Fermer
Blogging

Certains plugins WordPress ont un sérieux défaut de sécurité

Certains plugins WordPress ont un sérieux défaut de sécurité

Les cyberattaques ont commencé à utiliser des comptes d’administrateurs non autorisés pour lancer des attaques sur des sites WordPress le mois dernier, et les attaques se sont poursuivies, selon une nouvelle étude de Wordfence.

Les chercheurs en sécurité de la société ont découvert que des vulnérabilités connues dans les plug-ins WordPress ont été exploitées en injectant du code JavaScript malveillant dans les interfaces des sites victimes, ce qui conduit les visiteurs de ces sites compromis à être redirigés vers du contenu potentiellement dangereux, notamment des droppers de logiciels malveillants et des sites frauduleux. Les hackers ont dissimulé un grand nombre de playloads afin d’éviter toute détection par les logiciels WAF et IDS.

Les chercheurs de Wordfence ont découvert l’origine des attaques et ont identifié diverses adresses IP liées à des fournisseurs d’hébergement Web. Cependant, une fois le problème signalé aux fournisseurs, la plupart des IP ont cessé leurs activités illégales, à l’exception d’un seul.

Dans un article de blog expliquant sa découverte, Mikey Veenstra de Wordfence expliquait que la plupart des attaques avaient pour origine une adresse IP : « L’adresse IP en question est 104 130 139 134, un serveur Rackspace hébergeant actuellement certains sites Web probablement compromis. Nous avons contacté Rackspace pour les informer de cette activité, dans l’espoir qu’ils agissent pour empêcher de nouvelles attaques de leur réseau. Nous n’avons pas encore eu de retour ».

Vulnérabilités des plug-ins WordPress

Toutes les attaques qui ont eu lieu jusqu’à présent ont ciblé plusieurs vulnérabilités connues d’anciens plugins NicDark, notamment nd-booking, nd-travel et nd-learning. Bien que la recherche initiale sur la campagne ait identifié l’injection de scripts ayant déclenché des redirections malveillantes ou des popups non désirés dans les navigateurs de ceux ayant visité un site victime, la campagne a évolué en ajoutant un script supplémentaire qui tente d’installer une porte dérobée dans le site cible pour exploiter une session d’administrateur.

Wordfence a également expliqué comment les propriétaires de sites WordPress peuvent éviter d’être victimes de cette campagne en disant : « Comme toujours, la mise à jour des plug-ins et des thèmes sur votre site WordPress constitue une excellente couche de défense contre des campagnes comme celle-ci. Recherchez fréquemment les mises à jour nécessaires sur votre site pour vous assurer de recevoir les derniers correctifs à mesure de leur publication. Les utilisateurs de Wordfence reçoivent périodiquement des e-mails les informant de la disponibilité des mises à jour ».

Mots-clé : sécuritéWordPress
Yohann Poiron

L’auteur Yohann Poiron

J’ai fondé le BlogNT en 2010. Autodidacte en matière de développement de sites en PHP, j’ai toujours poussé ma curiosité sur les sujets et les actualités du Web. Je suis actuellement engagé en tant qu’architecte interopérabilité.