Browse > Home / Astuces, CMS / Wordpress Hacké

Wordpress Hacké

9 septembre 2008

wordpress hackWordpress hacké ? C’est possible ? Et bien oui ! Un petit malin du nom de irk4z a réussi à hacker wordpress avec une technique relativement simple qu’il a d’ailleurs mis en ligne récemment, mais on peut s’en protéger très facilement donc pas de soucis à se faire.

En effet le système repose sur l’inscription d’un membre pour recréer un compte admin et changer le mot de passe, pas de grand intérêt mais bon … c’est toujours embêtant de savoir qu’une faille a été trouvée dans un CMS autant utilisé.

Ainsi pour protéger wordpress il vous suffit  de fermer les inscriptions et vous n’aurez aucun soucis, vérifiez aussi qu’il n’existe pas de double comptes ou autre, on ne sait jamais si entre temps un petit malin s’était amusé à trafiquer votre blog.

Bien sur pour mieux comprendre il faut apprendre ! C’est pourquoi je vais vous expliquer comment marche la faille (je ne fais que traduire les instructions de l’auteur). Bien sur, je vous fait confiance, vous ne testerez ça que chez vous et pas chez les autres, pas de bétises !

 

  1. Allez à l’url : server.com/wp-login?action=register
  2. Enregistrez vous avec “pseudo : admin [...] x” (55 espaces entre admin et x) et votre mail (vous venez de créer un 2° compte ‘admin’ dans la base de donnée)
  3. Allez à l’url : server.com/wp-login?action=lostpassword
  4. Rentrez votre mail et confirmez le formulaire
  5. Regardez vos mails et cliquez sur le lien de confirmation de changement de password
  6. Le mot de passe a été changé mais il a été renvoyé à l’email du vrai admin 
Comme je vous le disais pas un grand intérêt mais de ce hack pourraient découller d’autres failles plus importantes, à suivre de près !
Plus d’informations sur le hack ici


Voter !

Ecrit par Touchcream · Classé dans Astuces, CMS 

Commentaires

Aucun Commentaire pour “Wordpress Hacké”

  1. Mr Peer on 9 septembre 2008 19:03

    C’est un problème qui vient à la base de MySQL, donc il n’y a pas que WordPress qui était vulnérable mais potentiellement des dizaines d’autres outils.

    Et la version 2.6.2 de WordPress, disponible depuis hier ( http://wordpress.org/development/2008/09/wordpress-262/ ), corrige le problème ;)

  2. [monsieur t.]* on 9 septembre 2008 19:06

    D’où l’intérêt de renommer son compte admin, directement dans la base de donnée, après une installation toute fraîche de Wordpress.

  3. Touchcream on 9 septembre 2008 19:26

    @Mr Peer : effectivement, prêt pour tester tout les CMS ? :D

  4. Clark Gaybeul on 10 septembre 2008 0:17

    Merci pour l’info, va falloir que je mette mon Wordpress a jour

  5. seoman on 10 septembre 2008 0:19

    le mieux c’est encore de décocher la possibilité pour tout le monde de s’enregistrer sur les options Wordpress

    c’est plus simple

    @+

  6. Touchcream on 10 septembre 2008 7:02

    @seoman : oui là au moins ça parre toute éventualité de hack ^^

  7. soso on 11 septembre 2008 22:26

    Ha et moi qui croyais qu’il fallait laisser la possibilité aux internautes de s’enregistrer sur mon blog… :S
    Chai pas, genre pour rester toujours connecté, ce genre de truc…

  8. Red@ on 13 septembre 2008 7:39

    je l’ai testé sur Wp 2.6 et ça ne marche pas … ça reste du Admin x , donc ce n’est pas un Admin ;)

  9. Le cocktail du Dimanche #10 - ilonet.fr on 15 septembre 2008 0:20

    [...] Wordpress Hacké Le hacker irk4z a réussi à hacker wordpress avec une technique relativement simple qu’il a d’ailleurs mis en ligne récemment, mais on peut s’en protéger très facilement donc pas de soucis à se faire. [...]

Commentez "Wordpress Hacké"