Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Plus de 11 000 sites WordPress bloqués par Google à cause d’un malware

You better... stop !

Plus de 11 000 sites Wordpress bloqués par Google à cause d'un malware

Le 16 décembre 2014 à 15h43

Une vulnérabilité dans un plugin pour Wordpress a permis l’infection de plus de 100 000 sites utilisant cette plateforme. Il existe une méthode pour s’en débarrasser, mais la société Sucuri, qui a fait la découverte, craint maintenant qu’il soit difficile de prévenir tous les utilisateurs concernés.

Plus de 100 000 sites infectés à cause d'une faille

Dans un premier billet publié dimanche, la société Sucuri, spécialisée dans l’aide aux entreprises pour sécuriser leurs serveurs, a décrit un problème touchant plus de 100 000 sites Wordpress. Il était alors suspecté qu’une faille dans le plugin Slider Revolution avait causé l’infection de ces sites par un malware, conduisant Google notamment à bloquer plus de 11 000 noms de domaines durant le week-end.

 

Le malware, baptisé SoakSoak, transforme le site Wordpress en plateforme d’attaque. Il est téléchargé via un code qui se glisse grâce à la faille, depuis « hxxp://soaksoak.ru/xteas/code ». Une fois en place il attend simplement les prochains visiteurs en quête d’autres failles à exploiter. Le problème principal selon Sucuri était alors de prévenir l’ensemble des utilisateurs et de nettoyer les sites infectés.

 

Dans un second billet publié hier soir, la société a confirmé qu’il s’agissait bien d’un plugin Slider Revolution. Plus précisément, une vulnérabilité découverte en septembre et dont Wordpress avait été averti. Problème : il s’agit d’un plugin premium qui n’est pas forcément mis à jour régulièrement. Sucuri ajoute que le plus souvent, ceux qui l’ont ne le savent pas, car le plugin est intégré dans certains thèmes.

 

slider revolution wordpress sucuri

Nettoyer et mettre en place un pare-feu 

Sucuri propose un scanner permettant de détecter gratuitement si un site a été infecté. La société indique à ce sujet : « Nous voyons de nombreuses recommandations en ligne pour remplacer simplement les fichiers swfobject.js et template-loader.php afin de supprimer l’infection. C’est effectivement le cas, mais cela ne règle pas les portes dérobées laissées en place et les points d’entrée initiaux. Le site sera réinfecté rapidement. Si vous êtes affecté par ce problème, attendez-vous à être criblé de portes dérobées et d’infections, vous n’aurez pas juste à nettoyer, vous devrez arrêtez toutes les attaques malveillantes. Vous pouvez arrêter ces attaques via l’utilisation d’un pare-feu, le nôtre ou celui d’un autre […] ».

 

En outre, comme on peut le voir dans les commentaires du second billet, des détenteurs de sites Wordpress rencontrent des difficultés désormais pour faire lever le blocage des noms de domaine par Google. Si tout a été changé et nettoyé, il faudra en effet plusieurs heures avant que Google ne les revérifie.

Le développeur principal de Slider Revolution réagit

Mais il aura fallu attendre cette nuit pour que le développeur du plugin, ThemePunch, réagisse dans les commentaires du second billet de Sucuri, « par souci de transparence ». Il indique en fait que la faille date de février 2014 et qu’elle a bien été corrigée dans une mouture 4.2 sortie peu après. De fait, la version 4.1.1 du plugin et toutes celles sorties avant sont sensibles à l’attaque par le malware.

 

Pourquoi une telle quantité de sites contaminés dans ce cas ? Comme l’indique le développeur, le problème ne vient pas des clients directs du plugin, qui disposent d’un mécanisme automatique de mise à jour. Il confirme ainsi que le souci réside dans les nombreux thèmes payants proposés depuis longtemps et intégrant de vieilles versions de Slider Revolution, comme indiqué précédemment.

 

Le plugin est vendu sur la plateforme Envato, qui avait publié le 5 septembre un billet pour avertir de la situation. Il était alors bien question de la faille et de l’avertissement donné par Sucuri. À ce moment, 338 thèmes sur la plateforme avaient été détectés comme comportant une vieille version du plugin et beaucoup avaient été mis à jour avant d’être réintégrés dans le catalogue. Mais le billet d’Envato renvoie finalement à ce qui reste le problème principal : les dizaines de milliers d’utilisateurs dont les sites sont contaminés ne seront peut-être pas mis au courant du souci de sécurité.

