WordPress : des pirates attaquent près de 300.000 sites Internet

Auteur
Akli Goudjil
Lecture
Lus
982x

Une vulnérabilité jusque-là inconnue dans une extension populaire pour WordPress est exploitée activement par des pirates. En tout, plus de 280.000 gestionnaires de contenus WordPress sont concernés.

Souple, facile à utiliser et à déployer pour créer et animer un site Web, WordPress est certainement le système de gestion de contenus le plus populaire au monde. Et comme toujours en informatique, ce qui est le plus plébiscité est forcément ciblé par les cybercriminels. Depuis au moins un mois, ce sont plus de 280.000 sites qui utilisent WordPress qui sont vulnérables à une cyberattaque d’ampleur. Pour pirater le service, les hackers ont pu dénicher une faille zero-day dans l’un composant de WordPress. C’est précisément le plug-in WPGateway qui a été ciblé. Ce composant permet aux administrateurs de sites de gérer à partir d’un même tableau de bord les autres extensions, les thèmes, les sauvegardes, par exemple. Avec cette vulnérabilité inconnue jusqu’à maintenant, les attaquants peuvent s’ajouter en tant que compte administrateur et prendre la main sur le gestionnaire de contenus et donc les sites.

Pour vérifier si WordPress a été compromis, il faut chercher la présence d’un compte administrateur portant le nom de rangex. Pour aller plus loin et savoir si la faille est potentiellement exploitée, il est nécessaire de chercher dans les logs la présence de la requête « /wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 ». Pour le moment, il n’existe pas de correctif, c’est pourquoi il est préférable de désactiver l’extension WPGateway en attendant. Cette mauvaise nouvelle intervient alors qu’il y a une semaine une autre faille zero-day avait été découverte dans un plugin WordPress appelé BackupBuddy.

Sommaire