Faille de sécurité dans Joomla!Le 25 octobre dernier, le groupe de développement du CMS Joomla! a publié une mise à jour destinée à combler une faille de sécurité importante découverte quelques jours plus tôt.

Cette faille a été jugée critique car elle permet à un pirate de créer un compte utilisateur, avec des droits d'accès élevés (jusqu'à Administrateur du site !), même si la création de nouveaux comptes est désactivée dans les préférences de Joomla!.

Elle concerne les versions entre la 3.4.4 et la 3.6.3 et la version publiée avec le correctif est la 3.6.4.

 

 

Note importante

Comme toujours, tous les sites hébergés et gérés par Betterliving ont été immédiatement mis à jour et aucun signe de piratage n'a été constaté. Veuillez cependant rester vigilents et signalez-nous tout comportement inhabituel de vos sites.

Mesures à prendre

Si vous n'avez pas encore mis à jour votre site vers la dernière version 3.6.4, nous vous recommandons de le faire sans tarder. Les attaques exploitant cette faille ayant démarré dans les 24 heures de l'annonce, il est plus que probable que votre site a déjà été compromis s'il n'a pas été mis à jour. Vérifiez soigneusement la liste de vos utilisateurs (dans la partie administration du site, Utilisateurs > Utilisateurs) et désactivez (ou supprimez) ceux qui vous semblent suspects. Recherchez principalement ceux qui pourraient avoir "db_cfg" comme identifiant ou "" comme adresse email (informations révélées par Sucuri), ou toute autre adresse email suspecte (en .ru le plus souvent).

Si vous pensez avoir été piraté et avez besoin d'aide, n'hésitez pas à nous contacter pour nettoyer votre site.

En conclusion

Cet incident ne remet nullement en cause la qualité du CMS Joomla! (à nos yeux le meilleur CMS Open Source disponible). Au contraire, il montre une fois de plus la très grande réactivité de l'équipe de développement Joomla! qui a publié la mise à jour très rapidement après le signalement de la faille. De plus, ils ont, comme toujours aussi, été tout à fait transparents en ne dissimulant rien à propos de ce problème. Tous les systèmes informatiques (CMS, système d'exploitation, plugins, ...) présentent régulièrement des problèmes de sécurité plus ou moins graves. Cela doit nous rappeler que ces systèmes ne sont pas figés et doivent faire l'objet d'une attention constante pour pouvoir fonctionner de façon sûre et optimale.

Si vous n'êtes pas en mesure d'assurer vous-même cette maintenance indispensable, nous vous rappelons que notre offre d'hébergement Joomla! inclut les mises à jour automatiques du CMS et de ses composants en cas de publication de mise à jour de sécurité. Contactez-nous pour plus de détails ou pour vos questions à propos de la sécurisation de votre site.

 

  Contactez-nous

email :

téléphone : +32 485 50 46 14

  Restez connecté