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Une solution simple pour gérer ça.



 Chaque update de WordPress invalide les plugins les plus vieux. Le seul moyen de les réactiver :




  • Prendre la dernière version du plugin (si elle existe et qu’il est maintenu)

  • Modifier les paramètres de compatibilité du plugin à la main, mais à ces risques et périls.

votre avatar







zefling a écrit :



Là où j’ai des comms, c’est du dév perso. Et je me dis heureusement parce que je pense que vu la lourdeur de wordpress, mon serveur ne ferait pas long feu. <img data-src=" />



En tout cas, on peut faire du multi-sites multi-domaines. C’est un truc bien cool de wordpress. <img data-src=" />





Dotclear fait ça aussi je crois. Plus léger que WP et moins usine à gaz aussi. En plus, c’est fançais <img data-src=" />


votre avatar

A priori, cela me semble possible, mais je demande à voir. Si quelqu’un peut compléter mon propos sur ce sujet, il est le bienvenu.

votre avatar

Je suis passé à côté. J’en avais testé quelque un, et c’était mon critère multi-site/multi-domaine. Mais bon, j’y touche plus trop (juste du support) et j’ai pas envie de me plomber dans un autre CMS… Déjà que je n’aime pas ça.

votre avatar

Gné oukil’est l’outil gratuit de Sucuri pour tester ses sites ? Pas trouvé dans l’article ni sur leur billet de blog #findejournée

(Je cherche, promis)



A moins qu’il ne s’agisse d’installer leur plugin ? Oui, j’ai du mal ce soir.

votre avatar







waazdakka a écrit :



Gné oukil’est l’outil gratuit de Sucuri pour tester ses sites ? Pas trouvé dans l’article ni sur leur billet de blog #findejournée

(Je cherche, promis)



A moins qu’il ne s’agisse d’installer leur plugin ? Oui, j’ai du mal ce soir.





Faut aller voir dans leur premier post :http://sitecheck.sucuri.net/


votre avatar

Voui, merci msieur<img data-src=" />

votre avatar

j’ai eu le souci sur un site d’un client gloups! merci OVH qui a tout coupé quand ils ont détecté des trucs pas nets, avec les logs je suis rapidement remonté au plugin fautif, effectivement un plugin intégré dans un thème, donc le client n’a pas pensé à le mettre à jour, un bon nettoyage et une mise à jour plus tard et c’est bon, j’ai vite checké les autres sites créés avec ce thème mais ils n’avaient été touchés, soit qu’ils n’ont pas été testés soit que la version du plugin utilisée était plus récente, MAJ partout du coup



après j’ai trouvé les infos sur le net sur cette faille visiblement connue mais&nbsp;niveau communication Envato n’a pas été au top je trouve, ça aurait mérité un mail aux utilisateurs en septembre quand ils ont vu que certains de leurs thèmes pouvaient être atteints



bon pour moi ça m’a forcé à mettre en place une veille sur les plugins utilisés sur les sites de mes clients, même ceux qui sont “cachés” dans le thème, pas plus mal non plus&nbsp;<img data-src=" />

votre avatar

Ils ont bien informé les clients le 5 septembre via leur blog et par email, personnellement reçu le 17 septembre, avec la liste des produits présentant les-dites failles.



http://marketblog.envato.com/news/plugin-vulnerability/

votre avatar

ah merde, rien eu moi&nbsp;<img data-src=" />&nbsp;j’aurais préféré le savoir en septembre, plutôt que jouer au pompier en novembre

votre avatar

Le gros problème de Wordpress est d’avoir X plugins pas forcément compatibles entre eux, et qui écrasent tes personnalisations lors de mises à jour quasi automatiques.. moralité: beaucoup ne font pas les mises à jours.Ils installent un site qui marche bien le jour X, et donc ne veulent pas que ça change (et marche plus) sans leur permission.



