Je suis récemment tombé sur un cas où un plugin malveillant a été utilisé pour voler des identifiants d’administrateur. Aujourd’hui, je vais vous parler d’un autre plugin malveillant qui crée un utilisateur administrateur directement sur le site.
Analyse du Malware
En examinant le site, j’ai remarqué un plugin situé dans le répertoire wp-content/plugins nommé php-ini.php. C’est étrange, car les répertoires ne contiennent généralement pas d’extensions, surtout pas .php, qui est réservé aux fichiers. Le plugin ne contenait qu’un seul fichier, également nommé php-ini.php. En vérifiant ce fichier, j’ai immédiatement remarqué que la description et l’auteur du plugin ne correspondaient pas à son nom.
Le plugin officiel de wpforms.com est une version premium, mais on peut trouver une version gratuite dans les dépôts WordPress. L’original contient bien plus de contenu qu’un simple fichier, y compris un fichier nommé wpforms.php, ce qui est standard pour les plugins valides. Les acteurs malveillants ont tendance à copier de vrais plugins et à insérer du code malveillant ou à remplacer tout le contenu PHP par leur propre code, rendant ainsi plus difficile l’identification des plugins falsifiés ou altérés. Pour prévenir les risques de sécurité WordPress, il est essentiel de ne télécharger des plugins qu’à partir de sources fiables. En outre, il est recommandé de vérifier régulièrement les mises à jour et de lire les avis des utilisateurs pour s’assurer de l’intégrité des extensions installées. En prenant ces précautions, les utilisateurs peuvent mieux protéger leur site contre les menaces potentielles.
Dans ce cas, les attaquants n’ont pas fait beaucoup d’efforts. Ils ont commenté la majorité du fichier et ont laissé leur malware en quelques lignes au centre du fichier.
Décomposition du Code
La fonction add_action() est une fonction centrale de WordPress qui lance un code ou une fonctionnalité spécifique à divers moments sur le site. Étant donné que cela est placé dans un plugin, l’action serait lancée chaque fois que le plugin est chargé, généralement sur chaque page. L’appel à add_action() ici invoque le contenu situé dans la fonction SECURITYDB juste en dessous et le place dans l’en-tête du site – wp_head.
La première ligne de la fonction SECURITYDB vérifie si l’URL appelée contient le paramètre ?5394552785=SECURITY_DB. De cette manière, l’utilisateur administrateur malveillant n’est pas créé à chaque chargement du site, mais seulement lorsque cette URL spécifique est appelée. Cette condition a probablement été choisie pour mieux cacher l’intention de l’attaquant – si l’utilisateur administrateur est toujours présent, un véritable administrateur du site pourrait remarquer le nouvel utilisateur malveillant.
Fait intéressant, les attaquants ont inclus le fichier central de WordPress wp-includes/registration.php. Bien que ce fichier existe toujours dans les versions actuelles de WordPress, son utilisation a été dépréciée dans WordPress 3.0, cette fonctionnalité ayant été déplacée vers wp-includes/user.php. On peut supposer que les attaquants ont appelé ce fichier pour que le malware fonctionne quelle que soit la version de WordPress attaquée. Pour contrer de telles menaces, il est essentiel de rester vigilant et de toujours utiliser les versions les plus récentes de WordPress et de ses plugins. De plus, il est recommandé de renforcer la sécurité de WordPress en mettant en œuvre des pratiques telles que l’utilisation de mots de passe robustes, l’activation de l’authentification à deux facteurs et la limitation des tentatives de connexion. En adoptant ces mesures, les utilisateurs peuvent mieux se protéger contre les attaques potentielles et garantir l’intégrité de leur site. En outre, cela met en lumière la nécessité pour les développeurs et les administrateurs de sites de comprendre les iframes malveillantes, qui peuvent être utilisées pour injecter du contenu non autorisé dans une page web. Ces attaques peuvent non seulement compromettre la sécurité du site, mais aussi nuire à la réputation de l’entreprise. Par conséquent, il est essentiel de surveiller régulièrement les fichiers du système et de mettre en œuvre des mesures de sécurité pour se protéger contre de telles menaces.
Le code vérifie ensuite l’existence de mr_administartor et, si cet utilisateur n’existe pas, procède à la création d’un utilisateur avec un mot de passe codé en dur et des privilèges d’administrateur. Il est quelque peu amusant que les attaquants aient mal orthographié « administrator », mais cela reflète leur manque d’effort pour mieux cacher le malware. C’est probablement l’une des attaques les plus paresseuses que j’ai vues depuis un moment. Ils n’ont même pas inclus de code pour cacher le plugin de la liste des plugins dans wp-admin.
Nettoyage
Ce malware a été simple à éliminer : j’ai simplement supprimé le plugin et effacé l’administrateur WordPress malveillant.
Étant donné que ce malware était inclus dans un plugin, il est possible que les attaquants aient compromis un compte FTP ou sFTP pour le télécharger directement sur le serveur, bien qu’il soit également possible qu’il ait été téléchargé via le panneau wp-admin en utilisant un compte administrateur WordPress existant. De plus, une fois ce malware installé, il peut ouvrir la porte à d’autres malwares sur les sites WordPress, créant ainsi un environnement propice à des attaques futures. Les propriétaires de sites doivent donc rester vigilants et mettre en place des mesures de sécurité robustes pour prévenir de telles intrusions. Ignorer ces menaces peut entraîner des conséquences graves, notamment la perte de données et la compromission de la réputation en ligne.
