wordpress-security

Si votre serveur est hacké physiquement et que vous y retrouvez un peu partout sur le disque des fichiers intrus et que vous hébergez un wordpress, inutile de changer vos mots de passe SSH. Une faille sévère dans le fichier theme-editor.php dans le dossier wp-admin de wordpress permet d’écrire par injection dans vos fichiers wordpress mais également de déposer des fichiers dans votre arborescence. Cette faille n’étant pas encore corrigée nous vous conseillons fortement de désactiver l’exécution de ce fichier dans votre configuration.

define('DISALLOW_FILE_EDIT',true);

L’exploitation de cette faille peut causer des dommages sévères sur votre serveur ou le transformer à votre insu en relai pour l’exécution de code malicieux  sur d’autres serveurs.

 

Lire également