Portes ouvertes à l´installation de WordPress

Le site CrazyWS revient sur une information signée par Jonathan Claudius de chez TrustWave SpiderLabs. Il s’avére que le fait de laisser un WordPress, sur un serveur, sans l’installer, pourrait permettre à un internaute malveillant de mettre son nez là ou il ne faut pas. L’attaque permet l’exécution de code PHP arbitraire, et malveillant, via une faille XSS (Cross-Site Scripting) via la page setup-config.php. Page basée dans le répertoire wp-admin. Si ce PHP permet l’installation de WordPress, il permet donc de passer outre la sécurité de base. DataSecurityBreach.fr vous conseille de changer et renforcer le mot de passe de votre base de données. CrazyWs conseille aussi de « renommer ou mettre de côté le fichier setup-config.php en attendant la prochaine version ».