Attaque massive contre 1,6 million de sites WordPress en cours

wordpress

Les analystes de Wordfence rapportent avoir détecté une vague massive d’attaques au cours des deux derniers jours, provenant de 16 000 adresses IP et ciblant plus de 1,6 million de sites WordPress.

Les acteurs de la menace ciblent quatre plugins WordPress et quinze thèmes Epsilon Framework, dont l’un n’a pas de correctif disponible.

Certains des plugins ciblés ont été corrigés depuis 2018, tandis que d’autres ont vu leurs vulnérabilités corrigées pas plus tard que cette semaine.

Adresses IP lançant les attaques
Adresses IP lançant les attaques
Source : Wordfence

Les plugins concernés et leurs versions sont :

  • Fonctionnalités de publication et de presse
  • Plugin social Kiwi
  • Pinterest Automatique
  • WordPress automatique

Les thèmes du Framework Epsilon ciblés sont :

  • Galbé
  • ActualitésMag
  • Activello
  • Illdy
  • Allégeant
  • Journal X
  • Pixova Lite
  • Éclat
  • MedZone Lite
  • Régina Lite
  • Transcender
  • Affluent
  • Bonkers
  • Antréas
  • NatureMag Lite – Aucun correctif disponible
Le nombre d'attaques a augmenté au cours des deux derniers jours
Le nombre d’attaques a augmenté au cours des deux derniers jours
Source : Wordfence

« Dans la plupart des cas, les attaquants mettent à jour l’option users_can_register sur enabled et définissent l’option default_role sur administrateur, » Wordfence explique.

« Cela permet aux attaquants de s’inscrire sur n’importe quel site en tant qu’administrateur prenant effectivement le contrôle du site. »

Vérifier, mettre à jour, nettoyer

Pour vérifier si votre site a déjà été compromis, vous pouvez examiner tous les comptes d’utilisateurs et rechercher les ajouts malveillants qui devraient être supprimés immédiatement.

Ensuite, passez en revue les paramètres du site sur « http://examplesite[.]com/wp-admin/options-general.php » et faites attention à l’adhésion et au nouveau paramètre de rôle par défaut de l’utilisateur.

Vérification des paramètres sur le site
Vérification des paramètres sur le site
Source : Wordfence

Il est recommandé de mettre à jour vos plugins et thèmes dès que possible, même s’ils ne figurent pas dans la liste ci-dessus. Si vous utilisez NatureMag Lite, pour lequel il n’y a pas de correctif, vous devez le désinstaller immédiatement.

Notez que la mise à jour des plugins n’éliminera pas la menace si votre site a déjà été compromis. Dans ce cas, il est conseillé de suivre les instructions figurant dans guides de nettoyage détaillés premier.

En général, essayez de maintenir le nombre de plugins sur votre site WordPress au minimum absolu nécessaire, car cela réduit considérablement les chances d’être ciblé et piraté en premier lieu.