Détection d’une porte dérobée furtive dans les mu-plugins WordPress : comment protéger votre site
Récemment, j’ai découvert un malware particulièrement sournois caché dans un endroit que beaucoup d’utilisateurs de WordPress ignorent : le dossier mu-plugins. En mars dernier, nous avions déjà observé une tendance similaire avec des malwares dissimulés dans ce répertoire, comme détaillé dans notre article « Les malwares cachés frappent à nouveau : MU-Plugins sous attaque ». Cette infection actuelle a été conçue pour être discrète, persistante et très difficile à détecter.
Qu’est-ce que les MU-Plugins ?
Les mu-plugins, ou « must-use plugins », sont des plugins WordPress spéciaux qui sont automatiquement activés et ne peuvent pas être désactivés depuis le panneau d’administration de WordPress. Le fichier malveillant, wp-content/mu-plugins/wp-index.php, agit comme un chargeur, récupérant silencieusement une charge utile distante à partir d’une URL obfusquée par ROT13 et la stockant dans la base de données. Cette porte dérobée offre à l’attaquant un accès persistant au site et la capacité d’exécuter du code PHP à distance.
Qu’est-ce que l’obfuscation ROT13 ?
ROT13 est une méthode simple d’obfuscation qui décale chaque lettre de 13 places dans l’alphabet. Elle est utilisée pour masquer des textes comme des URL ou du code dans les malwares. ROT13 est réversible et n’offre pas de véritable sécurité.
Exemple simple de ROT13 :
- « HelloWorld » devient « UryybJbeyq »
Indicateurs de compromission
Le chargeur de l’attaquant utilise des fonctions WordPress pour exécuter sa charge utile en toute discrétion. Voici quelques indicateurs de compromission (IoCs) :
- Fichier malveillant :
wp-content/mu-plugins/wp-index.php - URL encodée en ROT13 :
str_rot13('uggcf://1870l4ee4l3q1x757673d.klm/peba.cuc') - Décodée en :
hxxps://1870y4rr4y3d1k757673q[.]xyz/cron.php - Clé d’option de base de données utilisée :
_hdra_core - Chemin de la charge utile temporaire :
.sess-[hash].phpdans le répertoire des uploads - Utilisateur admin caché :
officialwp
Analyse du malware
Le fichier malveillant wp-index.php dans le répertoire mu-plugins agit comme le point d’entrée principal de ce malware. Étant dans le répertoire mu-plugin, il est automatiquement chargé par WordPress et ne peut pas être désactivé via le tableau de bord admin, assurant ainsi la persistance de l’attaquant.
La charge utile distante, une fois récupérée, est encodée en base64. Le script vérifie si le contenu est valide avant de procéder. La charge utile est stockée dans la table des options de WordPress sous _hdra_core, offrant un emplacement de stockage discret qui évite la détection par le système de fichiers. La charge utile est ensuite décodée et exécutée dynamiquement.
Impact du malware
Les attaquants obtiennent un accès administrateur complet et une porte dérobée persistante, leur permettant de faire tout ce qu’ils veulent sur le site, de l’installation de plus de malwares à la défiguration du site. Leur capacité à masquer leur utilisateur, à nettoyer les fichiers temporaires, à s’intégrer dans plusieurs emplacements et à cacher les plugins de sécurité rend la détection et la suppression extrêmement difficiles pour les propriétaires de sites.
Conseils de prévention
- Mettez à jour régulièrement WordPress, les thèmes et les plugins pour corriger les failles de sécurité.
- Téléchargez uniquement des thèmes et plugins de sources fiables comme WordPress.org ou des développeurs reconnus.
- Utilisez des mots de passe uniques et forts pour tous les comptes (WordPress, base de données, FTP, hébergement). Activez l’authentification à deux facteurs (2FA) pour une sécurité supplémentaire, surtout pour les administrateurs.
- Auditez les fichiers de thèmes et de plugins.
- Configurez correctement les permissions de fichiers et désactivez l’édition de fichiers dans
wp-config.php:
define('DISALLOW_FILE_EDIT', true);
Conclusion
Cet exemple de porte dérobée WordPress dans les mu-plugins souligne l’évolution constante des menaces en ligne. En cachant le code dans les MU-Plugins et en stockant les charges utiles dans la base de données, les attaquants contournent les analyses de sécurité typiques et maintiennent l’accès même après des tentatives de nettoyage.
En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec une option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés. De plus, nos services intègrent des solutions de wp engine et cybersécurité de WordPress pour assurer une protection optimale de votre site. Grâce à une approche proactive, nous anticipons les menaces potentielles et garantissons une réactivité rapide en cas d’incident. En choisissant notre accompagnement, vous bénéficiez d’une tranquillité d’esprit grâce à notre expertise pointue dans la sécurité des sites WordPress.
Restez vigilant, surveillez les utilisateurs non autorisés et scannez toutes les parties de votre site, pas seulement les dossiers de thèmes et de plugins. Si vous avez besoin d’aide, n’hésitez pas à nous contacter pour sécuriser et optimiser votre site WordPress. Assurez-vous également de maintenir à jour tous vos plugins, car une vulnérabilité dans les plugins WordPress peut facilement être exploitée par des attaquants. Prenez le temps d’examiner les avis et les mises à jour des extensions que vous utilisez. Une bonne pratique consiste à effectuer des sauvegardes régulières afin de prévenir toute perte de données en cas d’incident. Il est également essentiel de maintenir votre site à jour en installant les dernières mises à jour de WordPress, des thèmes et des plugins. En suivant ces bonnes pratiques, vous pouvez renforcer la sécurité de WordPress et minimiser les risques d’intrusion. N’oubliez pas que la sensibilisation et la formation des utilisateurs sont également des éléments clés pour garantir la protection de votre site. Assurez-vous également de mettre à jour régulièrement vos thèmes et plugins pour éviter les failles de sécurité. N’oubliez pas de vider le cache sur WordPress après chaque modification majeure pour garantir que vos visiteurs voient les dernières versions de votre site. Enfin, envisagez d’utiliser des outils de sécurité pour surveiller en temps réel l’activité de votre site.
