Les publications et pages indésirables sur les sites WordPress sont l’une des infections les plus courantes que je rencontre. La raison en est que l’attaque est très basique en termes de sophistication : il suffit à l’attaquant de forcer l’accès au panneau wp-admin ; à partir de là, ses scripts ou bots publient des messages et des pages de spam, réalisant ainsi une attaque SEO blackhat. Étant donné qu’un site WordPress standard ne contient aucune protection sur l’accès admin autre qu’un mot de passe (sans limite sur le nombre de tentatives de connexion échouées), et que les utilisateurs admin peuvent souvent être découverts par énumération, ce type d’infection reste très populaire sur la plateforme. Il est crucial de garder à l’esprit qu’une faille critique sur WordPress peut exposer l’ensemble du site à de telles attaques, compromettant ainsi la sécurité et l’intégrité des données. De plus, les plugins et thèmes obsolètes peuvent également accroître les risques d’infection, facilitant l’accès des attaquants au panneau d’administration. Pour contrer cette menace, il est essentiel d’implémenter des mesures de sécurité robustes et de réaliser des mises à jour régulières du système. Les raisons derrière les attaques malware sur WordPress incluent également la négligence des mises à jour de sécurité et l’utilisation de thèmes ou de plugins non fiables. Ces vulnérabilités offrent aux attaquants des points d’entrée faciles pour compromettre le site. En conséquence, il est crucial pour les propriétaires de sites de rester vigilants et de mettre en place des mesures de sécurité adéquates pour prévenir ces infections. Cette situation souligne l’importance de mettre en place des mesures de sécurité robustes pour protéger les sites WordPress. Ignorer cette menace de sécurité sur WordPress peut avoir des conséquences désastreuses, notamment la perte de crédibilité et de trafic. Par conséquent, il est essentiel d’adopter des pratiques de sécurisation, telles que l’utilisation de l’authentification à deux facteurs et la limitation des tentatives de connexion. Pour renforcer la sécurité, il est également recommandé d’intégrer des techniques de détection de portes dérobées afin d’identifier et de neutraliser rapidement toute tentative d’intrusion. Ces techniques permettent non seulement de diagnostiquer les failles existantes dans le système, mais aussi de surveiller les activités suspectes en temps réel. En adoptant une approche proactive, les propriétaires de sites peuvent ainsi mieux se prémunir contre les infections et les pertes potentielles. De plus, une récente étude a révélé qu’une vulnérabilité dans sureforms détectée pourrait également exposer davantage de sites à des attaques similaires. Les propriétaires de sites doivent être attentifs à ces failles spécifiques et agir rapidement pour les corriger. En intégrant des solutions de sécurité avancées et en surveillant régulièrement les mises à jour, il est possible de réduire significativement les risques d’infection et de protéger l’intégrité du site.
Cette attaque de spam est si simple et si courante que j’ai même rédigé un guide complet sur la manière de l’éliminer efficacement. Tous les sites WordPress ne fonctionnent pas comme des blogs, donc de nombreux utilisateurs admin n’accèdent même pas à la section des publications de wp-admin. Pour cette raison, au moment où le spam est découvert, les publications/pages peuvent se compter par dizaines, voire centaines de milliers, rendant leur suppression chronophage sans un peu de magie SQL.
En général, c’est assez simple, mais dans ce cas particulier, j’ai trouvé des publications de spam où les attaquants ont fait un effort supplémentaire pour dissimuler leur SEO blackhat.
Analyse régulière
Lors de la suppression de malwares d’un site compromis, il est nécessaire de scanner à la fois la structure des fichiers et la base de données. Les infections de spam peuvent être présentes dans les deux, mais elles sont particulièrement courantes dans la base de données en raison de sa nature textuelle. Interroger la base de données pour des termes de spam comme viagra, cialis, casino en ligne, et rédaction d’essais fait partie de nos vérifications régulières. Dans ce cas, de nombreux termes de spam douteux liés aux casinos en ligne sont apparus. En vérifiant directement la base de données, j’ai pu clairement voir les publications/pages en question.
De plus, le spam était très visible publiquement car il était indexé par les moteurs de recherche.
Cela devait avoir un impact négatif sur le SEO du site, car « casino en ligne » n’est pas exactement un terme SEO-friendly à avoir sur votre site. Normalement, dans de tels cas, je me connecte simplement à wp-admin et envoie les publications à la corbeille. De cette façon, s’il y a des publications légitimes mélangées, elles peuvent être facilement restaurées (cela n’arrive pas très souvent, mais on ne peut jamais être trop prudent).
Cependant, les publications étaient introuvables. Lorsque j’ai interrogé la section des publications et pages de wp-admin pour des mots-clés spécifiques comme « casino », rien n’est apparu non plus.
J’ai remarqué quelque chose, cependant : normalement, lorsque vous interrogez un tableau de bord pour une page ou une publication et que rien ne correspond à votre recherche, il renvoie « Aucune page trouvée ». Et cela n’était nulle part. Au lieu de cela, il semblait que quelque chose était tronqué. Quelque chose cachait les pages de spam.
Vérification de cohérence
Lorsque vous voyez un comportement étrange comme celui-ci, il est toujours bon d’enquêter plus avant. Après tout, la règle numéro un dans le support technique est « Faites confiance, mais vérifiez ».
