WordPress et Poulet de Kiev

Il y a peu, une nouvelle utilisatrice dans un forum de support que j’essayais d’aider à faire face à un piratage. Alors que je lui suggérais de regarder le contenu d’un répertoire nommé « Akismet3 » paraissant suspect, entreprit, avec une certaine arrogance, de m’expliquer que « Askimet » (avec cette faute) était une extension WordPress (mince alors ! Moi qui ai découvert WordPress il y a plus de 10 ans j’aurais manqué ça !?!?), qui au premier abord ne lui paraît pas suspect.

J’avoue que j’adoooore, les utilisateurs qui viennent demander de l’aide sur un forum, et viennent expliquer aux professionnels (possédant quand même un minimum de compétences) qui prennent le temps leur répondre, et qui n’hésitent pas à leur donner des leçons. Cela me fait d’ailleurs souvent penser à cette citation de Georges Courteline : « Passer pour un idiot aux yeux d’un imbécile est une volupté de fin gourmet ».

1. Bref, cela m’a donné l’occasion d’essayer d’en savoir un peu plus sur ce type d’attaque qui apparemment est connue sous le nom de « Chicken Kiev botnet » et dont le scénario de l’infection est le suivant :
2. Récupération des accès administrateur du blog soit par attaque de force brute soit par un malware sur l’ordinateur.
3. Connexion avec le compte administrateur sur le site par le pirate.
4. Installation d’une extension ou d’un thème contenant du code malveillant dans un répertoire « /wp-content/plugins/wp-db-ajax-made », « /wp-content/plugins/Akismet3 » (tiens donc ?!?) ou encore « /wp-content/themes/sketch »… etc. je vous fais grâce de toute la liste, elle est très longue et de toute manière sujette à varier. Le cheval de Troie se trouve généralement dans un fichier appelé wp-ajax.php (le nom pouvant là aussi varier les pirates s’adaptant sans cesse). Dans tous les cas, cela ressemble à un fichier WordPress.
5. Avec le cheval de Troie, le pirate peut alors faire un peu ce qu’il veut comme insérer des scripts pour faire du spam, des liens publicitaires…

J’en profite donc pour rappeler l’importance de ne pas utiliser systématiquement le compte administrateur pour rédiger les articles mais un compte éditeur dont les droits sont limités. Au pire, si ce compte est compromis, le pirate ne sera pas en mesure d’installer de faux thèmes / extensions, contenant des malwares.

Il faut aussi absolument mettre en place des mots de passe suffisamment sécurisés (sans les enregistrer dans le navigateur) sur le(s) compte(s) administrateur(s) et un système de lutte contre les attaques de force brute pour se protéger de ce type d’attaque.