theme-sticky-logo-alt

Des centaines de sites WordPress infectés – Des extensions dont WooCommerce attaquées

Des centaines de sites WordPress infectés

Nous parlons souvent de l’intérêt de simplifier les blogs WordPress et de faire fréquemment les mises à jour. WordPress est sans cesse attaqué. Ceci s’explique par le fait que les sites WordPress sont en majorité créés par des particuliers, ou des « pseudos développeurs », qui ont peu de connaissances réelles en informatique et en systèmes. Les sites développés sous WordPress sont donc chargés en extensions, et hyper fragiles par le manque de maintenance. Ce sont des portes ouvertes pour les pirates.

Voici un cas concret d’attaque récente

Il a été récemment découvert un programme Linux malveillant qui pirate des sites Web basés sur un CMS WordPress. Il exploite 30 vulnérabilités dans un certain nombre de plugins et de thèmes pour cette plate-forme.

Si les sites utilisent des versions obsolètes de ces modules complémentaires, dépourvues de correctifs cruciaux, les pages Web ciblées sont injectées avec des JavaScripts malveillants. Par conséquent, lorsque les utilisateurs cliquent sur n’importe quelle zone d’une page attaquée, ils sont redirigés vers d’autres sites.

J’ai encore rencontré le cas d’une cliente attaquée par un malware. Son site était paralysé et l’accès administrateur bloqué. Quand on a essayé d’avoir les infos systèmes, la personne qui avait réalisé le site s’est déchargée de ces problèmes en disant que n’est pas dans ses compétences, qu’elle est Webmaster, pas informaticien.

Depuis de nombreuses années, les cybercriminels attaquent les sites Web basés sur WordPress.

Les experts en sécurité de l’information enregistrent des cas où diverses vulnérabilités de la plate-forme WordPress sont utilisées pour pirater des sites et y injecter des scripts malveillants. L’analyse d’une application cheval de Troie découverte a révélé qu’il s’agit d’un outil malveillant que les cybercriminels utilisent depuis plus de trois ans pour mener de telles attaques et monétiser la revente de trafic, ou arbitrage.

La principale fonctionnalité du cheval de Troie est de pirater des sites Web basés sur un CMS (Content Management System) WordPress et d’injecter un script malveillant dans leurs pages Web.

Les plugins et thèmes suivants pouvant être attaqués

  • WooCommerce
  • WP Live Chat Support Plugin
  • Page Coming Soon de WordPress
  • WP Live Chat
  • Page Coming Soon et mode de maintenance
  • Facebook Live Chat par Zotabox
  • Blog Designer WordPress Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • Plugin WP GDPR Compliance
  • Thème de journal sur le contrôle d’accès WordPress (vulnérabilité CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • WordPress Ultimate FAQ (vulnérabilités CVE-2019-17232 et CVE-2019-17233)
  • Intégration WP-Matomo (WP-Piwik)
  • WordPress ND Shortcodes pour Visual Composer
  • Hybride
  • Plugin WordPress Brizy
  • FV Flowplayer Video Player
  • Thème WordPress OneTone
  • Plugin WordPress Simple Fields
  • Plugin WordPress Delucks SEO
  • Poll, Survey, Form & Quiz Maker by OpinionStage (en anglais)
  • Social Metrics Tracker
  • Récupérateur de flux RSS WPeMatico
  • Plugin Rich Reviews

Si une ou plusieurs vulnérabilités sont exploitées avec succès, la page ciblée est injectée avec un JavaScript malveillant qui est téléchargé depuis un serveur distant. Avec cela, l’injection est faite de telle manière que lorsque la page infectée est chargée, ce JavaScript sera lancé en premier, quel que soit le contenu original de la page. À ce stade, chaque fois que les utilisateurs cliquent n’importe où sur la page infectée, ils seront transférés vers le site Web sur lequel les attaquants ont besoin que les utilisateurs se rendent.

Avec cela, les deux variantes de chevaux de Troie se sont avérées contenir des fonctionnalités non implémentées pour pirater les comptes d’administrateur des sites Web ciblés par une attaque par force brute, en appliquant des identifiants et des mots de passe connus, en utilisant des vocabulaires spéciaux. Il est possible que cette fonctionnalité ait été présente dans des modifications antérieures, ou, à l’inverse, que des attaquants envisagent de l’utiliser pour de futures versions de ce malware. Si une telle option est implémentée dans les nouvelles versions de la porte dérobée, les cybercriminels pourront même attaquer avec succès certains de ces sites Web qui utilisent les versions actuelles du plug-in avec des vulnérabilités corrigées.

Comme toujours, je recommande aux propriétaires de sites Web basés sur WordPress de maintenir à jour tous les composants de la plate-forme, y compris les modules complémentaires et les thèmes tiers, et d’utiliser également des identifiants et des mots de passe forts et uniques pour leurs comptes.

En général, peu de gens pensent à faire régulièrement des mises à jour et des sauvegardes. D’autres ont « peur de faire des bêtises » dans ces procédures. C’est pour cela que je vous propose, après étude, une solution de suivi de votre site WordPress ou Prestashop. Les infos sont sur le lien suivant :

https://www.so-web.tech/suivi.html

Source : drweb.com & S. Coffre STCI.Tech

Catégorie:Conseils
Article précédent
L’importance d’un site vitrine pour booster votre Entreprise
Article suivant
Les avantages d’avoir un site web pour votre entreprise

0 Commenter

Répondre

15 49.0138 8.38624 1 0 4000 1 https://infos.so-web.tech 300
Warning: Undefined variable $baxel_opt_LogoPos in /homepages/20/d535338198/htdocs/clickandbuilds/infodevnet/wp-content/themes/baxel/footer.php on line 72
0

Inscrivez-vous à la Newsletter

C'est gratuit et vous pouvez vous désinscrire à tout moment. Vos données ne seront ni exploitées commercialement ni cédées à un tiers.