Récemment, j’ai écrit sur un cas où un plugin malveillant a été utilisé pour voler des identifiants d’administrateur. Aujourd’hui, je vais examiner un autre plugin malveillant qui crée un utilisateur administrateur caché directement sur le site. Ce faux plugin cache WordPress permet aux attaquants de prendre le contrôle total du site sans que les administrateurs ne s’en aperçoivent. Une fois infiltré, il crée un utilisateur avec des privilèges d’administrateur qui reste invisible dans la liste des utilisateurs. Cela souligne l’importance de vérifier régulièrement la légitimité des plugins installés et de maintenir une vigilance accrue face aux potentielles menaces. Il est également crucial de prendre en compte l’utilisation des muplugins et sécurité WordPress, car ces fichiers peuvent être un vecteur pour les attaques si leur origine n’est pas vérifiée. La sécurisation de ces éléments nécessite une attention particulière et des mises à jour régulières pour éviter toute faille. En fin de compte, une gestion proactive des plugins et des muplugins est essentielle pour préserver l’intégrité et la sécurité d’un site WordPress.
Analyse du malware
En analysant le site, j’ai remarqué un plugin situé dans le dossier wp-content/plugins nommé php-ini.php. C’est étrange, car les dossiers n’ont généralement pas d’extension, surtout pas .php, qui est réservée aux fichiers. Ce plugin ne contenait qu’un seul fichier, également nommé php-ini.php. En l’ouvrant, j’ai immédiatement constaté que la description et l’auteur du plugin ne correspondaient pas à son nom.
Alors que le plugin wpforms.com est une version premium, on trouve une version gratuite dans le répertoire officiel WordPress. Le plugin officiel contient bien plus de fichiers, dont un wpforms.php comme il se doit pour un plugin valide. Une technique courante chez les pirates consiste à copier de vrais plugins et à y insérer du code malveillant, ou à remplacer tout le contenu PHP par leur propre code, rendant l’identification des plugins frauduleux plus difficile. Il est donc essentiel de faire preuve de prudence lors de l’installation de plugins, en s’assurant de leur authenticité et de leur provenance. Les utilisateurs doivent également mettre en place des outils de détection de redirections malveillantes afin de protéger leurs sites contre les nuisances potentielles. En restant vigilants et en surveillant régulièrement leurs installations, les propriétaires de sites peuvent limiter les risques associés aux plugins compromis.
Ici, les attaquants n’ont pas fait beaucoup d’efforts : la majorité du fichier est commentée, et le malware ne tient qu’en quelques lignes au centre du fichier.
Décryptage du code
La fonction add_action() est une fonction clé de WordPress qui permet de lancer du code à des moments précis du chargement du site. Placée dans un plugin, cette action s’exécute à chaque chargement du plugin, donc sur chaque page. Ici, l’appel à add_action() déclenche la fonction SECURITYDB et place son contenu dans l’en-tête du site (wp_head).
La première ligne de la fonction SECURITYDB vérifie si l’URL appelée contient le paramètre ?5394552785=SECURITY_DB. Ainsi, l’utilisateur administrateur malveillant n’est créé que lorsque cette URL spécifique est appelée, ce qui permet de mieux dissimuler l’attaque : si l’utilisateur était toujours présent, un vrai administrateur pourrait le remarquer.
Autre point intéressant : les attaquants incluent le fichier central wp-includes/registration.php. Bien que ce fichier existe encore dans les versions récentes de WordPress, il est obsolète depuis la version 3.0, la gestion des utilisateurs ayant été déplacée dans wp-includes/user.php. On peut supposer que les pirates l’utilisent pour garantir la compatibilité avec toutes les versions de WordPress.
Le code vérifie ensuite si l’utilisateur mr_administartor existe (avec une faute d’orthographe !), et s’il n’existe pas, il le crée avec un mot de passe codé en dur et des droits administrateur. Cette négligence dans l’orthographe montre le peu d’effort pour masquer le malware. C’est probablement l’une des attaques les plus « paresseuses » que j’ai vues : il n’y a même pas de code pour cacher le plugin dans la liste des extensions WordPress.
Nettoyage
Ce malware a été simple à éliminer : il a suffi de supprimer le plugin et l’utilisateur administrateur malveillant.
Comme ce malware était intégré dans un plugin, il est possible que les attaquants aient compromis un compte FTP ou sFTP pour l’uploader directement sur le serveur, ou qu’ils soient passés par le panneau wp-admin avec un compte administrateur existant.
Il est donc essentiel de vérifier régulièrement la liste des administrateurs WordPress, ainsi que les comptes FTP et sFTP. Les mots de passe doivent être changés fréquemment, et il est recommandé de restreindre l’accès FTP/sFTP par IP si possible.
Je recommande aussi de mettre en place une authentification à deux facteurs (2FA) ou des restrictions IP sur l’accès à wp-admin, ce qui peut être fait via un pare-feu. Un audit régulier des plugins installés est également indispensable : des outils comme Sucuri permettent de scanner les fichiers et d’être alerté en cas de modification suspecte, et un scanner côté serveur permet de suivre l’historique des changements.
Si vous pensez que votre site a pu être piraté, en tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Pour éviter de tels incidents à l’avenir, notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. Enfin, pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés. Les raisons des attaques sur WordPress peuvent varier, allant de la recherche de données sensibles à l’exploitation de vulnérabilités non corrigées. Il est essentiel de comprendre ces motivations pour mieux se préparer à prévenir de futures intrusions. En restant informé des menaces émergentes et en adoptant des mesures proactives, vous renforcerez la sécurité de votre site sur le long terme. De plus, nous réalisons une vérification approfondie pour détecter tout plugin WordPress malveillant identifié afin d’assurer un environnement sécurisé. Nous fournissons également des recommandations personnalisées pour renforcer la sécurité de votre site, minimisant ainsi les risques futurs. Grâce à notre expertise, vous pourrez naviguer sur le web en toute sérénité, sachant que votre site est protégé contre les menaces potentielles. Nous mettons également à disposition des méthodes pour détecter le spam WordPress afin de garantir l’intégrité de votre site. En intégrant ces pratiques, vous pouvez vous prémunir contre les failles de sécurité et maintenir un environnement en ligne sain. Chaque étape est pensée pour assurer non seulement la sécurité, mais aussi la performance et la visibilité de votre site sur le web.
N’hésitez pas à me contacter pour toute assistance ou pour en savoir plus sur nos services !
