Alertes aux attaques par défacement de sites WordPress

Christophe Lagane,

Les défacements qui affectent tous types de sites sous Wordpress seraient revendiqués par les terroristes de l’Etat Islamique. Ce dont doute le FBI.

Le FBI a émis une alerte, mardi 7 avril, sur des attaques par « défacement » de sites orchestrés  avec l’outil de gestion de contenus (CMS) Open Source WordPress. Des attaques revendiquées par l’organisation terroriste Etat Islamique en Irak et au Levant ou encore Etat Islamique en Irak et al-Sham (ISIS en anglais). Le défacement consiste à dégrader des pages web ou bien en changer complètement le contenu.

De faux terroristes

Si le bureau d’enquête américain ne désigne pas expressément la liste des médias victimes, il ne semble pas que les plates-formes visées aient une quelconque portée idéologique. « Les défacements ont affecté les opérations et les plates-formes de communication de sites web d’organes de presse, d’entités commerciales, d’institutions religieuses, d’État, de collectivités locales et fédérales, de gouvernements étrangers, et une variété d’autres sites Web nationaux et internationaux », indique le FBI dans son alerte.

Mais selon le Bureau, les attaquants ne seraient pas membres de l’Etat Islamique et chercheraient surtout à profiter de la popularité de l’organisation terroriste pour gagner en notoriété. Car ils utilisent des méthodes de piratage relativement peu sophistiquées dont l’exploit passerait inaperçu sans la triste popularité du mouvement islamique. Les pirates s’appuient en effet sur des vulnérabilités qui affectent des plugins de la plate-forme de gestion de contenus qui n’ont pas été corrigés. C’est par ce biais qu’en décembre 2014, 100 000 sites avaient été victimes d’une campagne d’infection par le malware SoakSoak ou encore que l’extension MailPoet transformait, en juillet 2014, WordPress en machine à spam.

Du défacement au malware

Dans le cas du jour, les attaquants exploitent les failles de plugin du CMS pour pénétrer les sites web et mener des opérations de dégradation. Un moindre mal qui perturbe néanmoins le fonctionnement des plates-formes et coûte du temps et de l’argent, tant par la nécessité de réhabiliter les services que par les pertes de revenus que leurs indisponibilités entraînent. Surtout, l’exploitation de ces failles permet potentiellement aux attaquants d’obtenir des droits administrateur et d’installer malwares et autres backdoor qui seront utilisés ultérieurement, ou encore de voler des données sur le serveur.

Pour palier ces éventualités, le FBI recommande donc aux administrateurs de sites WordPress de s’assurer de la mise à jour de la plate-forme et ses plugins, de vérifier ses éventuelles vulnérabilités à l’aide d’outils dédiés (comme ceux de SecurityFocus) et de suivre plus généralement les conseils de sécurité de WordPress.

Lire également
La faille Ghost dans Linux s’étend à PHP et WordPress
Ghost : une faille dans glibc menace les serveurs Linux
Heartbleed : un an après, la faille est tombée dans l’oubli

crédit photo @ GlebStock – Shutterstock