Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Un exploit pour W3 Total Cache pour WordPress

Amis webmasters sous WordPress, attention si vous utilisez le plugin W3 Total Cache qui permet de mettre vos pages en cache et ainsi absorber plus facilement le trafic sur votre serveur. Une faiblesse au niveau de la configuration vient d’être découverte lorsque ce plugin est installé via la fonctionnalité « Ajouter un plugin » de WordPress. Cela permet de voir la liste des fichiers contenus dans ce cache, même quand au niveau serveur, le listing de répertoire est désactivé.

listing

Une simple recherche sur Google via un petit « inurl:wp-content/w3tc » permet de trouver quelques sites exposés, mais c’est surtout ce script qui permet d’exploiter un site utilisant W3 Total Cache. En effet, parmi ces fichiers, on trouve surtout les clés hashées de la base de données. Ce script permet de les récupérer très facilement.

w3-total-cache

Je vous laisse deviner la suite… un petit coup de John ou une petite recherche de hash sur Google, et hop, on obtient le mot de passe en clair. Ce problème touche apparemment de très nombreux sites, y compris de très gros sites connus.

Pour se protéger en attendant qu’un correctif soit mis à jour, il faut soit virer W3 Total Cache (et le contenu du cache), soit mettre un « deny from all » dans votre .htaccess pour ce répertoire.

Source


Intel NUC Kit NUC7I3BNK

Barebone – mini PC – 1 x Core i3 7100U / 2.4 GHz – HD Graphics 620

L’Intel NUC est un mini PC puissant de seulement 10 cm x 10 cm, offrant des fonctions conçues pour le divertissement, les jeux vidéo et le travail. Il intègre une carte mère personnalisable pouvant accueillir les modules de mémoire, les unités de stockage et le système d’exploitation de votre choix.

En Savoir +