Communauté
Rejoignez la communauté Geekeries sur Google+ › Découvrez mag.geekeries.fr

Attaque massive contre les blogs WordPress !

Publié par Valentin dans Blog
Modifié le 30 mars 2013 à 13:00.

Depuis quelques heures se déroule une attaque massive sur différents blogs WordPress. Cette attaque injecte du code malveillant (injection SQL) dans votre base de données et modifie ainsi les liens de vos articles en ajoutant un code inutile à la fin de vos liens.

Télécharger Bad Behavior !

Ils semblent que toutes les versions de WordPress sont touchées ! Cette attaque rend donc votre blog entièrement « cassé » et les adresses ne fonctionneront plus.

Nicolas, un de nos commentateurs, conseille d’installer Bad Behavior. Bad Behavior est un plugin vous permettant de bloquer les mauvaises requêtes envoyées à votre serveur et ainsi empêcher une possible attaque sur votre blog non mis à jour ! Ce plugin interdira donc toutes requêtes externes non autorisée. Il bloque les possibles injection SQL. Aucun conflit avec Askimet et autres éléments interne de WordPress.

Via Ayuda WordPress

Astuces

Certaines techniques sont disponibles pour masquer la version utilisée de votre installation WordPress. Mais environ 90% des blogs utilisant WordPress on encore certains fichiers, inutiles hébergé sur le serveur. Le fichier « reame.html » est un simple fichier affichant la version utilisée et d’autres informations. Il vous suffit simplement d’éditer ou de supprimer ce fichier et ainsi masquer la version utilisée.


Si vous avez installé le plugin ou le code présenté il y a quelques heures, supprimez-le et remplacez-le par le plugin présenté en début d’article. Si vous utilisez « WP-Cache » ou « WP-Super Cache » il faut alors modifier un élément dans un fichier pour que le plugin fonctionne correctement.

Ouvez le fichier « wp-cache-phase1.php » de votre dossier et recherchez la ligne 34 (pour WP-Cache) ou la ligne 56 (pour WP-Super Cache). Cette ligne contient le code suivant.

if (! ($meta = unserialize(@file_get_contents($meta_pathname))) ) return;

Après avoir trouvé cette ligne de code, il vous suffit simplement de coller le code suivant (juste après)

require_once( ABSPATH .  'wp-content/plugins/Bad-Behavior/bad-behavior-generic.php');

Touché-Coulé ?

Si vous avez des doutes sur la possible attaque de votre installation WordPress, vérifiez les fichiers suivants :

- « index.php »
- « wp-config.php »
- « wp-content/uploads/pass.php »

Si vous trouvez du code malveillant ou inhabituelle dans ces fichiers, protégez-vous immédiatement ! Surveillez les différents utilisateurs de votre blog et observer s’il y a du changement dans la structure de vos liens.

Informations !

12:42 (j+2) : Il semble que la fonction eval() a été modifiée dans le core de WordPress il y a dix jours, mais que la version actuelle (2.8.4) ne contient aucune modification. La nouvelle fonction « WP_MatchesMapRegex » devrait régler le problème dans les futures versions de WordPress.

14:00 : Un membre de la communauté WordPress confirme que les nouvelles versions de WordPress sont également touchées !

‘I can confirm this hacked worked (at least partially) on my site running 2.8.4″ – cpjolicoeur

00:54 : D’après le blog officiel de WordPress, la vulnérabilité est corrigé depuis la version 2.7.1. Les versions antérieures à celle-ci sont donc touchées.

23:30 : D’après le site contenant les fichiers sources de WordPress (Core), la faille étant très connue des développeurs, le statut a été changé pour colmater la brèche dans la version 2.8 puis de nouveau changé pour la version 2.9.

Mise à jour : Ce ticket a été changé pour être intégré définitivement dans la version 2.8.5.

23:15 : Pour contrer une possible attaque, désactivez temporairement les inscriptions de votre blog WordPress. La fonction « eval », une fois exploitée, injecte du code malveillants grâce au module d’enregistrement.

23:05 : Cette vulnérabilité exploite la fonction « eval » de votre serveur. Pour une question de sécurité, cette fonction est désactivée sur certains serveurs.

23:00 : D’après la même source, cette vulnérabilité est présente depuis la version 2.7.1 de WordPress et devrait être corrigé dans une future version, la 2.8.5. Cette version devrait arriver plus vite que prévus. Les fichiers touchés sont : « rewrite.php » – et « classes.php » du dossier « includes » de votre installation (wp-includes/).

La fonction eval() : Cette fonction permet de stocker du code dans une base de données, pour, par la suite, exploiter son contenu.

Voir les changements !