Récemment, j’ai écrit sur un cas où un plugin malveillant a été utilisé pour voler des identifiants d’administrateur. Aujourd’hui, je vais vous parler d’un autre plugin malveillant qui crée un utilisateur administrateur directement sur le site.
Analyse du Malware
En examinant le site, j’ai remarqué un plugin situé dans le répertoire wp-content/plugins nommé php-ini.php. Cela est étrange, car les répertoires ne contiennent généralement pas d’extensions, surtout pas .php, qui est réservé aux fichiers. Le plugin ne contenait qu’un seul fichier, également nommé php-ini.php. En vérifiant ce fichier, j’ai immédiatement remarqué que la description et l’auteur du plugin ne correspondaient pas à son nom.
Le plugin officiel, tel que trouvé sur wpforms.com, est une version premium, mais il existe une version gratuite dans les dépôts WordPress. L’original contient bien plus de contenu qu’un simple fichier, y compris un fichier nommé wpforms.php, ce qui est standard pour les plugins valides. Les acteurs malveillants ont tendance à copier des plugins réels et à insérer du code malveillant ou à remplacer tout le contenu PHP par leur propre code pour rendre l’identification des plugins falsifiés plus difficile.
Dans ce cas, les attaquants n’ont pas fait beaucoup d’efforts. Ils ont commenté la majorité du fichier et ont laissé leur malware en quelques lignes au centre.
Décomposition du Code
La fonction add_action() est une fonction centrale de WordPress qui lance un code ou une fonctionnalité spécifique à divers moments sur le site. Étant donné que cela est placé dans un plugin, l’action serait lancée chaque fois que le plugin est chargé, généralement sur chaque page. L’appel à add_action() ici invoque le contenu situé dans la fonction SECURITYDB juste en dessous et le place dans l’en-tête du site – wp_head.
La première ligne de la fonction SECURITYDB vérifie si l’URL appelée contient le paramètre ?5394552785=SECURITY_DB. De cette manière, l’utilisateur administrateur malveillant n’est pas créé chaque fois que le site se charge, mais seulement lorsque cette URL spécifique est appelée. Cette condition a probablement été choisie pour mieux cacher l’intention de l’attaquant – si l’utilisateur administrateur est toujours présent, un véritable administrateur du site pourrait remarquer le nouvel utilisateur malveillant.
Fait intéressant, les attaquants ont inclus le fichier central de WordPress wp-includes/registration.php. Bien que ce fichier existe encore dans les versions actuelles de WordPress, son utilisation a été dépréciée dans WordPress 3.0, la fonctionnalité ayant été déplacée vers wp-includes/user.php. On peut supposer que les attaquants ont appelé ce fichier pour que le malware fonctionne quelle que soit la version de WordPress attaquée.
Le code vérifie ensuite l’existence de mr_administartor et, si cet utilisateur n’existe pas, procède à la création d’un utilisateur avec un mot de passe codé en dur et des privilèges d’administrateur. Il est quelque peu amusant que les attaquants aient mal orthographié « administrator », ce qui reflète leur manque d’effort pour mieux cacher le malware. C’est probablement l’une des attaques les plus paresseuses que j’ai vues depuis un moment. Ils n’ont même pas inclus de code pour cacher le plugin de la liste des plugins dans le wp-admin.
Nettoyage
Ce malware a été simple à éliminer : j’ai simplement supprimé le plugin et effacé l’administrateur WordPress malveillant.
Étant donné que ce malware était inclus dans un plugin, il est possible que les attaquants aient compromis un compte FTP ou sFTP pour le télécharger directement sur le serveur, bien qu’il soit également possible qu’il ait été téléchargé via le panneau wp-admin en utilisant un compte administrateur WordPress existant.
Il est crucial de toujours vérifier les utilisateurs administrateurs WordPress, ainsi que les comptes FTP et sFTP. Les mots de passe de ces comptes doivent être changés régulièrement, et des restrictions IP devraient être appliquées aux services FTP et sFTP si possible.
Je recommande également de mettre en place une authentification à deux facteurs (2FA) ou des restrictions IP sur le panneau wp-admin pour empêcher tout accès non désiré. Cela peut être réalisé en utilisant un pare-feu.
De plus, un audit régulier devrait être effectué pour confirmer que le site n’utilise aucun plugin non reconnu. Des outils comme le plugin Sucuri scanneront les fichiers et notifieront de tout changement suspect, et notre scanner côté serveur fournira un historique de tout changement de fichier.
Sécuriser et Optimiser votre Site WordPress : Les Bonnes Pratiques
WordPress est l’un des systèmes de gestion de contenu les plus populaires au monde, utilisé par des millions de sites web. Cependant, sa popularité en fait également une cible privilégiée pour les cyberattaques. Pour protéger votre site et garantir son bon fonctionnement, il est essentiel de suivre certaines bonnes pratiques de sécurité et de maintenance.
Bonnes Pratiques de Sécurité WordPress
- Mises à jour régulières : Assurez-vous que votre version de WordPress, ainsi que vos thèmes et plugins, sont toujours à jour. Les mises à jour corrigent souvent des vulnérabilités de sécurité.
- Utilisation de mots de passe forts : Optez pour des mots de passe complexes et uniques pour tous les comptes liés à votre site. Évitez les mots de passe évidents et changez-les régulièrement.
- Limitation des tentatives de connexion : Configurez votre site pour limiter le nombre de tentatives de connexion échouées. Cela peut aider à prévenir les attaques par force brute.
- Installation de plugins de sécurité : Utilisez des plugins de sécurité fiables pour ajouter une couche de protection supplémentaire à votre site. Ces outils peuvent détecter et bloquer les menaces potentielles.
- Sauvegardes régulières : Effectuez des sauvegardes régulières de votre site pour vous assurer que vous pouvez le restaurer en cas de problème. Conservez ces sauvegardes dans un endroit sécurisé.
Importance de la Maintenance
La maintenance régulière de votre site WordPress est cruciale pour garantir sa sécurité et sa performance. Un site bien entretenu est moins susceptible de rencontrer des problèmes techniques ou de sécurité.
Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7. Nous proposons également une option d’hébergement Premium en France, assurant une rapidité et une sécurité optimales pour votre site.
Analyse Professionnelle en Cas de Suspicion
Si vous suspectez que votre site a été compromis, il est essentiel de procéder à une analyse professionnelle. Les signes d’une compromission peuvent inclure des redirections suspectes, des alertes de sécurité ou des performances dégradées.
En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète de votre site. Nous nous chargeons du nettoyage des malwares, de la suppression des backdoors et du renforcement de la sécurité pour prévenir de futures attaques.
Optimisation de la Visibilité en Ligne
Un site sécurisé et bien entretenu est la base d’une bonne visibilité en ligne. Cependant, pour maximiser votre présence, il est crucial d’optimiser votre site pour les moteurs de recherche.
Nos services d’optimisation SEO technique incluent l’amélioration de la structure de votre site, l’optimisation de la vitesse de chargement et la correction des erreurs techniques. Nous développons également des stratégies éditoriales et créons des contenus ciblés pour attirer et engager votre audience.
Conclusion
La sécurité et la maintenance de votre site WordPress ne doivent pas être prises à la légère. En suivant les bonnes pratiques et en faisant appel à des professionnels, vous pouvez protéger votre site contre les menaces et optimiser sa performance.
N’attendez pas qu’un problème survienne. Contactez-nous dès aujourd’hui pour bénéficier de nos services de réparation d’urgence, de maintenance et d’optimisation SEO. Ensemble, assurons la sécurité et le succès de votre site WordPress.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP
