La sécurité est une préoccupation majeure pour les propriétaires de sites WordPress, et à juste titre : il y a plus de 7,5 millions de cyber-attaques sur les sites WordPress chaque heure. Sans surprise, la nature open-source et la flexibilité de WordPress le rendent vulnérable à une multitude d'attaques diverses. Mais son noyau est très sûr, car l'équipe de WordPress se consacre à la conservation de l'intégrité structurelle de l'application. Il n'en va pas de même pour tous les thèmes et plugins WordPress.
Un logiciel malveillant a récemment été découvert par John Castro de Sucuri. Le logiciel malveillant place 10 à 12 lignes de code en haut des fichiers header.php des thèmes WordPress vulnérables afin de rediriger les visiteurs vers des sites malveillants.
Cet article fournit des détails sur l'attaque, ainsi que des conseils pour sécuriser votre site contre de telles attaques à l'avenir.
Comment fonctionne l'attaque des logiciels malveillants
Comme indiqué précédemment, le logiciel malveillant place 10 à 12 lignes de code en haut du fichier header.php d'un thème WordPress actif. Le code se présente comme suit :
Le logiciel malveillant redirige les visiteurs vers default7.com (qui n'est pas la destination finale de la redirection) lors de leur première visite. Il installe ensuite le cookie "896diC9OFnqeAcKGN7fW" pour suivre les visiteurs qui reviennent pendant un an, et teste la présence de robots d'indexation de moteurs de recherche. S'il n'y en a pas, il vérifie l'en-tête de l'agent utilisateur.
Les redirections sont aléatoires pour tout le monde. En outre, default7.com n'est que la première destination de redirection. Les visiteurs sont ensuite redirigés vers les domaines suivants (en fonction de l'adresse IP et du navigateur) :
- test246 .com
- test0 .com
- distinctfestive .com
- ableoccassion .com
Ce qui est particulièrement intéressant, c'est le comportement du logiciel malveillant sur Internet Explorer. Lorsque le visiteur utilise Internet Explorer, il est redirigé vers un site qui fournit une mise à jour Flash ou Java malveillante.
Un autre comportement intéressant se produit sur Facebook. Lorsque vous partagez le lien d'un site infecté sur Facebook, vous pouvez voir l'extrait de message d'un autre site - l'un des cinq sites de redirection. Facebook continue de rediriger les internautes vers le site malveillant, même si vous avez supprimé le logiciel malveillant de votre site. Cela s'explique par le fait que le cache est partagé. Vous pouvez réinitialiser le cache ici.
Vous serez peut-être surpris d'apprendre que ce type d'infection est assez fréquent lorsque des pirates accèdent à l'interface d'administration de WordPress. Avec les bons identifiants, ils sont en mesure de modifier (assez facilement) un fichier de thème.
Quels sont les sites infectés ?
Le récent exploit n'est en fait pas la seule menace de logiciels malveillants sur les sites infectés. Dans la majorité des cas, les sites infectés présentaient plusieurs failles de sécurité entraînant un certain nombre d'autres infections. Dans une minorité de sites, l'infection n'a été détectée que dans le fichier header.php du thème.
Comment détecter les logiciels malveillants
Le code du logiciel malveillant n'est pas sans faille. Il teste souvent des paramètres qui n'existent pas, ce qui entraîne une erreur PHP. Les notifications PHP étant désactivées sur certains serveurs, l'erreur n'est pas toujours affichée, mais une recherche Google de "Notice : Index non défini : 6FoNxbvo73BHOjhxokW3" peut révéler le code malveillant sur votre serveur.
Sucuri a indiqué que certains résultats de recherche Google pouvaient révéler des erreurs dans le fichier de pied de page du thème. Cela s'explique par le fait que le logiciel malveillant a précédemment infecté les fichiers footer.php et placé un code de redirection similaire en haut de ces fichiers. L'attaque s'est déplacée vers les fichiers header.php et a réinfecté les sites dont le code malveillant se trouvait dans le fichier footer.php. Même si le logiciel malveillant a été mis à jour, les redirections renvoient les visiteurs vers les mêmes pages.
Comment supprimer les logiciels malveillants
La suppression des logiciels malveillants est un processus en plusieurs étapes pour lequel vous pouvez consulter un expert WordPress. Si vous n'avez pas d'expérience en matière de sécurité, vous risquez d'aggraver la situation. Les entreprises spécialisées dans WordPress , comme notre équipe Semper Fi Web Design, peuvent répondre à toutes vos questions en matière de sécurité.
Mais pour l'instant, voyons ce que vous pouvez faire en général pour protéger votre site contre de telles attaques.
Comment assurer la sécurité de votre site WordPress
Protéger l'interface d'administration de WordPress
Votre panneau d'administration WordPress est une mine d'or pour les criminels. C'est pourquoi vous devez en restreindre l'accès autant que possible : seules les personnes qui ont besoin d'y accéder doivent pouvoir le faire. Dans tous les cas, vous devez restreindre la capacité de chacun à apporter des modifications à votre fichier header.php.