J’attends toujours un vrai système de gestion de galerie photo/media potable.. &nbsp;qui ne te mets pas le souk et qui n’a pas besoin de 15 javascripts/jquery/css…

Essayer d’insérer un vidéo mp4 hébergé sur son propre site, en utilisant un truc propre genre balise &lt;video&gt; html5..

soit ça marche pas, soit le player par défaut de wordpress (qui prend le dessus sur celui du navigateur) entre en conflit avec un plugin de galerie photo…&nbsp;



Enfin bref, c’est un micmac pour arriver à faire une pauvre ligne html5 propre &lt; video&gt;…

votre avatar

Ça pose quand même la question de la sécurité des CMS et plus largement de leur utilisation par des professionnels de l’informatique.

&nbsp;

Ok, on gagne du temps à la création. Le temps, c’est de l’argent.

&nbsp;

Cependant, on y &nbsp;perd à côté niveau compétence de codage, forcément vu qu’au lieu de coder, on utilise l’interface (même s’il faut toujours coder un peu à côté).



On perd aussi niveau optimisation, parce qu’un CMS avec des plugins plus ou moins flous, j’appelle pas ça un facilitateur d’optimisation.



Et le cas qui nous intéresse ici, la sécurité. &nbsp;On a beau dire, mais une fois que le mal est fait… il est fait. Pas de machine arrière, même si le site est remis tout bien tout à neuf. &nbsp;L’image de l’entreprise ou la personne derrière, c’est pas comme l’argent, ça monnaie pas.



Enfin, question compétence de codage, je crois que JQuery a déjà contribué à son extinction&nbsp;<img data-src=" />

votre avatar

Non ça pose la question de la qualité des intervenants et du sérieux des commanditaires toujours prêt à imposer de choix qu’il ne comprenne pas (le nombre de site institutionnel fait avec du WP…) et à tailler dans les budgets.

&nbsp;

J’ai tout aussi peur de la personne qui débarque en bricolant avec des outils qu’elle ne comprend pas, que de celle qui ne jure par ses propres création et va dénigrer et rejeter tout autres technique de travail que les siennes.

Dans les deux cas ça finit souvent en catastrophe.



&nbsp;Dans le cas présent on parle de personnes qui ont du installer des thème sde provenance probablement douteuse et sans doute acheté au rabais, voir téléchargé sur je ne sais quel site (distribuer du gratuit bourré de malware c’est un classique).

Le dev à tout de même l’air d’avoir fait un travail de suivi plutôt correct malgré ses erreurs.

Et pour ce qui est WordPress, Drupal, Joomla et compagnie même avec tout leur défaut il reste infiniment plus éprouvé et sécurisé que de nombreux dev from scratch qui débite des failles veilles comme le monde des qu’on lance le premier scanneur de vulnérabilité. Encore faut il les utiliser convenablement, les tenir à jour et assurer un minimum de suivi….

votre avatar

Clair qu’il faut faire 10 000 manips pour tenter de sécuriser un peu Wordpress …



Le laisser tel quel après l’install, c’est de la pure folie <img data-src=" />

votre avatar







cyp a écrit :



Dans le cas présent on parle de personnes qui ont du installer des thème sde provenance probablement douteuse et sans doute acheté au rabais, voir téléchargé sur je ne sais quel site (distribuer du gratuit bourré de malware c’est un classique).



Non pas forcément, &nbsp;dans mon cas c’est un thème payant (58\() qui intègre ce plugin (lui aussi payant si tu l'as en standalone, 18\)), qui vient d’ici :&nbsphttp://themeforest.net/



Le hic pour mon cas c’est que je n’ai pas reçu l’alerte de l’éditeur du thème concernant la faille sur certaines versions du plugin, sinon j’aurais pu agir avant. Et comme le plugin est installé par le thème il n’y a pas le mécanisme de MAJ auto ni même suggérée, il faut aller dans les paramètres du plugin pour faire une MAJ.


votre avatar

Il est expliqué quelque part la méthode d’exploitation de la faille du plugIn ?



Autant pour moi, c’est expliqué dans leur blog



&nbsp;This type of vulnerability is known as a Local File Inclusion (LFI) attack. The attacker is able to access, review, download a local file on the server. This, in case you’re wondering is a very serious vulnerability that should have been addressed immediately.



&nbsp;

votre avatar

Site clean pour ma part, ce qui me rassure, mais j’ai très peu de plugins et un thème officiel, ce qui limite les risques.

votre avatar

Pareil. En plus je n’autorise pas les commentaires.

votre avatar

11 000 noms de domaine pour 100 000 sites, soit en moyenne 9 sites par nom de domaine ?

votre avatar

Pourtant je fais pas mal de sites sous WP, je ne connaissais même pas ce plugin (en même temps, je ne mets que du gratuit ou je développe moi-même… celui-ci est payant).

