L’exploitation massive des sites Web WordPress est en cours, avec 1,6 million de domaines subissant environ 13,7 millions de cyberattaques en 36 heures. Au moins 16 000 adresses IP ont participé à l’attaque à grande échelle, selon la société de sécurité WordPress WordFence dans un rapport publié le 9 décembre.

WordFence affirme que les pirates ciblent plusieurs plugins et thèmes WordPress vulnérables avec un modèle non corrigé.

Le motif des attaquants est d’obtenir des privilèges administratifs et de prendre le contrôle total des sites Web vulnérables.

Les attaquants activent les rôles de journalisation et d’administration par défaut sur les sites Web WordPress

Les attaquants activent les rôles de journalisation et d'administration par défaut sur les sites Web WordPress
© gravatar.com

Les chercheurs ont observé que les attaquants avaient modifié l’option « users_can_register » pour l’activer avant de définir l’option « default_role » sur « administrator ». A voir aussi : A2 Hosting lance l’hébergement WordPress géré de nouvelle génération | État | iosconews.com.

Pour atténuer l’impact des compromissions potentielles, les propriétaires de sites doivent visiter http: // examplesite [.] Com / wp-admin / options-general.php et s’assurer que « abonnement » n’a pas été défini sur « Tout le monde peut s’inscrire » et « Nouveau Utilisateur Le rôle par défaut n’a pas été défini sur le rôle d’administrateur.

De plus, les propriétaires de sites Web doivent vérifier les ajouts non autorisés aux plug-ins, aux comptes d’utilisateurs et aux rôles d’utilisateurs. Ils doivent immédiatement mettre à jour leurs sites, thèmes et plug-ins et désinstaller le thème NatureMag Lite. Le thème WordPress n’a pas actuellement de version patchée. WordFence fournit également un guide de nettoyage complet pour protéger les sites Web WordPress compromis.

Cependant, le backend WordPress permet aux administrateurs de modifier les fichiers de code source. En conséquence, les attaquants pourraient introduire d’autres failles sur les sites Web compromis.

A lire sur le même sujet

La cyberattaque cible quatre plugins WordPress vulnérables et 15 thèmes Epsilon

La cyberattaque cible quatre plugins WordPress vulnérables et 15 thèmes Epsilon
© heimdalsecurity.com

WordFence indique que la vague d’attaques en cours a commencé le 8 décembre, après que les développeurs ont corrigé les vulnérabilités de PublishPress Capabilities le 6 décembre. Sur le même sujet : 8 choses que Walt Disney n’aimait pas dans ses films.

La société a noté que les cyberattaques WordPress à grande échelle ont ciblé des « vulnérabilités de mise à jour d’options arbitraires non authentifiées » dans les plugins Kiwi Social Share (2018), WordPress Automatic, Pinterest Automatic et PublishPress Capabilities.

Les chercheurs ont également découvert que les versions du plugin WordPress Kiwi Social Sharing antérieures à 2.0.11 permettaient aux attaquants de modifier la table wp_options pour créer des comptes administrateur ou rediriger un blog vers un autre site.

Les attaquants ciblent également une vulnérabilité d’injection de fonctionnalités dans les thèmes Epsilon Framework qui permet l’exécution de code à distance (RCE). WordFence a estimé qu’au moins 150 000 sites Web utilisent le framework.

« Si le site exécute une version vulnérable de l’un des quatre plug-ins ou de divers thèmes, et qu’un compte d’utilisateur malveillant est présent, il est probable que le site ait été compromis via l’un de ces plug-ins », ont averti les chercheurs. WordFence. « Supprimez immédiatement tous les comptes d’utilisateurs détectés ».

Cyber ​​​​attaques sur les sites WordPress

La récente cyberattaque s’est produite à la suite d’une autre vulnérabilité de sécurité dans le plugin WordPress « WPS Hide Login » qui a exposé les pages de connexion secrètes de l’administrateur de plus d’un million de sites Web. Lire aussi : Les nouvelles fuites d’Apple révèlent les changements de conception choquants de l’iPhone 14 et de l’iPhone 14 Pro. Le plugin a l’intention de masquer la page de connexion wp-admin de l’administrateur pour empêcher l’automatisation scripts et attaques de pirates en supposant l’emplacement de la page.

Les thèmes ont également fait l’objet d’une cyberattaque massive en 2020 impliquant plus de 18 000 adresses IP, lorsque WordFence a enregistré 7,5 millions de cyberattaques ciblant 1,5 million de sites Web. Cependant, les cyberattaques ont tenté de déterminer si les sites Web avaient ciblé des vulnérabilités dans des thèmes au lieu d’exécuter une chaîne d’exploitation complète.

Uriel Maimon, directeur principal des technologies émergentes chez PerimeterX, a noté que WordPress est devenu une victime régulière de cyberattaques.

« Le code fantôme introduit via des plug-ins et des frameworks tiers élargit considérablement la surface d’attaque des sites Web », a déclaré Maimon. « En conséquence, les propriétaires de sites Web doivent prêter attention aux plug-ins et frameworks tiers et se tenir au courant des mises à jour de sécurité. Ils doivent protéger leurs sites Web en utilisant des pare-feu d’applications Web ainsi que des solutions de visibilité côté client qui peuvent révéler la présence de code malveillant sur leurs sites. »