Jean Lassalle : ses sites sous WordPress sont mal maintenus
C'est vrai que les politiciens ne sont pas tous au courant des dernières actualités autour de la nouvelle technologie. Mais ce candidat à l'élection présidentielle met en péril la sécurité de ses sites web sous WordPress.
Tout bon webmaster doit savoir que maintenir les applications à jour est le premier geste pour compliquer la tâche aux pirates informatiques. Pourtant, celui de jeanlassalle2017.fr et jeanlassalle.fr n'est visiblement pas de cet avis, d'après 01net.
Pour le premier, il est à jour sur la dernière version stable de WordPress. Cependant, ce n'est pas encore le cas de ses plugins. Quant à l'autre site, il tourne encore sur la vieille version 4.6.4. Voilà donc que ces sites disposent de belles failles de sécurité, comme par exemple une faille d'injection SQL dans le fichier wp-includes/class-wp-query.php. Même pour les hackers débutants, ce sera relativement facile de faire exploser le site. Il suffit qu'ils consultent les améliorations de sécurités dans les changelog pour se rendre compte des failles déjà connues sur le système. Il y a aussi des sites spécialisés qui répertorient juste les failles connues.
Mais encore mieux. Chacun de ces sites Internet dispose de quelques répertoires particuliers. Elles servent visiblement pour stocker quelques données en ligne puisque quelques courriers, numéros de smartphone et quelques documents s'y trouvent. Malheureusement, personne n'a songé à restreindre l'accès et voilà que tous les internautes puissent y accéder. Entre autres, il y a aussi des identifiants administrateurs. Il suffit d'un robot de bruteforce pour détecter le mot de passe. Le site n'était pas étanche face à ce fléau. Remarque mineure, quelqu'un de son équipe reçoit ses emails sur Yahoo.
On peut donc dire que les prestataires qui maintiennent ces deux sites Internet ont fait quelques négligeances de trop en ce qui concerne la sécurité. De nos jours, on désactive systématiquement l'exploration des répertoires sur un site web pour éviter des ennuis, tout comme les autres fonctionnalités emcombrantes comme le REST API et XML RPC. On a aussi la double authentification pour mieux se protéger.