Comme nous l'avons vu avec cette récente attaque par redirection, les pirates disposant d'un accès administrateur à votre site peuvent directement et facilement apporter des modifications au fichier header.php de votre thème. Vous pouvez désactiver sans effort la capacité d'un utilisateur à éditer des fichiers PHP dans votre interface d'administration en ajustant votre fichier wp-config.php. Copiez et collez simplement le code suivant dans votre fichier wp-config.php :
# Désactiver l'édition du thème
define('DISALLOW_FILE_EDIT', true ) ;
Autres conseils pour sécuriser l'interface d'administration :
- Utiliser des mots de passe robustes
- Modifier régulièrement tous les mots de passe
- Limiter le nombre de tentatives de connexion
- Vérifier qu'aucun faux compte d'administrateur n'a été créé.
- N'utilisez pas "admin" comme nom d'utilisateur.
- Activer l'authentification à deux facteurs
Mettre à jour WordPress, les thèmes et les plugins vers les dernières versions
Il est essentiel de mettre à jour WordPress et tous vos thèmes et plugins vers leurs dernières versions. Outre l'amélioration des fonctionnalités, la plupart des mises à jour visent à résoudre des problèmes de sécurité et à remédier à des vulnérabilités ; il convient donc de mettre à jour les dernières versions dès qu'elles sont disponibles.
Assurez-vous que votre (vos) ordinateur(s) est (sont) exempt(s) de virus et de logiciels malveillants
Toutes les mesures de précaution que vous prenez pour protéger votre site contre les logiciels malveillants sont nulles et non avenues si votre ordinateur contient des virus ou des logiciels malveillants. En effet, un pirate informatique pourrait accéder aux données de connexion de votre site à partir de votre ordinateur et procéder rapidement à l'infection du site. Il est donc important d'installer un bon programme antivirus sur tous les ordinateurs que vous utilisez pour vous connecter à votre site WordPress.
La plupart d'entre nous aiment WordPress pour sa flexibilité, entre autres raisons. En effet, il s'agit du système de gestion de contenu (CMS) open-source le plus populaire. Cependant, les raisons pour lesquelles nous l'aimons tant sont aussi celles qui le rendent vulnérable aux cyberattaques. Il est important d'en être conscient et de prendre les mesures nécessaires pour protéger votre site.
Vous voulez essayer AIOSEO gratuitement ?
Entrez l'URL de votre site WordPress pour installer AIOSEO Lite.
Divulgation : Notre contenu est soutenu par les lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, il se peut que nous recevions une commission. Nous ne recommandons que des produits dont nous pensons qu'ils apporteront une valeur ajoutée à nos lecteurs.
Wow, 7,5 millions chaque heure, c'est inquiétant, article intéressant Arnaud, merci pour l'avertissement 🙂 Cheers Tracy
C'est un véritable plaisir, Tracy. Merci pour vos commentaires !
Article utile. Merci beaucoup.
Quel est leur vecteur d'attaque initial ? S'agit-il simplement d'obtenir un accès de connexion à l'administrateur ?
Je me demande s'il est possible de créer une règle de modsecurity pour éviter cela.
Un ensemble de règles de modsecurity intelligent et bien configuré est un véritable cauchemar pour les pirates 😀.
Grâce à quelques règles intelligentes que j'ai écrites... si je puis dire 😉 les visites de pirates sur mes sites WP ont considérablement diminué au cours de l'année écoulée.
Merci encore.
Bonjour Mike
Tout d'abord, merci d'avoir laissé un commentaire.
L'objectif des pirates est d'implémenter environ 12 lignes de code afin que les visiteurs soient redirigés vers d'autres sites (éventuellement malveillants).
Cela n'est toutefois possible que s'ils ont déjà eu accès à un login WordPress capable d'éditer les fichiers PHP du thème.
Vous pouvez résoudre ce problème en désactivant les droits d'utilisateur pour l'édition des fichiers PHP via wp-admin. Implémentez l'extrait de code suivant dans le fichier wp-config.php pour désactiver cette fonctionnalité :
# Désactiver l'édition du thème
define('DISALLOW_FILE_EDIT', true ) ;
Plus important encore, vous devez sécuriser vos informations d'identification WordPress.
Si vous êtes victime d'une attaque, il est important de changer tous vos mots de passe, de vérifier si des fichiers ont été modifiés et de rechercher les comptes d'administrateurs frauduleux si vous avez plusieurs administrateurs.
Quelques conseils supplémentaires pour sécuriser votre connexion à WordPress :
- Remplacer le nom d'utilisateur "admin" par quelque chose de moins identifiable
- Changer l'URL de la page de connexion par rapport à l'URL par défaut wp-login-php
- Créer des mots de passe complexes
- Limiter le nombre de tentatives de connexion dans un laps de temps donné
Santé
Arnaud
Modifiez également vos mots de passe FTP au cas où le pirate aurait obtenu un accès par ce biais.
Excellent conseil !
