😊Hello, -20% sur le Thème WordPress DIVI d'ElegantThemes.com 🔥

Attaque massive contre les blogs WordPress !

Depuis quelques heures se déroule une attaque massive sur différents blogs WordPress. Cette attaque injecte du code malveillant (injection SQL) dans votre base de données et modifie ainsi les liens de vos articles en ajoutant un code inutile à la fin de vos liens.

Télécharger Bad Behavior !

Ils semblent que toutes les versions de WordPress sont touchées ! Cette attaque rend donc votre blog entièrement « cassé » et les adresses ne fonctionneront plus.

Nicolas, un de nos commentateurs, conseille d’installer Bad Behavior. Bad Behavior est un plugin vous permettant de bloquer les mauvaises requêtes envoyées à votre serveur et ainsi empêcher une possible attaque sur votre blog non mis à jour ! Ce plugin interdira donc toutes requêtes externes non autorisée. Il bloque les possibles injection SQL. Aucun conflit avec Askimet et autres éléments interne de WordPress.

Via Ayuda WordPress

Astuces

Certaines techniques sont disponibles pour masquer la version utilisée de votre installation WordPress. Mais environ 90% des blogs utilisant WordPress on encore certains fichiers, inutiles hébergé sur le serveur. Le fichier « reame.html » est un simple fichier affichant la version utilisée et d’autres informations. Il vous suffit simplement d’éditer ou de supprimer ce fichier et ainsi masquer la version utilisée.


Si vous avez installé le plugin ou le code présenté il y a quelques heures, supprimez-le et remplacez-le par le plugin présenté en début d’article. Si vous utilisez « WP-Cache » ou « WP-Super Cache » il faut alors modifier un élément dans un fichier pour que le plugin fonctionne correctement.

Ouvez le fichier « wp-cache-phase1.php » de votre dossier et recherchez la ligne 34 (pour WP-Cache) ou la ligne 56 (pour WP-Super Cache). Cette ligne contient le code suivant.

[php]
if (! ($meta = unserialize(@file_get_contents($meta_pathname))) ) return;
[/php]

Après avoir trouvé cette ligne de code, il vous suffit simplement de coller le code suivant (juste après)

[php]require_once( ABSPATH . ‘wp-content/plugins/Bad-Behavior/bad-behavior-generic.php’);[/php]

Touché-Coulé ?

Si vous avez des doutes sur la possible attaque de votre installation WordPress, vérifiez les fichiers suivants :

– « index.php »
– « wp-config.php »
– « wp-content/medias/pass.php »

Si vous trouvez du code malveillant ou inhabituelle dans ces fichiers, protégez-vous immédiatement ! Surveillez les différents utilisateurs de votre blog et observer s’il y a du changement dans la structure de vos liens.

Informations !

12:42 (j+2) : Il semble que la fonction eval() a été modifiée dans le core de WordPress il y a dix jours, mais que la version actuelle (2.8.4) ne contient aucune modification. La nouvelle fonction « WP_MatchesMapRegex » devrait régler le problème dans les futures versions de WordPress.

14:00 : Un membre de la communauté WordPress confirme que les nouvelles versions de WordPress sont également touchées !

‘I can confirm this hacked worked (at least partially) on my site running 2.8.4″ – cpjolicoeur

00:54 : D’après le blog officiel de WordPress, la vulnérabilité est corrigé depuis la version 2.7.1. Les versions antérieures à celle-ci sont donc touchées.

23:30 : D’après le site contenant les fichiers sources de WordPress (Core), la faille étant très connue des développeurs, le statut a été changé pour colmater la brèche dans la version 2.8 puis de nouveau changé pour la version 2.9.

Mise à jour : Ce ticket a été changé pour être intégré définitivement dans la version 2.8.5.

23:15 : Pour contrer une possible attaque, désactivez temporairement les inscriptions de votre blog WordPress. La fonction « eval », une fois exploitée, injecte du code malveillants grâce au module d’enregistrement.

23:05 : Cette vulnérabilité exploite la fonction « eval » de votre serveur. Pour une question de sécurité, cette fonction est désactivée sur certains serveurs.

23:00 : D’après la même source, cette vulnérabilité est présente depuis la version 2.7.1 de WordPress et devrait être corrigé dans une future version, la 2.8.5. Cette version devrait arriver plus vite que prévus. Les fichiers touchés sont : « rewrite.php » – et « classes.php » du dossier « includes » de votre installation (wp-includes/).

