Thèmes WordPress infectés, toujours disponibles sur WordPress.org – Sécurité

Publier sur :

WordPress, étant l’un des CMS les plus utilisé de part le monde, semble être la cible favorite des hackers.

Les analystes de Comodo Security ont découvert quelques points communs importants au sein de certains thèmes infectés.

INFECTION DE FICHIERS AVEC DES IMAGES

Le premier ensemble de fichiers trompeurs qu’ils ont identifiés était dans le code de certaines images hautement obscurci. Notamment, dans certains scripts PHP, où ils ont remarqué des ensembles de fichiers présentant de fausses images qui constituaient une réelle menace.

Normalement, un utilisateur pourrait penser que son antivirus Web détecterait ce code, mais malheureusement, de nombreuses analyses d’antivirus n’effectuent pas d’analyse d’extension de fichier.

Voici une liste des thèmes WordPress infectés que l’équipe de Comodo Security ont découverts:

  • https://themes.svn.wordpress.org/delish/1.2/social.png
  • https://themes.svn.wordpress.org/delish/1.3/social.png
  • https://themes.svn.wordpress.org/delish/1.3.1/social.png
  • https://themes.svn.wordpress.org/delish/1.3.2/social.png
  • https://themes.svn.wordpress.org/delish/1.3.3/social.png
  • https://themes.svn.wordpress.org/neworld/1.0.0.0.0.65565544254/images/social.png
  • https://themes.svn.wordpress.org/elgrande-shared-on-wplocker-com/1.1.0/images/social.png

Après avoir analysé le fichier de contenu spécifique « social.png » au sein de ces thèmes, l’équipe de Comodo Security découvert un code PHP de 30kb très obscur.

VULNÉRABILITÉ CONTINUE

Après un examen plus approfondi de ce code PHP, Comodo Security a identifié que les hackers avait inclus une clé publique RSA qui, selon de nombreux utilisateurs infectés, ce fichier malveillant commun connu sous le nom de « social.png » est en cours depuis plus de 3 ans et est toujours proposé dans le dépôt wordpress.org.

De nombreux sites infectés par ce code malveillant ont provoqué:

  • IP du serveur à mettre en liste noire;
  • Site à détruire lors de la tentative de suppression des fichiers;
  • Première page pour afficher une page blanche.

Et vous l’avez deviné, les pirates utilisent les sites hébergés, listés ci-dessus, pour afficher des publicités malveillantes et écumeuses. En poursuivant leur recherche, ils ont découvert que quelqu’un continu de fournir une ancienne version masquée de ce malware, avec différentes variantes dans le code PHP.

CONCLUSION

Bien que ce type d’attaque ne soit pas commun en raison de sa complexité, il reste très efficace puisqu’il a ciblé des thèmes WordPress couramment utilisés. Son efficacité réside également dans son approche multicouche qui utilise le masquage, le cryptage, de multiples domaines et d’autres formes d’attaques, ce qui lui permet de devenir de plus en plus difficile à détecter grâce à ces techniques avancées qui dissimulent leur véritable objectif.

Pour les webmasteurs et les organisations, le traitement de ce niveau de sophistication nécessite une approche à plusieurs facettes. La Team Comodo conseil donc:

  • Utilisez une pré-modération plus compliquée des plugins et des thèmes sur les portails populaires tels que wordpress.org.
  • Avant d’implémenter des thèmes et des plugins, scannez-les avec un scanner AV fiable, comme Virus Total. Cela aidera à identifier tout code malveillant.
  • Sauvegardez votre site Web avant d’implémenter de nouveaux éléments et de nouveaux code.

En fin de compte, le meilleur moyen d’atténuer ce type d’infection est de choisir judicieusement tout code tiers. En outre, disposer de connaissances complètes en matière de cybersécurité reste essentiel pour la protection des sites Internet et des utilisateurs. Avoir des analystes de sécurité comme une ressource pour inspecter et étudier tout le code serait idéal. Pour se faire, Comodo propose une analyse de sécurité pour moins d’une tasse de café par jour.

Souce: comodo.com

N’hésitez pas à aimer et à partager ce post.

Inscrivez-vous et recevez toutes l'actualités de notre site.

Soyez le premier à commenter