WordPress et Poulet de Kiev

Il y a peu, une nouvelle utilisatrice dans un forum de support que j’essayais d’aider à faire face à un piratage. Alors que je lui suggérais de regarder le contenu d’un répertoire nommé « Akismet3 » paraissant suspect, entreprit, avec une certaine arrogance, de m’expliquer que « Askimet » (avec cette faute) était une extension WordPress (mince alors ! Moi qui ai découvert WordPress il y a plus de 10 ans j’aurais manqué ça !?!?), qui au premier abord ne lui paraît pas suspect.

J’avoue que j’adoooore, les utilisateurs qui viennent demander de l’aide sur un forum, et viennent expliquer aux professionnels (possédant quand même un minimum de compétences) qui prennent le temps leur répondre, et qui n’hésitent pas à leur donner des leçons. Cela me fait d’ailleurs souvent penser à cette citation de Georges Courteline : « Passer pour un idiot aux yeux d’un imbécile est une volupté de fin gourmet ».

  1. Bref, cela m’a donné l’occasion d’essayer d’en savoir un peu plus sur ce type d’attaque qui apparemment est connue sous le nom de « Chicken Kiev botnet » et dont le scénario de l’infection est le suivant :
  2. Récupération des accès administrateur du blog soit par attaque de force brute soit par un malware sur l’ordinateur.
  3. Connexion avec le compte administrateur sur le site par le pirate.
  4. Installation d’une extension ou d’un thème contenant du code malveillant dans un répertoire « /wp-content/plugins/wp-db-ajax-made », « /wp-content/plugins/Akismet3 » (tiens donc ?!?) ou encore « /wp-content/themes/sketch »… etc. je vous fais grâce de toute la liste, elle est très longue et de toute manière sujette à varier. Le cheval de Troie se trouve généralement dans un fichier appelé wp-ajax.php (le nom pouvant là aussi varier les pirates s’adaptant sans cesse). Dans tous les cas, cela ressemble à un fichier WordPress.
  5. Avec le cheval de Troie, le pirate peut alors faire un peu ce qu’il veut comme insérer des scripts pour faire du spam, des liens publicitaires…

J’en profite donc pour rappeler l’importance de ne pas utiliser systématiquement le compte administrateur pour rédiger les articles mais un compte éditeur dont les droits sont limités. Au pire, si ce compte est compromis, le pirate ne sera pas en mesure d’installer de faux thèmes / extensions, contenant des malwares.

Il faut aussi absolument mettre en place des mots de passe suffisamment sécurisés (sans les enregistrer dans le navigateur) sur le(s) compte(s) administrateur(s) et un système de lutte contre les attaques de force brute pour se protéger de ce type d’attaque.

Erreur WordPress « Une autre mise à jour est actuellement en cours. »

WordPress

Utilisateur de WordPress depuis de nombreuses années, je n’ai jamais eu autant d’erreurs pour une mise à jour que depuis la version 4.7.X. Plusieurs tentatives de mise à jour automatique se sont soldées avec une page de mise à jour s’arrêtant en cours sans message d’erreur.

Bien évidemment, un fichier .maintenance bloque le site empêchant de rafraîchir la page pour tenter de continuer la mise à jour. En supprimant le fichier .maintenance, on récupère bien l’accès au site, mais en version de départ. Si on tente de relancer la mise à jour, on obtient le message « Une autre mise à jour est actuellement en cours ». Il ne me semble pas l’avoir croisé auparavant lors des nombreuses mises à jour que j’ai pu faire.

Donc pour s’en sortir, il faut se connecter par FTP et aller dans le répertoire /wp-content/upgrade/ pour y supprimer le répertoire wordpress-x.x.x-yyyyy avant de relancer la mise à jour. Rien de bien grave, mais juste un peu ch…

Mise à jour de sécurité WordPress 4.3

WordPress

Bonjour,

Hier après-midi, une mise à jour de sécurité de WordPress a été publiée (2 failles de vulnérabilités cross-site scripting & une élévation de privilèges), merci de vous assurer de la mise à jour de votre site WordPress 4.3.0 vers la version 4.3.1.

En principe sauf désactivation de votre part la mise à jour devrait se faire de manière autonome. Si ce n’est pas le cas, n’hésitez pas à la lancer vous-même.

Plus d’information sur le sujet dans communiqué suivant (en anglais) : https://wordpress.org/news/2015/09/wordpress-4-3-1/

Merci de relayer cette information largement pour la sécurité de tous.

1 2 3 4 16