La fonction eval() : Cette fonction permet de stocker du code dans une base de données, pour, par la suite, exploiter son contenu.

Voir les changements !

Partager sur facebook
Facebook
Partager sur whatsapp
WhatsApp
Partager sur linkedin
LinkedIn
Partager sur twitter
Twitter

Allez plus loins

25 réponses

  1. Le credo actuel des développeurs WP s’apparente plus à une course aux nouvelles fonctionnalités qu’à la consolidation de leur code. Ce genre de mésaventure (faille connue mais délaissée) ne m’étonne guère. Dommage.

  2. C’est vrai que c’est un peu pénible ces problèmes avec wordpress, ils sortent des versions tous les mois mais au final rien n’est réellement amélioré…

    (en passant aucune nouvelle sur le site wordpress-fr qui est comme toujours à la bourre..)

  3. Ping : Le gPlog, le blog du gP
  4. Le problème principal de ba behavior est qu’il fait un filtre sur les adresses ip des provenances des requêtes. Les adresses sont sur une blacklist ou une greylist sur un service en ligne. Tout comme pour akismet, si le serveur central tombe, le plugin rejete tout en bloc, ne pouvais plus rien vérifier. De plus j’ai déjà eu de nombreux cas de personne (y compris moi) qui ne peuvent plus commenter ou accéder à un blog à car leur ip est sur une greylist. Seule solution, rebooter ta box adsl et espérer que ton FAI te file une nouvelle ip de suite, ou attendre le renouvellement d’ip. Si tu a une IP fixe, tu es marron et tu devras prendre contact avec les sites qui gèrent les listes pour te faire retirer, c’est ultra long et chiant …
    Maintenant je pense que pour ceux qui ont un hébergement dédié, il est plus simple de sécuriser coté serveur pour n’autoriser que les requêtes provenant de localhost, ce qui aura pour seul effet de désactiver la fonction trackback (et peut etre xmlrpc si config par défaut du serveur)

  5. Bonjour,
    Mon bloc a été touché par l’attaque. J’ai eu le pb des liens changés, de l’admin « invisible » et je viens de m’apercevoir que je ne peux plus ni activer ni désactiver aucun pluggin. Autre effet de cette attaque ?

    1. Merci. Finalement j’ai tout viré, tout à la poubelle ! y compris la bdd … Et j’ai tout réinstallé, avec une bdd sauvegardée quelques jours avant l’attaque, en faisant la MAJ de WP.
      Espérons que maintenant je vais être tranquille ;)

  6. Super article merci !
    Mais si je comprends bien, à partir du moment où l’on n’a pas coché « tout le monde peut s’enregistrer » on est donc protégé non ?

  7. De mon niveau d’informations, je ne serais pas aussi catégorique sur le fait que si on n’a pas coché on est protégé.

    Si une personne en est sur (preuve à l’appui), je pense que cette information intéressera beaucoup de monde. Et je rejoins David sur le peu, très peu d’informations sur ce sujet.

    1. Le site francophone commence à en parler. Mais d’après certaine personne et d’après les éléments trouvés dans le code source de WordPress 2.8.4, la fonction eval()( est toujours présente. Le blog officiel (us) dit que tout va bien pour la dernière version, je doute un peu.

      Après, désactiver l’enregistrement de son blog, peut ralentir le processus (peut-être), mais en tout cas c’est tout ce qu’on a pour le moment avec les plugins bloquant les requêtes sensibles. Étant le premier blog français à avoir signalé cette attaque, j’essaye de de vous donner le plus d’information possible :P

  8. J’adore wordpress mais c’est un gruyère question sécurité. A noter que sur l’avant dernière faille, tout le monde a communiqué, y compris, Lorelle et le créateur de wordpress mais j’ai vu nulle part d’ou elle est venue!!? Ca, personne n’a communiqué dessus. Un audit du code devrait être fait vu les nombreux developpeurs mais on attend toujours

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

👋 Hello,

Bienvenue sur BlogInfos.com !

Vous allez bientôt être redirigé vers notre partenaire ElegantThemes.com

Si vous ne souhaitez pas être redirigé vers notre partenaire et accéder à l’article, cliquez sur Fermer Maintenant.

FERMER MAINTENANT

DIVI - THÈME WORDPRESS

-20%

👋 Le site ElegantThemes.com propose une réduction de 20% et elle ne sera disponible que pendant quelques temps. Ne manquez pas ça !

En cliquant sur le lien « Fermer Maintenant » vous acceptez d’aider ce site et d’être redirigé vers notre partenaire ElegantThemes.