Arnaud,
Merci pour ces informations précieuses. J'apprécie que vous ayez fourni une solution de contournement et des conseils dans votre réponse à Mike. Ce sont des informations précieuses pour moi.
Bonne journée ! =)
De rien, Diana !
Vous dites donc qu'ils devront accéder par mot de passe, n'est-ce pas ? Il n'y a pas d'autre moyen d'entrer. Ils ne peuvent pas sauter l'étape du mot de passe ?
C'est la méthode la plus courante, mais il existe aussi d'autres méthodes pour accéder aux fichiers de votre site. Le FTP en est un bon exemple.
Quel plugin de sécurité recommandez-vous et qui ne causera pas de conflit avec All in One SEO Pack ?
WordFence est un excellent logiciel et n'a aucun problème de compatibilité avec All in One SEO Pack.
Nous recommandons également iTheme Security.
Mmmn ! C'est très utile. J'ai échappé de peu à une attaque la semaine dernière.
Merci pour cet article utile ! Je pense que nous devons faire attention à l'utilisation de thèmes ou de plugins gratuits.
J'ai trouvé ce post parce qu'il y a un script qui est injecté dans le header.php de chaque site sur le compte du serveur. Tous les deux ou trois jours, je dois vérifier header.php et supprimer le bloc de texte qui s'y trouve, généralement avec une tonne d'espaces au-dessus. C'est insupportable ! Si le script n'est pas supprimé, Google et d'autres scanners de sécurité mettent le site sur liste noire pendant quelques jours jusqu'à ce qu'il soit supprimé et demandent à Google de rescanner le site. Il perturbe gravement les classements !
Jusqu'à présent :
1. Suppression de tous les fichiers de base de WP et rechargement des fichiers de base de la dernière version.
2. Suppression des plugins inutilisés.
3. Vérification de chaque répertoire /uploads pour les fichiers .php (puisqu'il ne devrait y avoir que des images).
4. Changement du nom d'utilisateur de l'administrateur.
5. Changement des mots de passe.
6. Suppression des utilisateurs de spam.
7. Modification du mot de passe FTP.
8. Installation du plugin Sucuri et durcissement de tout, installation de Wordfence, installation de Bad Behavior.
Aucun des plugins de sécurité ne le bloque et aucun ne signale que le fichier header.php a été modifié. CELA SE PRODUIT ENCORE CHAQUE SEMAINE.
Questions :
1. Comment font-ils pour injecter ce script dans tous les sites du compte d'hébergement en même temps, même si ces sites n'utilisent pas les mêmes plugins, etc. C'est la chose la plus frustrante et la plus ennuyeuse parce que tous les sites ont besoin d'avoir le script supprimé et tous les sites sont mis sur la liste noire de Google, etc.
2. S'ils sont capables d'entrer dans vos fichiers et de coller ce script dans le header.php et qu'ils se rendent compte que vous continuez à le supprimer, qu'est-ce qui les empêche d'altérer tous les fichiers ou de supprimer des choses ?
Pour répondre à vos questions :
1. Je ne suis pas certain que vous soyez confronté au même problème que celui décrit dans cet article. En tout état de cause, si vos articles continuent d'être injectés avec du code, vous êtes probablement confronté à une infection d'un script malveillant sur votre serveur web. Vous pouvez sauvegarder tous vos sites et les nettoyer un par un, puis procéder à un nettoyage complet de votre serveur avant de restaurer à nouveau vos sites.
2. Rien ne les en empêche, mais la plupart des pirates n'ont aucun intérêt à détruire ou à infecter complètement un site. Ils veulent toujours que les gens visitent et utilisent les fonctionnalités/informations de votre site.
Bonjour Arnaud,
Merci de nous avoir fait part de vos commentaires. Cela pourrait-il être la raison pour laquelle je reçois trop de commentaires indésirables ?
Non, les commentaires de spam ne sont que des robots ou des blogueurs qui tentent d'améliorer leur référencement en créant des liens retour d'autres sites web vers le leur.
Cette méthode ne fonctionne généralement pas, car les moteurs de recherche voient clair dans cette tromperie et peuvent vérifier la qualité des backlinks.
Si vous utilisez WordPress, je vous recommande d'installer un plugin comme Akismet pour filtrer les commentaires valides et invalides.
Il est difficile de trouver des personnes expérimentées sur ce sujet,
mais vous semblez savoir de quoi vous parlez ! Je vous remercie.
Bonjour, mon site a été piraté il y a quelques mois et nous l'avons entièrement nettoyé, mais lorsque j'ajoute un lien vers mon site dans Facebook, il est redirigé la première fois vers un site malveillant. J'ai entendu quelqu'un dire que cette redirection se fait toujours une fois par IP. Y a-t-il encore des fichiers infectés qui créent cette redirection ?
Oui, il semble que votre site soit toujours infecté par des logiciels malveillants. Nous proposons un service de nettoyage des logiciels malveillants. Vous pouvez nous contacter ici pour obtenir des informations - https://aioseo.com/contact/
Excellente explication.