Les chercheurs ont découvert qu’un total de 93 applications WordPress – 40 thèmes et 53 plug-ins – ont été compromises dans le cadre d’une grande attaque de porte dérobée qui donne aux acteurs de la menace un accès complet aux sites Web pour lesquels les composants supplémentaires ont été utilisés.
Quelle est l’ampleur de l’attaque contre la chaîne d’approvisionnement ? D’une part, il est lié à AccessPress, un seul développeur WordPress. Mais d’un autre côté, les modules complémentaires AccessPress sont utilisés sur plus de 360 000 sites Web actifs, ce qui en fait un énorme incident de sécurité.
Nous l’avons déjà dit et nous allons le répéter : obtenez un logiciel antivirus de qualité cela semble de plus en plus une nécessité chaque jour.
Comment WordPass
Les chercheurs de la société de sécurité Jetpack ont découvert l’attaque lorsqu’ils ont remarqué qu’une porte dérobée PHP avait été ajoutée à certains thèmes et plugins.
Leur théorie est qu’un acteur de menace externe a piraté le site Web AccessPress pour compromettre tous les logiciels nécessaires pour obtenir plus facilement un accès supplémentaire à un éventail beaucoup plus large de sites Web.
Selon Bleeping Computer, une fois que les administrateurs ont installé l’un de ces modules complémentaires sur leur site Web WordPress, les acteurs de la menace ont inséré un nouveau fichier « initial.php » (un avec une charge utile encodée en base64 qui écrit un webshell sur » ./wp-includes /vars.php « ) dans le répertoire racine du thème et ajouté au fichier principal » functions.php « . Une fois en place, la charge utile serait décodée, donnant aux acteurs de la menace exactement ce que tous les pirates veulent : le contrôle à distance du site Web cible.
L’attaque a eu lieu en septembre 2021, Les chercheurs de Sucuri disentet c’est passé inaperçu jusqu’à présent.
Vérifiez si votre WordPass est infecté
Jetpack a Fais une liste de modules complémentaires compromis.
Si vous gérez un blog WordPress et que la liste des logiciels piratés comprend un plugin ou un thème que vous avez installé entre aujourd’hui et septembre dernier, vous pouvez être infecté et devez vérifier. Voici comment, selon la société de sécurité de sites Web Sucuri :
- Vérifiez votre fichier wp-includes / vars.php autour des lignes 146-158. Si vous voyez une fonction « wp_is_mobile_fix » avec du code obscurci, vous avez été compromis
- Vous pouvez également interroger votre système de fichiers pour « wp_is_mobile_fix » ou « wp-theme-connect » pour voir s’il y a des fichiers affectés
En cas de compromis, Sucuri recommande de suivre ces étapes :
- Remplacez vos fichiers WordPress principaux par de nouvelles copies
- Supprimez et remplacez tous les thèmes ou plug-ins AccessPress concernés par de nouvelles copies téléchargées à partir du référentiel WordPress officiel. Si le logiciel dont vous avez besoin a été mis hors ligne, supprimez les plugins / thèmes de votre site Web et trouvez les remplaçants
- Suivez les étapes post-infection standard comme la mise à jour wp-admin mots de passe administrateur et base de données par précaution
Bien sûr, cet incident n’affecte que 93 thèmes et plugins, mais il n’y a aucun mal à vérifier la dernière menace. Comme tout professionnel de l’informatique peut vous le dire, le travail de sécurité en ligne n’est jamais terminé.
Vulnérabilités WordPress
WordPress a eu de la malchance en ce qui concerne les attaques de logiciels malveillants et les vulnérabilités. En novembre dernier, le site est tombé sur une série de faux messages de ransomware obligeant les propriétaires de sites Web à débourser des paiements Bitcoin ou à faire supprimer leurs fichiers, ce que les attaquants n’ont pas été en mesure d’accomplir.
Les attaques ne sont pas seulement WordPress, bien sûr. La semaine dernière, par exemple, nous avons couvert le Famille de logiciels malveillants « Whispergate ».qui agit comme un rançongiciel, mais qui, selon Microsoft, « n’a pas de mécanisme de récupération de rançon » et est en fait « conçu pour rendre les appareils ciblés inutilisables ».
Quant à cette attaque supplémentaire récemment révélée, le danger est désormais passé, mais un incident similaire pourrait être difficile à éviter à l’avenir. Un logiciel antivirus ne fera pas de mal – nous recommandons McAfee ou Norton – mais le danger est toujours là.
