Hier soir, nous avons reçu un e-mail d'un ami nous informant qu'il avait trouvé de nouveaux utilisateurs dotés de privilèges d'administrateur sur certains de ses sites Web WordPress et nous demandait de le vérifier.
Nous avons commencé à enquêter et il semble que les sites Web avaient un point commun : le WP GDPR Compliance .
Il semble qu’il y ait une vulnérabilité dans le plugin et il y a eu une série d’attaques sur des sites utilisant ce plugin.
Il existe différents stades d’infection :
- les utilisateurs administrateurs sont en cours de création
- les fichiers ont été modifiés
- redirection vers un site russe
Nous vous recommandons de vérifier si de nouveaux utilisateurs portant le nom « t3trollherten », « t2trollherten » ou « trollherten » sont récemment apparus sur votre site.
Après avoir créé les utilisateurs, les attaquants ont modifié les fichiers d'autres scripts PHP (plugins). Par exemple, nous avons trouvé des fichiers PHP modifiés dans le dossier du plugin Akismet.
Sur certains sites Web, nous avons trouvé cette URL Pastebin dans wp_options sur siteurl.
https://pastebin.com/raw/V8SVyu2P?À ce stade, le site Web commence à tomber en panne, vous obtenez des erreurs de connexion à la base de données ou votre site Web est redirigé vers un autre site, parfois russe.
Comment se remettre du piratage
S’il n’y a aucun utilisateur, ça devrait aller, votre site Web n’a probablement pas été attaqué.
Pour éviter que cela ne se produise, mettez à jour le plugin WP GDPR Compliance vers la dernière version, les développeurs ont corrigé le problème.
Idéalement, tenez à jour tous les plugins et thèmes WordPress pour éviter d’éventuels problèmes de sécurité comme celui-ci.
Si vous trouvez ces utilisateurs, il est possible qu'ils n'aient pas pu infecter le site, mais vous ne pouvez pas en être sûr, il est donc probablement préférable de restaurer à partir d'une sauvegarde, puis de mettre à jour le plugin WP GDPR Compliance.
De plus, si vous disposez d'un plugin de sécurité comme Defender Pro, analysez votre instance WordPress pour voir si elle est propre.
Si vous ne parvenez pas à restaurer ou si vous n'avez pas de sauvegarde, vous devrez nettoyer le site Web manuellement :
- supprimer les utilisateurs malveillants de la base de données
- supprimez tous les fichiers PHP et JS (ne conservez que wp-content/uploads)
- réinstallez WordPress et les thèmes et plugins que vous utilisez
Si vous souhaitez éviter ces situations, pensez à passer d’un hébergement mutualisé à un hébergement WordPress expert. Aucun de nos d'hébergement WordPress géré n'a été affecté, tous les sites Web concernés étaient sur un hébergement partagé.
Cela ne veut pas dire que c'est à cause de l'hébergement, mais sur l'hébergement géré, vous bénéficiez d'une surveillance proactive, de mises à jour gérées et vous pouvez éviter ce type de situation.
Lorsque nous avons identifié ce qui se passait, nous avons immédiatement mis à jour le plugin sur les sites Web de nos clients contenant la version vulnérable et effectué une analyse automatisée.
Nous avons également des clients qui hébergent chez nous mais nous ne gérons pas leurs sites web, nous n'avons pas accès à leurs instances WordPress.
Nous recherchons donc sur le serveur le dossier wp-gdpr-compliance afin d'identifier les clients ayant utilisé le plugin. Nous leur avons envoyé un e-mail les informant de la faille de sécurité et leur indiquant comment vérifier si leurs sites Web avaient été piratés.
Si vous aussi vous avez besoin d'aide, n'hésitez pas à nous contacter.
Laisser un commentaire