WordPress et Poulet de Kiev

Il y a peu, une nouvelle utilisatrice dans un forum de support que j’essayais d’aider à faire face à un piratage. Alors que je lui suggérais de regarder le contenu d’un répertoire nommé « Akismet3 » paraissant suspect, entreprit, avec une certaine arrogance, de m’expliquer que « Askimet » (avec cette faute) était une extension WordPress (mince alors ! Moi qui ai découvert WordPress il y a plus de 10 ans j’aurais manqué ça !?!?), qui au premier abord ne lui paraît pas suspect.

J’avoue que j’adoooore, les utilisateurs qui viennent demander de l’aide sur un forum, et viennent expliquer aux professionnels (possédant quand même un minimum de compétences) qui prennent le temps leur répondre, et qui n’hésitent pas à leur donner des leçons. Cela me fait d’ailleurs souvent penser à cette citation de Georges Courteline : « Passer pour un idiot aux yeux d’un imbécile est une volupté de fin gourmet ».

  1. Bref, cela m’a donné l’occasion d’essayer d’en savoir un peu plus sur ce type d’attaque qui apparemment est connue sous le nom de « Chicken Kiev botnet » et dont le scénario de l’infection est le suivant :
  2. Récupération des accès administrateur du blog soit par attaque de force brute soit par un malware sur l’ordinateur.
  3. Connexion avec le compte administrateur sur le site par le pirate.
  4. Installation d’une extension ou d’un thème contenant du code malveillant dans un répertoire « /wp-content/plugins/wp-db-ajax-made », « /wp-content/plugins/Akismet3 » (tiens donc ?!?) ou encore « /wp-content/themes/sketch »… etc. je vous fais grâce de toute la liste, elle est très longue et de toute manière sujette à varier. Le cheval de Troie se trouve généralement dans un fichier appelé wp-ajax.php (le nom pouvant là aussi varier les pirates s’adaptant sans cesse). Dans tous les cas, cela ressemble à un fichier WordPress.
  5. Avec le cheval de Troie, le pirate peut alors faire un peu ce qu’il veut comme insérer des scripts pour faire du spam, des liens publicitaires…

J’en profite donc pour rappeler l’importance de ne pas utiliser systématiquement le compte administrateur pour rédiger les articles mais un compte éditeur dont les droits sont limités. Au pire, si ce compte est compromis, le pirate ne sera pas en mesure d’installer de faux thèmes / extensions, contenant des malwares.

Il faut aussi absolument mettre en place des mots de passe suffisamment sécurisés (sans les enregistrer dans le navigateur) sur le(s) compte(s) administrateur(s) et un système de lutte contre les attaques de force brute pour se protéger de ce type d’attaque.

Erreur WordPress « Une autre mise à jour est actuellement en cours. »

WordPress

Utilisateur de WordPress depuis de nombreuses années, je n’ai jamais eu autant d’erreurs pour une mise à jour que depuis la version 4.7.X. Plusieurs tentatives de mise à jour automatique se sont soldées avec une page de mise à jour s’arrêtant en cours sans message d’erreur.

Bien évidemment, un fichier .maintenance bloque le site empêchant de rafraîchir la page pour tenter de continuer la mise à jour. En supprimant le fichier .maintenance, on récupère bien l’accès au site, mais en version de départ. Si on tente de relancer la mise à jour, on obtient le message « Une autre mise à jour est actuellement en cours ». Il ne me semble pas l’avoir croisé auparavant lors des nombreuses mises à jour que j’ai pu faire.

Donc pour s’en sortir, il faut se connecter par FTP et aller dans le répertoire /wp-content/upgrade/ pour y supprimer le répertoire wordpress-x.x.x-yyyyy avant de relancer la mise à jour. Rien de bien grave, mais juste un peu ch…

De la sécurité des extensions selon WordPress

WordPress

Encore un coup de gueule, j’aimerais bien de temps en temps remplir un peu plus souvent les autres catégories que celle-là sous peine finalement de passer pour un éternel râleur (même si je le suis quand même un peu).

Depuis quelque temps sur ce site présentait un défaut, le texte des articles, ne s’affichait plus, ce qui sur le principe ne facilite pas la lecture. Je décidai donc de prendre le problème à bras le corps, prodiguant à moi-même les (bons) conseils que je donne aux autres sur le forum de support francophone WordPress. J’identifie assez rapidement l’extension à l’origine du problème et là, je me rends compte, par hasard, d’une petite subtilité.

Dans la page de gestion des extensions, au niveau de l’extension en question, je n’ai pas la mention « Afficher les détails » mais « Aller sur le site de l’extension » qui pointe sur une page 404. Pour ceux qui ne le sauraient, « Afficher les détails », permet, comme son nom l’indique d’aller sur le dépôt officiel WordPress des extensions pour obtenir des informations. Logiquement, lorsque vous achetez une extension sur un site quelconque, comme elle n’est pas dans le dépôt officiel WordPress, on vous propose d’« Aller sur le site de l’extension ». Sauf que… Toutes mes extensions proviennent du dépôt officiel WordPress, je n’en prends pas ailleurs. Vous commencez à voir où je veux en venir…

Donc en clair, on retire du site WordPress une extension – généralement il faut une bonne raison comme une faille de sécurité non corrigée et après vérification c’est bien le cas – vous n’êtes pas informé du retrait. Pire que cela, son retrait du dépôt ne lève aucune alarme d’aucune sorte et passe même inaperçue puisque cela apparaît simplement comme une extension externe au dépôt.

On nous rebat les oreilles – ce que je fais d’ailleurs moi-même – sur la sécurité des extensions et thèmes, qu’il faut les choisir avec attention, ne pas les prendre n’importe où et surtout les mettre à jour. Et les développeurs WordPress, pourtant à la pointe de la sécurité, virent discrètement des extensions avec des vulnérabilités sans même informer des risques les utilisateurs qui l’utilisaient. D’un point de vue sécurité, oui, ça me fait vraiment râler, j’aurais bien aimé le découvrir autrement, un mail par exemple. Le dépôt WordPress est capable de quantifier le nombre d’utilisateurs utilisant une extension, est aussi capable de pousser une mise à jour de faille de sécurité sur une extension largement utilisées mais est incapable de signaler le retrait d’une extension aux utilisateurs chez qui elle est installée !

Donc, pour conclure, afin de maintenir votre la sécurité sur votre site, ne choisir que les extensions du dépôt officiel de WordPress n’est pas suffisant. Il vous faut les inspecter une à une régulièrement pour rechercher la disparition de la mention « Afficher les détails ». Vous voilà averti.

1 2 3 4 26