Depuis quelques jours, WordPress, le CMS le plus utilisé par les développeurs subit une rafale de piratages. Il s’agit plus exactement d’une campagne menée par les pirates informatiques afin d’introduire un code malveillant dans les pages web. Gros plan sur ce fléau non négligeable qui menace les utilisateurs ainsi que les visiteurs des sites développés sous WordPress.
Que faut-il savoir sur cette menace ?
Selon les spécialistes du développement web, ce sont surtout les sites qui tournent avec la version 4.3.1 (la dernière) qui sont les plus touchés par ces attaques émanant des pirates informatiques. La question qui se pose maintenant est : ces sites ont été infectés avant ou après la mise à jour vers cette nouvelle version ? Lors des attaques, les pirates introduisent un code JavaScript dans tous les fichiers JavaScript du site cible. Ce code prend la forme d’un mélange de chiffres et de lettres comme ceux que l’on retrouve dans les langages utilisés par les développeurs. Le but des pirates est de ne pas éveiller des soupçons chez ces professionnels du web pour faciliter l’introduction du code malveillant.
Objectif des attaques
L’introduction d’un code malveillant dans les sites tournant sous WordPress a pour objectif d’infiltrer les machines des visiteurs de ces sites. Une fois ces codes injectés, ils introduisent à leur tour des iframes dans les pages des sites. Ces iframes invitent alors les internautes à télécharger des fausses mis à jour du plugin Flash ou à se rendre sur des pages où ils peuvent télécharger des faux outils destinés à la maintenance de Windows. Dès que ces derniers procèdent au téléchargement, le logiciel malveillant s’installe automatiquement sur leur ordinateur.
Des attaques par force brute amplifiée
Les pirates n’hésitent pas à lancer des attaques par force brute via le protocole XML-RPC afin d’infiltrer les sites sous WordPress et accéder facilement aux ordinateurs utilisés par les internautes qui visitent leurs pages. Les développeurs de ces sites peuvent détecter ce type d’attaque grâce à des signes qui ne trompent pas entre autres l’instabilité du CMS ou encore l’indisponibilité du site pendant quelques heures.
Déroulement d’une attaque par force brute
La « Brute Force Amplification attacks » se manifeste par une exécution d’environ 500 tentatives de connexion à un site et durant laquelle 500 combinaisons de login et de mots de passe sont essayées. Chaque tentative faite par le pirate poste une seule requête au serveur. Pour toutes ces raisons, les administrateurs des sites web WordPress doivent être vigilants d’autant plus que certains pirates sont capables de tester près de 500 mots de passe via une attaque « one shot ». Cet essai d’une centaine de mots de passe et en une seule requête est possible grâce à la méthode system.multicall, une méthode que la majorité des pirates connaissent sur le bout des doigts.
Pour l’heure, le moyen recommandé pour se protéger de ces attaques est le blocage des accès au XML-RPC combiné à l’utilisation d’un mot passe complexe. Une sauvegarde de la base de données est également de mise afin d’éviter le pire.