Attention, des hackers ciblent les sites sous WordPress à travers une dizaine de plugins infectés

Avis aux administrateurs de sites web, plus particulièrement pour ceux qui travaillent avec l’éditeur WordPress, un groupe de pirates informatiques a jeté leur dévolu sur les sites fonctionnant sous cet éditeur très prisé.

D’après les informations relayées par ZDNet, c’est une campagne de hacking qui a vu le jour courant du mois de juillet dernier, et depuis, l’objectif des attaques a été revu par les pirates.

Crédits Pixabay

Si les pirates se sont en effet jusqu’ici contentés d’utiliser des plugins pour implanter des scripts visant à faire apparaître des pop-ups ou rediriger les visiteurs vers d’autres sites que celui légitime, maintenant, ils cherchent à se créer de faux comptes administrateurs. Ce qui rend l’attaque bien plus vicieuse.

Une dizaine de plug-ins identifiés comme infectés

Selon les indiscrétions de ZDNet, les hackers exploitent des vulnérabilités présentes au niveau d’une dizaine de plug-ins tiers, afin d’implanter des codes visant à rediriger les visiteurs des sites web victimes vers une autre adresse. L’apparition de fenêtres intempestives est une autre manifestation du piratage.

L’analyste en cyber-sécurité Mikey Veenstra  de Defiant a livré une liste des plug-ins ciblés par les pirates en raison de leurs vulnérabilités aux attaques, dont :

  • Bold Page Builder
  • Blog Designer
  • Live Chat with Facebook Messenger
  • Yuzo Related Posts
  • Visual CSS Style Editor
  • WP Live Chat Support
  • Form Lightbox
  • Hybrid Composer
  • ainsi que certains plugins conçus par NicDark plugins tels que nd-bookingnd-travel ou encore nd-learning.

Toujours selon le chercheur en risques informatiques, ces plug-ins sont vulnérables tant qu’ils ne sont pas mis à jour pour intégrer les dernières versions des patchs de sécurité. Une raison valable pour le faire si ce n’est donc pas encore le cas.

Les pirates s’orientent vers une nouvelle tactique

À partir du 20 août dernier, le groupe de hackers s’est fixé un nouvel objectif dans le cadre de ses attaques. Cette fois, les visiteurs ciblés sont ceux qui ont les privilèges d’administrateurs et c’est toujours via le code malicieux qui tire parti des plug-ins vulnérables qu’ils opèrent.

Une fonction capable de détecter les privilèges d’administrateur a été notamment rajoutée. Ceci dans le but de se créer un compte administrateur illégitime (en l’occurrence wpservices, avec les identifiants qui vont avec évidemment), pouvant servir de porte dérobée pour une utilisation ultérieure.

Il faudra donc penser à vérifier la liste des comptes administrateurs sur votre site web, et supprimer ceux suspects si nécessaire. Sans oublier de mettre à jour les plug-ins utilisés pour réduire les risques de piratage.

Mots-clés hackingWordpress