Le piratage de la version 5.5 de WordPress par le renard anonyme : dois-je m'inquiéter ?

Les dernières mises à jour de WordPress, le 11 août, ont apporté de nombreux changements passionnants au format sur lequel la plupart d'entre nous s'appuient dans leur vie professionnelle quotidienne. Les plugins et les thèmes ayant été mis à jour pour les rendre plus conviviaux, la facilité d'accès pour les utilisateurs de WordPress s'annonçait sous les meilleurs auspices. Mais la nouvelle du hack anonyme de WordPress 5.5 a potentiellement jeté un pavé dans la mare pour beaucoup de ceux qui dépendent de WordPress. Que s'est-il passé et devons-nous nous inquiéter outre mesure ?

Que s'est-il passé ?

L'annonce que des sites WordPress ont été sondés et attaqués cette semaine, selon Defiant, la société à l'origine du pare-feu Wordfence, a naturellement mis en lumière les vulnérabilités de nombreux blogueurs et entreprises de commerce électronique. Mais que s'est-il passé ?

• Une augmentation massive des attaques s'est produite après que des pirates ont trouvé un moyen d'exploiter une vulnérabilité de type "zero-day" dans File Manager (un plugin WordPress populaire installé sur plus de 700 000 sites). Naturellement, cette situation a semé la panique chez de nombreux fournisseurs de sites web.
• La vulnérabilité de type "zero-day" était un téléchargement de fichier non authentifié. Elle permettait à un attaquant de télécharger des fichiers malveillants sur un site utilisant des versions plus anciennes du plugin File Manager (versions 6.8 et inférieures).
• Le pirate a eu accès à un fichier non protégé de son paquetage elFinder.

Comment cela s'est-il produit ?

Actuellement, on ne sait pas exactement comment cela s'est produit, mais les faits sont les suivants :

• Depuis le 1er septembre, les pirates ont commencé à sonder les sites où le plugin File Manager pourrait être installé.
• Lorsqu'une sonde réussissait, les pirates exploitaient la vulnérabilité en téléchargeant un shell web. Celui-ci prenait la forme d'un fichier image sur le serveur de la victime, agissant comme un déguisement.
• Une fois que les attaquants ont accédé au shell web, ils prennent le contrôle du site de la victime et le piègent à l'intérieur d'un botnet pour entreprendre des tâches malveillantes.

Combien d'utilisateurs sont concernés ?

Selon Ram Gall, analyste des menaces chez Defiant, les attaques contre cette vulnérabilité zero-day ont augmenté de façon spectaculaire en l'espace de quelques jours. Au début du mois de septembre, les attaques ont commencé lentement, mais elles se sont progressivement intensifiées tout au long de la semaine. Defiant a enregistré un million d'attaques contre des sites WordPress pour la seule journée du vendredi 4 septembre, et Defiant a bloqué des attaques contre plus de 1,7 million de sites depuis le 1er septembre, ce qui représente plus de la moitié des sites WordPress utilisant le pare-feu web Wordfence. On pense que l'ampleur exacte des attaques est encore plus grande. WordPress est installé sur environ 455 millions de sites, ce qui peut laisser penser que de nombreux sites ont été sondés et piratés au fil du temps.

Que fait-on pour la combattre ?

Bien que cette nouvelle puisse sembler dévastatrice pour ses utilisateurs, l'équipe de développeurs de File Manager a créé et publié un correctif pour la vulnérabilité zero-day dès qu'elle a appris l'existence de ces attaques. Ce correctif a été publié le jour même où le piratage a commencé. Si de nombreux propriétaires de sites ont installé le dernier correctif, beaucoup mettent du temps à se mettre à jour, ce qui peut nuire considérablement à leurs chances de se protéger. Mais comme la lenteur de la mise à jour du dernier correctif est un thème commun, l'équipe de développeurs de WordPress a installé une fonction de mise à jour automatique pour les thèmes et les plugins WordPress dans le cadre de WordPress 5.5. Les propriétaires de sites peuvent désormais paramétrer les plugins pour qu'ils se mettent automatiquement à jour afin d'exécuter la dernière version d'un thème ou d'un plugin.

Y a-t-il quelque chose que je puisse faire si j'ai été piraté ?

Si vous pensez avoir été piraté ou si vous souhaitez renforcer la protection de votre site, vous pouvez prendre les mesures suivantes :

• Mettez à jour WordPress si vous utilisez une version du gestionnaire de fichiers inférieure à 6.9.
• Réinstallez WordPress à partir du menu "Tableau de bord > Mises à jour", car cela nettoiera les fichiers centraux infectés et modifiera tous les mots de passe des utilisateurs et de la base de données de l'administrateur.
• Activez le mode Full WAF sur des applications telles que NinjaFirewall WP Edition (gratuit) et NinjaFirewall WP+ Edition (premium).
• Activez la mise à jour automatique des plugins. Allez dans votre liste de plugins sur le côté droit, et cliquez sur "activer les plugins automatiques". Vous pouvez mettre à jour automatiquement les plugins de votre choix et empêcher certains d'entre eux de se mettre à jour, ce qui peut causer des problèmes. Mais surtout, veillez à mettre à jour automatiquement le plugin antivirus.

Voir notre Les ultimes conseils de maintenance de WordPress que vous ne devriez pas ignorer pour une analyse complète de la maintenance de votre site web WordPress.

Devrais-je éviter WordPress 5.5 ?

Avec tous les problèmes liés aux piratages en général, la plupart d'entre nous hésitent à utiliser WordPress. Pourtant, WordPress est un composant essentiel, en particulier pour ceux qui gèrent une entreprise de commerce électronique ou un blog. Mais la pratique essentielle est de se tenir au courant des derniers développements. Si vous ne gardez pas un œil sur les dernières vulnérabilités, en particulier dans les plugins et les thèmes WordPress, vous pouvez trouver de nombreuses ressources pour vous aider. Il existe par exemple des comptes dédiés aux médias sociaux.

Beaucoup de gens qui se font pirater peuvent se sentir "une fois mordu, deux fois timide". Cependant, WordPress est facile à utiliser et peut aider les gens à maintenir leur site web avec facilité, et la version 5.5. ne déçoit pas. L'éditeur de blocs est facile à utiliser, l'édition d'images en ligne a été rendue plus accessible, le chargement paresseux par défaut des images dans un navigateur est rapide, et les thèmes et sitemaps ont fait de WordPress une expérience complète. Pour ceux qui recherchent une interface utilisateur simple afin de pouvoir maintenir leur site web facilement, WordPress 5.5 est à la hauteur.

Conclusion

Si vous êtes un utilisateur de WordPress et que vous envisagez de quitter le navire, nous ne vous le conseillons pas tout de suite. WordPress 5.5 est un outil incroyablement complet pour le concepteur de site web débutant, qui rend la gestion et la maintenance d'un site web encore plus confortable qu'auparavant. Si vous avez besoin d'une assistance supplémentaire, nous vous suggérons un Plan de gestion WordPress qui comprend l'assistance, la maintenance et la sécurité.