Il est crucial de toujours vérifier les utilisateurs administrateurs WordPress, ainsi que les comptes FTP et sFTP. Les mots de passe de ces comptes doivent être changés régulièrement, et des restrictions IP devraient être appliquées aux services FTP et sFTP si possible.
Je recommande également de mettre en place une authentification à deux facteurs (2FA) ou des restrictions IP sur le panneau wp-admin pour empêcher tout accès non désiré. Cela peut être réalisé en utilisant un pare-feu.
De plus, un audit régulier devrait être effectué pour confirmer que le site n’utilise aucun plugin non reconnu. Des outils comme le plugin Sucuri scanneront les fichiers et notifieront de tout changement suspect, et notre scanner côté serveur fournira un historique de tout changement de fichier.
Si vous pensez que votre site a pu être piraté, je suis toujours là pour jeter un œil.
Sécuriser et Optimiser Votre Site WordPress : Les Bonnes Pratiques
WordPress est l’un des systèmes de gestion de contenu les plus populaires au monde, utilisé par des millions de sites web. Cependant, sa popularité en fait également une cible privilégiée pour les cyberattaques. Pour garantir la sécurité et la performance de votre site, il est crucial d’adopter des pratiques de sécurité robustes et de maintenir régulièrement votre plateforme. Dans cet article, nous explorerons les bonnes pratiques de sécurité WordPress, l’importance de la maintenance, et comment nos services de réparation d’urgence, de maintenance, et d’optimisation SEO peuvent vous aider à protéger et améliorer votre site.
Les Bonnes Pratiques de Sécurité WordPress
- Mises à jour régulières : Assurez-vous que votre version de WordPress, ainsi que vos thèmes et plugins, sont toujours à jour. Les mises à jour corrigent souvent des vulnérabilités de sécurité. Par exemple, en 2021, une faille critique a été découverte dans un plugin populaire, exposant des milliers de sites à des attaques. Une mise à jour rapide a permis de résoudre le problème.
- Utilisation de plugins de sécurité : Des plugins comme Wordfence ou Sucuri peuvent offrir une couche supplémentaire de protection en surveillant les activités suspectes et en bloquant les tentatives d’intrusion.
- Sauvegardes régulières : Effectuez des sauvegardes régulières de votre site. En cas de problème, vous pourrez restaurer votre site à partir d’une version antérieure. Des services comme UpdraftPlus facilitent cette tâche.
- Authentification à deux facteurs (2FA) : Renforcez la sécurité de votre connexion en activant l’authentification à deux facteurs. Cela ajoute une couche de protection supplémentaire en exigeant une vérification supplémentaire lors de la connexion.
- Utilisation de mots de passe forts : Encouragez l’utilisation de mots de passe complexes et changez-les régulièrement. Évitez les mots de passe évidents comme « 123456 » ou « password ».
L’Importance de la Maintenance
La maintenance régulière de votre site WordPress est essentielle pour garantir sa sécurité et sa performance. Un site non entretenu peut devenir lent, vulnérable aux attaques, et perdre en visibilité sur les moteurs de recherche.
- Performance et vitesse : Un site rapide améliore l’expérience utilisateur et le classement SEO. La maintenance inclut l’optimisation de la base de données, la compression des images, et la mise en cache.
- Correction des erreurs : Les erreurs peuvent survenir à tout moment, qu’il s’agisse de liens brisés, de pages 404, ou de conflits de plugins. Une maintenance régulière permet de détecter et de corriger ces problèmes rapidement.
- Conformité légale : En Europe, la conformité au RGPD est cruciale. La maintenance inclut la vérification de la conformité de votre site aux réglementations en vigueur, notamment en matière de protection des données.
Nos Services Phare
Réparation d’Urgence WordPress
En cas de problème critique, notre service de réparation d’urgence WordPress est là pour vous. Que ce soit une attaque de malware, un site hors ligne, ou une erreur critique, notre équipe intervient rapidement pour diagnostiquer et résoudre le problème. Par exemple, un client basé à Paris a récemment subi une attaque DDoS. Grâce à notre intervention rapide, nous avons pu restaurer le site en moins de deux heures, minimisant ainsi l’impact sur son activité.
Maintenance WordPress
Notre service de maintenance WordPress assure que votre site reste sécurisé, performant, et conforme aux normes actuelles. Nous effectuons des mises à jour régulières, des sauvegardes, et des vérifications de sécurité. Un client à Lyon a vu son trafic augmenter de 30% après que nous ayons optimisé la vitesse de son site et corrigé des erreurs techniques.
Optimisation SEO
L’optimisation SEO est cruciale pour améliorer la visibilité de votre site sur les moteurs de recherche. Notre service inclut l’analyse des mots-clés, l’optimisation du contenu, et l’amélioration de la structure du site. Un client à Marseille a constaté une augmentation significative de son classement Google après notre intervention, ce qui a entraîné une hausse de ses ventes en ligne.
Conclusion
La sécurité et la maintenance de votre site WordPress ne doivent pas être négligées. En adoptant des pratiques de sécurité robustes et en assurant une maintenance régulière, vous protégez votre site contre les menaces potentielles et améliorez sa performance. Nos services de réparation d’urgence, de maintenance, et d’optimisation SEO sont conçus pour vous aider à atteindre ces objectifs. N’attendez pas qu’un problème survienne, prenez les devants et assurez-vous que votre site est toujours à son meilleur.
Pour toute question ou pour en savoir plus sur nos services, n’hésitez pas à nous contacter. Ensemble, nous pouvons faire de votre site WordPress un outil puissant et sécurisé pour votre entreprise.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP
