Publicité
En savoir plus
Attaque massive contre les blogs WordPress !
Depuis quelques heures se déroule une attaque massive sur différents blogs WordPress. Cette attaque injecte du code malveillant (injection SQL) dans votre base de données et modifie ainsi les liens de vos articles en ajoutant un code inutile à la fin de vos liens.
Ils semblent que toutes les versions de WordPress sont touchées ! Cette attaque rend donc votre blog entièrement “cassé” et les adresses ne fonctionneront plus.
Nicolas, un de nos commentateurs, conseille d’installer Bad Behavior. Bad Behavior est un plugin vous permettant de bloquer les mauvaises requêtes envoyées à votre serveur et ainsi empêcher une possible attaque sur votre blog non mis à jour ! Ce plugin interdira donc toutes requêtes externes non autorisée. Il bloque les possibles injection SQL. Aucun conflit avec Askimet et autres éléments interne de WordPress.
Via Ayuda WordPress
Astuces
Certaines techniques sont disponibles pour masquer la version utilisée de votre installation WordPress. Mais environ 90% des blogs utilisant WordPress on encore certains fichiers, inutiles hébergé sur le serveur. Le fichier “reame.html” est un simple fichier affichant la version utilisée et d’autres informations. Il vous suffit simplement d’éditer ou de supprimer ce fichier et ainsi masquer la version utilisée.
Si vous avez installé le plugin ou le code présenté il y a quelques heures, supprimez-le et remplacez-le par le plugin présenté en début d’article. Si vous utilisez “WP-Cache” ou “WP-Super Cache” il faut alors modifier un élément dans un fichier pour que le plugin fonctionne correctement.
Ouvez le fichier “wp-cache-phase1.php” de votre dossier et recherchez la ligne 34 (pour WP-Cache) ou la ligne 56 (pour WP-Super Cache). Cette ligne contient le code suivant.
if (! ($meta = unserialize(@file_get_contents($meta_pathname))) ) return;
Après avoir trouvé cette ligne de code, il vous suffit simplement de coller le code suivant (juste après)
require_once( ABSPATH . 'wp-content/plugins/Bad-Behavior/bad-behavior-generic.php');
Touché-Coulé ?
Si vous avez des doutes sur la possible attaque de votre installation WordPress, vérifiez les fichiers suivants :
- “index.php”
- “wp-config.php”
- “wp-content/uploads/pass.php”
Si vous trouvez du code malveillant ou inhabituelle dans ces fichiers, protégez-vous immédiatement ! Surveillez les différents utilisateurs de votre blog et observer s’il y a du changement dans la structure de vos liens.
Informations !
12:42 (j+2) : Il semble que la fonction eval() a été modifiée dans le core de WordPress il y a dix jours, mais que la version actuelle (2.8.4) ne contient aucune modification. La nouvelle fonction “WP_MatchesMapRegex” devrait régler le problème dans les futures versions de WordPress.
14:00 : Un membre de la communauté WordPress confirme que les nouvelles versions de WordPress sont également touchées !
‘I can confirm this hacked worked (at least partially) on my site running 2.8.4″ – cpjolicoeur
00:54 : D’après le blog officiel de WordPress, la vulnérabilité est corrigé depuis la version 2.7.1. Les versions antérieures à celle-ci sont donc touchées.
23:30 : D’après le site contenant les fichiers sources de WordPress (Core), la faille étant très connue des développeurs, le statut a été changé pour colmater la brèche dans la version 2.8 puis de nouveau changé pour la version 2.9.
Mise à jour : Ce ticket a été changé pour être intégré définitivement dans la version 2.8.5.
23:15 : Pour contrer une possible attaque, désactivez temporairement les inscriptions de votre blog WordPress. La fonction “eval”, une fois exploitée, injecte du code malveillants grâce au module d’enregistrement.
23:05 : Cette vulnérabilité exploite la fonction “eval” de votre serveur. Pour une question de sécurité, cette fonction est désactivée sur certains serveurs.
23:00 : D’après la même source, cette vulnérabilité est présente depuis la version 2.7.1 de WordPress et devrait être corrigé dans une future version, la 2.8.5. Cette version devrait arriver plus vite que prévus. Les fichiers touchés sont : “rewrite.php” – et “classes.php” du dossier “includes” de votre installation (wp-includes/).
La fonction eval() : Cette fonction permet de stocker du code dans une base de données, pour, par la suite, exploiter son contenu.
26 commentaires !
Gomah says:
sept 5, 2009
Merci pour cette information, plus d’informations sur les versions touchées?
piouPiouM says:
sept 6, 2009
Le credo actuel des développeurs WP s’apparente plus à une course aux nouvelles fonctionnalités qu’à la consolidation de leur code. Ce genre de mésaventure (faille connue mais délaissée) ne m’étonne guère. Dommage.
Dreamer says:
sept 6, 2009
Toujours bon à savoir , en atentte je vais bloquer les inscriptions !!
La suite au prochain épisode !!
Guillaume says:
sept 6, 2009
Merci pour l’information. Je viens de protéger mon blog à l’instant.
Henry cow says:
sept 6, 2009
c’est toute les semaines maintenant!
David says:
sept 6, 2009
C’est vrai que c’est un peu pénible ces problèmes avec wordpress, ils sortent des versions tous les mois mais au final rien n’est réellement amélioré…
(en passant aucune nouvelle sur le site wordpress-fr qui est comme toujours à la bourre..)
Le gPlog, le blog du gP says:
sept 6, 2009
[...] je ne suis pas tout seul : Attaque massive contre les blogs WordPress ! Un petit mail chez 1&1 et hop [...]
lemoussel says:
sept 6, 2009
Trop tard :?
J’ y ai eu droit.
1 journée pour tous remettre d’aplomb et faire la MàJ en 2.8. Sheet !
piouPiouM says:
sept 6, 2009
D’après ce post, la version 2.8.4 serait partiellement ciblée par la faille.
lupi says:
sept 6, 2009
Mes sites sont à jour tous sous WP 2.8.4,je ne pense pas être en danger.
Nicolas says:
sept 6, 2009
Le plugin Bad Behavior permet de se proteger aussi contre les injections SQL et autres requetes bizarres et des mauvais bots. Sans souci avec Akismet.
http://wordpress.org/extend/plugins/bad-behavior/
Valentin says:
sept 6, 2009
Merci pour ce petit plugin :p, j’ai mis à jour l’article !
Actu-Geek says:
sept 6, 2009
J’ai rebloggé l’information.
clawfire says:
sept 6, 2009
Le problème principal de ba behavior est qu’il fait un filtre sur les adresses ip des provenances des requêtes. Les adresses sont sur une blacklist ou une greylist sur un service en ligne. Tout comme pour akismet, si le serveur central tombe, le plugin rejete tout en bloc, ne pouvais plus rien vérifier. De plus j’ai déjà eu de nombreux cas de personne (y compris moi) qui ne peuvent plus commenter ou accéder à un blog à car leur ip est sur une greylist. Seule solution, rebooter ta box adsl et espérer que ton FAI te file une nouvelle ip de suite, ou attendre le renouvellement d’ip. Si tu a une IP fixe, tu es marron et tu devras prendre contact avec les sites qui gèrent les listes pour te faire retirer, c’est ultra long et chiant …
Maintenant je pense que pour ceux qui ont un hébergement dédié, il est plus simple de sécuriser coté serveur pour n’autoriser que les requêtes provenant de localhost, ce qui aura pour seul effet de désactiver la fonction trackback (et peut etre xmlrpc si config par défaut du serveur)
Carole says:
sept 6, 2009
Bonjour,
Mon bloc a été touché par l’attaque. J’ai eu le pb des liens changés, de l’admin “invisible” et je viens de m’apercevoir que je ne peux plus ni activer ni désactiver aucun pluggin. Autre effet de cette attaque ?
Black Hattitude says:
sept 6, 2009
Carole, vérifie bien que tu n’a pas le fichier wp-pass.php dans le répertoire “uploads”. Si oui supprime le.
Carole says:
sept 7, 2009
Merci. Finalement j’ai tout viré, tout à la poubelle ! y compris la bdd … Et j’ai tout réinstallé, avec une bdd sauvegardée quelques jours avant l’attaque, en faisant la MAJ de WP.
Espérons que maintenant je vais être tranquille ;)
lowett says:
sept 6, 2009
Merci pour cet article détaillé :)
Je pense y avoir échappé mais je touche du bois … J’ai installé le plugin Bad Behavior pour me protéger. Merci pour les conseils.
Juju says:
sept 7, 2009
Super article merci !
Mais si je comprends bien, à partir du moment où l’on n’a pas coché “tout le monde peut s’enregistrer” on est donc protégé non ?
Black Hattitude says:
sept 7, 2009
De mon niveau d’informations, je ne serais pas aussi catégorique sur le fait que si on n’a pas coché on est protégé.
Si une personne en est sur (preuve à l’appui), je pense que cette information intéressera beaucoup de monde. Et je rejoins David sur le peu, très peu d’informations sur ce sujet.
Valentin says:
sept 7, 2009
Le site francophone commence à en parler. Mais d’après certaine personne et d’après les éléments trouvés dans le code source de WordPress 2.8.4, la fonction eval()( est toujours présente. Le blog officiel (us) dit que tout va bien pour la dernière version, je doute un peu.
Après, désactiver l’enregistrement de son blog, peut ralentir le processus (peut-être), mais en tout cas c’est tout ce qu’on a pour le moment avec les plugins bloquant les requêtes sensibles. Étant le premier blog français à avoir signalé cette attaque, j’essaye de de vous donner le plus d’information possible :P
Black Hattitude says:
sept 7, 2009
J’ai aussi trouvé ces plugins :
– WordPress Firewall PlugIn.
– InspectorWordpress PlugIn.
Rem : Je ne les ai pas testés.
symptome says:
sept 8, 2009
Et m**** !
Il va falloir encore faire 15 Mises à jour.
je croise les doigts je vais installer Bad Behavior
Gael
Black Hattitude says:
sept 8, 2009
Article fort intéressant sur la sécurisation de WordPress : Protéger votre WordPress du grand méchant loup
libertacara says:
sept 27, 2009
J’adore wordpress mais c’est un gruyère question sécurité. A noter que sur l’avant dernière faille, tout le monde a communiqué, y compris, Lorelle et le créateur de wordpress mais j’ai vu nulle part d’ou elle est venue!!? Ca, personne n’a communiqué dessus. Un audit du code devrait être fait vu les nombreux developpeurs mais on attend toujours
angela lindvall says:
nov 16, 2009
Merci de cette information. Je verrai ce que ca donne bad behavior.
Qu'est-ce que vous en pensez ? :)