Logo Ya-graphic : Création de boutique en ligne et référencement Google
Nous sommes à votre service pour vous proposer le meilleur service de référencement Google et de création de site e-commerce. Depuis 2008 nous apportons satisfaction à nos clients, qu'ils soient de France ou d'ailleurs.
3 av Adrien Mazet, Rés La Carraire, bât c - n°36, Miramas, FR
(+33) 06.52.64.70.04
contact@ya-graphic.com
Suivez YA-GRAPHIC

WordPress : des données d’authentification volées à l’insu des utilisateurs

WordPress : des données d’authentification volées à l’insu des utilisateurs

WordPress est un CMS populaire et sa grande base d’utilisateurs en fait une cible immanquable pour des milliers de pirates. Il y a quelques semaines des analystes ont découvert une campagne de piratage : des données d’authentification d’utilisateurs ont été dérobées depuis la page de connexion du CMS. Par défaut l’accès à cette page de connexion se fait soit depuis l’URL “mondomaine.com/wp-login.php” soit depuis l’URL “mondomaine.com/wp-admin”.

C’est la société Zscaler, fournisseur de SaaS – Security-as-a-Service, en anglais – qui a détecté la vulnérabilité. Sameer Patil et Deepen Desaideux, deux analystes de la société, expliquent dans un billet illustré comment le piratage des pages de login s’est produit. Ce qui reste encore inconnu, notent-ils, c’est la méthode qui a permis au malware de se faufiler en “bonne” place dans le site.

Vol d’identifiant et de mot de passe

Les sites WordPress piratés ouvrent une “porte dérobée” – backdoor – au moment où les utilisateurs se connectent à leur compte. D’après Zscaler les identifiants sont encodés et transférés au site pirate par une requête GET. Aujourd’hui on sait qu’un seul site pirate a été identifié – capture d’écran ci-dessous. Tous les identifiants et les mots de passe des sites compromis y sont encodés en base64, transférés et collectés.

Le vol des données d'authentification dans WordPress

Zscaler montre où sont collectées les données d’authentification des utilisateurs de WordPress quand ils se connectent à leur compte.

Au total la société a détecté une liste de 18 sites WordPress piratés, ça pourrait être plus. D’après Sameer les versions du CMS touchées par cette campagne de piratage sont les versions 4.1.5 et 4.2.2. Malgré la mise à jour de sécurité, en date du 7 mai dernier, le malware aurait persisté. La raison est simple, quand c’est seulement le dernier nombre de la version qui change, WordPress ne met pas à jour l’ensemble des fichiers du CMS mais seulement une petite partie.

Les utilisateurs qui se connectent à ces sites WordPress piratés fournissent à leur insu leurs données d’authentification depuis la page de connexion infectée par un code Javascript hébergé chez le site pirate. Le code Javascript est intégré dans le fichier “wp.js” comme indiqué dans la capture d’écran du code.

Les utilisateurs sont inconscients du fait que leur identifiant et leur mot de passe sont divulgués sur un site pirate distant. Leur connexion au site WordPress s’effectue le plus normalement possible puisqu’en apparence leur page de connexion n’est pas modifiée.

D’après Michael Sutton, Vice Président à la recherche en matière de sécurité chez Zscaler, une injection de code dans le site oblige le navigateur à télécharger un malware – programme malveillant – sur la machine utilisateur pour lancer ensuite un botnet – robot Internet. Le processus est invisible et est difficilement détectable.

Comment se protéger ?

Zscaler comme WordPress, Sucuri et d’autres sociétés recommandent aux administrateurs de sites WordPress de mettre à jour rapidement la version, les extensions et le thème de leur CMS. Il est recommandé aux utilisateurs de ne pas utiliser les mêmes données d’authentification dans plusieurs sites, qu’ils soient sous WordPress ou pas. Les pirates pourraient en effet réutiliser ces données ailleurs que dans des sites WordPress, notamment dans les boîtes de messagerie et les réseaux sociaux. Je recommande un scan régulier des fichiers WordPress, ça permet de détecter d’éventuels programmes malveillants.

Informez-vous sur WordPress, voici les derniers articles :

Joomla et Drupal largement dominés par le CMS WordPress
Sécurité WordPress : une check-list pour sécuriser son site
WordPress : la sauvegarde de base de données est-elle vraiment utile ?
“référencement wordpress”, une suggestion de recherche Google expliquée

Yassine A.

Professionnel du SEO et du Webmarketing depuis plus de 10 ans. J'apporte PLUS de visibilité et PLUS de ventes aux entreprises, agences, startups et micro-entrepreneurs que j'accompagne. Certifié Google. Mes spécialités sont le référencement naturel (SEO) et la création de site E-commerce.