Plus de 300 000 sites Web de WordPress ont été attaqués
Une vulnérabilité inconnue jusqu’alors dans une extension de messagerie populaire est activement exploitée par des attaquants. Au total, près de 280 000 gestionnaires de contenu ont reçu des courriels infectés.
Avec 463 millions d’utilisateurs rien qu’en 2015 et 492 millions dans le monde, WordPress est sans doute le système de gestion de contenu le plus populaire au monde. Et comme le prédisait une défection, WordPress pourrait être pris pour cible depuis au moins un mois par plus de 280 000 sites qui l’utilisent. Sur l’un des composants de WordPress, les pirates ont trouvé une vulnérabilité de type « zero-day » qui permet aux attaquants de prendre le contrôle d’un système de gestion de contenu. Afin de pirater le système de contenu, les pirates ont découvert une vulnérabilité inconnue jusqu’alors dans l’un des composants de WordPress. Ce composant permet aux administrateurs de sites de gérer d’autres extensions, des thèmes, des sauvegardes, via le même tableau de bord. Les outils d’administration ont connu une faille en décembre qui a été ouverte. Via cette vulnérabilité inconnue jusqu’alors, les pirates peuvent s’ajouter en tant que comptes administrateurs et prendre le contrôle du gestionnaire de contenu.
Deux symptômes peuvent vous aider à identifier le problème.
Une étude récente de Wordfence Security montre que plus de 4,6 millions d’attaques basées sur la faille missing-session-id ont été bloquées au cours des 30 derniers jours. L’analyse effectuée par les experts de Wordfence montre que plus de 280 000 sites ont été ciblés au cours de ces 30 jours.
Pour vérifier si quelqu’un a pris le contrôle du site WordPress, vous devez vérifier la présence du nom rangex dans la base de données WordPress, et également regarder dans les journaux les mesures de sécurité prises par le site avant d’autoriser la requête « /wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 » pour accéder aux informations d’identification de sécurité. Pour le moment, il n’y a « pas encore de solution », il est donc recommandé de désactiver le plugin WPGateway pour le moment. Le site avait également un bug et une autre vulnérabilité récemment découverte.