J’ai testé pour voir si je pouvais charger l’une des pages de spam dans wp-admin lui-même, plutôt que de simplement regarder des lignes et des colonnes dans un gestionnaire de base de données.
Dans WordPress, toutes les pages et publications sont stockées dans la table wp_posts et chaque page/publication a un numéro d’identification correspondant. Nous pouvons voir cela dans la barre d’URL du navigateur lorsque nous éditons quelque chose, où dans l’exemple ci-dessous, l’ID de la publication est 1234 :
http://exemple.com/wp-admin/post.php?post=1234&action=edit
Étant donné que chaque ID de page/publication est visible depuis le gestionnaire de base de données, il est assez facile de simplement copier cela et de le placer manuellement dans la barre d’URL, me forçant ainsi à entrer dans l’éditeur de page pour les pages de spam même si elles n’étaient pas visibles directement depuis wp-admin.
Bien sûr, je me suis retrouvé face à du spam classique de casino en ligne.
Fait intéressant, je suis également tombé sur une page de spam qui promouvait un jeu appelé Farming Simulator 17. Ce qui est surprenant, non seulement parce que je n’avais jamais vu de spam sur ce type de jeu, mais aussi parce que selon Steam, le jeu est sorti en 2016 et il existe des versions bien plus récentes. Pourquoi promouvoir cela sur un site piraté ? Mystère…
Méthodes de dissimulation
Après avoir vérifié les différences dans les fichiers de base, les fichiers de thème récemment modifiés ou d’autres injections douteuses, j’ai tourné mon attention vers les plugins, l’une des méthodes préférées des attaquants pour manipuler les sites WordPress.
J’ai ainsi trouvé deux coupables qui travaillaient de concert pour à la fois enterrer le spam à la vue et, naturellement, assurer un accès admin continu aux attaquants :
- ./wp-content/plugins/yoast-seo-links/yoast seo links.php
- ./wp-content/plugins/performance-labs/performance labs.php
Voyons exactement ce qu’ils font et comment.
Yoast SEO Links
Ce plugin n’a rien à voir avec le véritable Yoast SEO, mais les attaquants profitent de la notoriété de la marque pour passer inaperçus.
Parmi les deux plugins malveillants, celui-ci est la porte dérobée qui permet aux attaquants un accès persistant. Voici ses principales fonctions :
- Si l’attaquant envoie une requête POST contenant admin_login au site infecté, il est connecté en tant que premier administrateur trouvé, sans mot de passe.
- Il se cache de la vue des administrateurs.
- Il force une erreur fatale avec le message « Ce plugin ne peut pas être désactivé. » et supprime l’option de suppression dans l’admin.
C’est classique, mais redoutablement efficace pour garder la main sur le site.
Performance Labs
Ce plugin est responsable de la dissimulation des pages et publications de spam. Tout se joue via une option supplémentaire dans les réglages, permettant de spécifier les ID de pages/publications à masquer. Il est également essentiel de rester vigilant, car un faux plugin WordPress détecté peut compromettre la sécurité de votre site. En utilisant ce plugin, vous réduisez le risque de voir ces contenus indésirables nuire à votre réputation en ligne. De plus, il est recommandé de mettre à jour régulièrement vos outils pour bénéficier des dernières protections disponibles. Il est crucial de surveiller l’installation de nouveaux plugins pour éviter les faux plugin WordPress dangereux, qui peuvent infiltrer votre site et causer des dommages irréparables. En restant informé sur les menaces récentes, vous pouvez mieux protéger votre contenu et votre image de marque. N’oubliez pas que la sécurité de votre site repose également sur l’éducation des utilisateurs et l’adoption de bonnes pratiques en matière de cybersécurité.
Même si ce paramètre est disponible pour les administrateurs, il est caché par un simple script « display: none » en JavaScript. Seuls ceux qui connaissent l’URL directe peuvent y accéder :
wp-admin/options-general.php?page=hide_pages_posts
Enfin, la dissimulation dans l’interface wp-admin repose sur un peu de CSS : les pages de spam sont invisibles à l’œil nu, mais bien présentes dans le code source.
Conclusion
Les spammeurs et autres attaquants ne déploient pas autant d’efforts sans raison. Cela montre à quel point ils sont prêts à innover pour échapper à la détection et maintenir leurs contenus indésirables en ligne le plus longtemps possible.
C’est un excellent exemple de l’importance de renforcer la sécurité de l’accès à votre wp-admin (idéalement en le restreignant aux adresses IP autorisées). En tant qu’expert en réparation d’urgence WordPress, je propose une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité pour éviter de telles situations. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec une option d’hébergement Premium en France pour une tranquillité d’esprit totale. Enfin, pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés. De plus, il est essentiel de rester informé sur les meilleures pratiques et les technologies émergentes pour préserver la sécurité de votre site. Les avis sur WP Engine sécurité soulignent souvent sa robustesse et sa fiabilité, ce qui en fait un choix judicieux pour ceux qui recherchent une protection renforcée. En intégrant de tels services, vous investissez dans la pérennité et la sécurité de votre présence en ligne.
N’hésitez pas à me contacter pour sécuriser et optimiser votre site WordPress !
