre provider.