Vague d’attaque contre les sites WordPress en cours

Le 26 janvier dernier, une mise à jour de sécurité de WordPress a été publiée. Cette vulnérabilité, semble faire depuis quelques jours l’objet d’une large campagne d’exploitation par les pirates à l’origine de mise hors service de nombreux site. Faites la mise le plus rapidement possible en particulier si vous avez désactivé les mises à jour autonomes. On ne le répétera jamais assez « Faites les mises à jour de sécurité » Merci de vous assurer de la mise à jour de votre site WordPress vers les versions suivantes :

  • Branche 4.7.x => 4.7.2
  • Branche 4.6.x => 4.6.3
  • Branche 4.5.x => 4.5.6
  • Branche 4.4.x => 4.4.7
  • Branche 4.3.x => 4.3.8
  • Branche 4.2.x => 4.2.12
  • Branche 4.1.x => 4.1.15
  • Branche 4.0.x => 4.0.15
  • Branche 3.9.x => 3.9.16
  • Branche 3.8.x => 3.8.18
  • Branche 3.7.x => 3.7.18

Si votre version est antérieure aux différentes branches citées ci-dessus, il faut mettre à jour votre installation vers une des versions ayant fait l’objet de cette correction pour être protégé.

Merci de relayer cette information largement pour la sécurité de tous.

WordPress et Poulet de Kiev

Il y a peu, une nouvelle utilisatrice dans un forum de support que j’essayais d’aider à faire face à un piratage. Alors que je lui suggérais de regarder le contenu d’un répertoire nommé « Akismet3 » paraissant suspect, entreprit, avec une certaine arrogance, de m’expliquer que « Askimet » (avec cette faute) était une extension WordPress (mince alors ! Moi qui ai découvert WordPress il y a plus de 10 ans j’aurais manqué ça !?!?), qui au premier abord ne lui paraît pas suspect.

J’avoue que j’adoooore, les utilisateurs qui viennent demander de l’aide sur un forum, et viennent expliquer aux professionnels (possédant quand même un minimum de compétences) qui prennent le temps leur répondre, et qui n’hésitent pas à leur donner des leçons. Cela me fait d’ailleurs souvent penser à cette citation de Georges Courteline : « Passer pour un idiot aux yeux d’un imbécile est une volupté de fin gourmet ».

  1. Bref, cela m’a donné l’occasion d’essayer d’en savoir un peu plus sur ce type d’attaque qui apparemment est connue sous le nom de « Chicken Kiev botnet » et dont le scénario de l’infection est le suivant :
  2. Récupération des accès administrateur du blog soit par attaque de force brute soit par un malware sur l’ordinateur.
  3. Connexion avec le compte administrateur sur le site par le pirate.
  4. Installation d’une extension ou d’un thème contenant du code malveillant dans un répertoire « /wp-content/plugins/wp-db-ajax-made », « /wp-content/plugins/Akismet3 » (tiens donc ?!?) ou encore « /wp-content/themes/sketch »… etc. je vous fais grâce de toute la liste, elle est très longue et de toute manière sujette à varier. Le cheval de Troie se trouve généralement dans un fichier appelé wp-ajax.php (le nom pouvant là aussi varier les pirates s’adaptant sans cesse). Dans tous les cas, cela ressemble à un fichier WordPress.
  5. Avec le cheval de Troie, le pirate peut alors faire un peu ce qu’il veut comme insérer des scripts pour faire du spam, des liens publicitaires…

J’en profite donc pour rappeler l’importance de ne pas utiliser systématiquement le compte administrateur pour rédiger les articles mais un compte éditeur dont les droits sont limités. Au pire, si ce compte est compromis, le pirate ne sera pas en mesure d’installer de faux thèmes / extensions, contenant des malwares.

Il faut aussi absolument mettre en place des mots de passe suffisamment sécurisés (sans les enregistrer dans le navigateur) sur le(s) compte(s) administrateur(s) et un système de lutte contre les attaques de force brute pour se protéger de ce type d’attaque.

Erreur WordPress « Une autre mise à jour est actuellement en cours. »

WordPress

Utilisateur de WordPress depuis de nombreuses années, je n’ai jamais eu autant d’erreurs pour une mise à jour que depuis la version 4.7.X. Plusieurs tentatives de mise à jour automatique se sont soldées avec une page de mise à jour s’arrêtant en cours sans message d’erreur.

Bien évidemment, un fichier .maintenance bloque le site empêchant de rafraîchir la page pour tenter de continuer la mise à jour. En supprimant le fichier .maintenance, on récupère bien l’accès au site, mais en version de départ. Si on tente de relancer la mise à jour, on obtient le message « Une autre mise à jour est actuellement en cours ». Il ne me semble pas l’avoir croisé auparavant lors des nombreuses mises à jour que j’ai pu faire.

Donc pour s’en sortir, il faut se connecter par FTP et aller dans le répertoire /wp-content/upgrade/ pour y supprimer le répertoire wordpress-x.x.x-yyyyy avant de relancer la mise à jour. Rien de bien grave, mais juste un peu ch…

1 2 3 25