Les sites WordPress utilisant des versions obsolètes de plugins ou de thèmes subissent les attaques d'un nouveau malware Linux. Ce dernier injecte du code Javascript au sein des pages web et redirige les visiteurs vers des domaines malveillants.
Des portes dérobées vers des sites malveillants
La semaine dernière, un rapport de la société de sécurité russe Dr Web a dévoilé l'existence d'un nouveau malware Linux, qui exploite près d'une trentaine de failles présentes dans des plugins et thèmes WordPress. Si ces derniers ne sont pas à jour, du code Javascript est injecté dans le site. Lorsque les visiteurs cliquent sur une page infectée, quelle que soit la zone, ils sont redirigés vers des domaines choisis par les cybercriminels. En tout, plus de 1 300 sites web ont déjà été victimes de ce malware.
Il existerait actuellement deux versions de ce logiciel malveillant, nommées respectivement Linux.BackDoor.WordPressExploit.1 et Linux.BackDoor.WordPressExploit.2. La seconde utilise un domaine et un serveur différents, et vise des extensions additionnelles. Les experts de Dr Web ont également indiqué que les souches incluraient du code destiné à attaquer par force brute les comptes administrateurs. Ce dernier est, pour l'heure, non implémenté, mais la prudence reste de mise.
Les plugins et thèmes à mettre à jour d'urgence
Afin d'éviter d'être infecté par ce nouveau malware, il est impératif de vérifier que vos plugins et thèmes sont bien à jour. Voici les extensions susceptibles d'être attaquées :
- WooCommerce
- WP LiveChat et WP Live Chat Support Plugin
- Page Coming Soon et Mode Maintenance
- Yuzo Related Posts Plugin
- Yellow Pencil : Visual CSS Editor
- Easy SMTP
- WP GDPR Compliance
- Thim Core by ThimPress
- Smart Google Code Inserter
- Total Donations Plugin for WordPress
- Post Custom Templates Lite - WordPress Plugin
- WP Quick Booking Manager by WPProducts
- Facebook Live Chat by Zotabox
- Blog Designer : WordPress Blog Plugin
- Ultimate FAQ (CVE-2019-17232 et CVE-2019-17233)
- WP-Matomo Integration
- ND Shortcodes - Extension WordPress
- Brizy - Page Builder
- FV Flowplayer Video Player - WordPress Plugin
- Simple Fields - Custom Fields Plugin
- Delucks SEO - Extension WordPress
- Poll, Survey, Form & Quiz Maker by Opinion Stage
- Social Metrics Tracker
- WPeMatico
- Rich Reviews by Starfish plugin for WordPress
- Thème Newspaper (CVE-2016-10972)
- Thème WordPress OneTone
- Hybride
Ce n'est malheureusement pas la première ni la dernière fois que le renommé CMS WordPress essuie les attaques de cybercriminels. Pour éviter les déconvenues, il est important de veiller à ce que votre système soit toujours bien à jour.
Si WordPress est incontestablement un des outils de création de site les plus utilisés du web, c'est pour sa simplicité d'utilisation avant tout, mais aussi ses nombreuses options permettant une personnalisation complète du produit. Il peut s'agir à la fois des thèmes proposés par le fournisseur, ou même des différents plugin offrant diversité et praticité, avec la quasi certitude de trouver cet outil supplémentaire permettant de faire passer son site au niveau supérieur. Le problème, en réalité, réside plutôt dans la difficulté de faire un choix parmi le nombre phénoménal de plugin accessibles pour tous les utilisateurs. Alors ici, nous revenons sur les 20 meilleures plugin WordPress à installer sur votre site web, un contenu actualisé pour le mois de février 2024.
Lire la suite
Source : The Hacker News
Rédactrice web le jour, prodige d’Hyrule la nuit, j’aime surfer (sur le web), organiser des combats (Mac vs PC) et hurler (de rire devant des memes de chats joufflus). L’actualité du numérique n’a aucun secret pour moi. Mon hobby favori ? Comme tous les habitants du village de Cocorico, pardi : briser des pots… pour trouver des rubis !
Lire d'autres articles