C’est dommage de le connaitre dans ces circonstances. Et je comprends la réaction d’expliquer que ça a été corrigé, mais que cela ne vient plus d’eux si le risque existe encore.



Wordpress devient un peu le souk concernant tous les ajouts. Si l’outil en lui même est souvent mis à jour, il existe trop de plugin ou thème qui ne suivent pas. Et surtout beaucoup utilisent WP sans lancer les maj.

votre avatar

&nbsp;Google a décidément beaucoup de mal avec la “press”.



Auraient-ils mal digéré les révélations de Snowden diffusées par la presse?

votre avatar







Constance a écrit :



11 000 noms de domaine pour 100 000 sites, soit en moyenne 9 sites par nom de domaine ?





Peut-être en&nbsp;sous-domaines… WP donne la possibilité de faire du multisite, ce qui est parfois pratique (j’en ai quelques uns ainsi), du coup, tu n’installes qu’un plugin pour tous tes sites (en sous-domaines mais aussi en multi domaines).


votre avatar

Avec 23 comms par mois je n’ai pas à me plaindre. <img data-src=" /> Et avoir Askimet+Wordfence me permet de ne pas avoir à trop me soucier du spam.

votre avatar

j’ai entendu parlé de ce genre de “plugin” (si ca s’appelle ainsi) mais je n’ai jamais vraiment réalisé la puissance de la chose. en gros, tu as une install WP, avec les plugins, les thèmes et ce plugin te permet d’attribuer les plugins/thèmes aux différents sites/domaines ?

je veux bien un lien si tu as ca, car ca serait assez pratique en effet, une seule update à faire/backup/gestion etc.

votre avatar

Là où j’ai des comms, c’est du dév perso. Et je me dis heureusement parce que je pense que vu la lourdeur de wordpress, mon serveur ne ferait pas long feu. <img data-src=" />



En tout cas, on peut faire du multi-sites multi-domaines. C’est un truc bien cool de wordpress. <img data-src=" />

votre avatar

En fait, c’est même intégré dans WP, mais pas activé par défaut…

Ca mériterait bien un post dans le forum, mais pas sûr d’avoir le temps…

Sinon, tu as ça&nbsphttp://wordpress-spirit.com/tutoriels-wordpress/parametrer-wordpress-3-pour-une-… ça explique assez bien, et il y a eu peu de modif depuis.



Et dans l’idée, c’est tout à fait ça. Cela crée une base réseau qui gère les différents sites créés, tu peux installer des thèmes et extensions que tu actives à tous ou à l’unité, tu peux récupérer les utilisateurs d’un site pour un autre, tu administres rapidement…&nbsp;

votre avatar

Bon, ça passe toujours… <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



Je n’emploie qu’un thème gratuit pioché dans les thèmes proposés par WP, ça limite les dégâts…

votre avatar

merci l’ami ! je vais voir ca, gain de temps énorme si ca fonctionne ! (surtout avec la partie multidomaine)

votre avatar

Et surtout, sur wordpress.com, &nbsp;je me demande s’il y a des sites touchées et hébergés chez eux…

votre avatar







mjklex a écrit :



Peut-être en&nbsp;sous-domaines…



Forcément en sous-domaine. <img data-src=" />


votre avatar

Pour ajouter un peu d’eau au moulin.

Sur certaines mise à jour de thèmes où le “Revolution slider” est intégré, il ne suffit pas de mettre à jour le theme et basta.

Cela peut-être un peu moins simple sans être non plus compliqué.

Si tout se passe sans accroche cela ne devrait pas vous prendre plus de 10mn.

&nbsp;

Après la mise à jour du théme, le nouveau slider est intégré mais pas forcement installé et activé. Il suffit d’aller voir dans vos plugins le numéro de version installé.

Si votre maj de slider n’est pas installée, il vous faudra :

&nbsp;




  • faire un export et sauvegarder dans un dossier tous les sliders que vous aurez crée pour votre site (voir bouton export dans l’admin du slider).

    &nbsp;

  • Vous retournez sur la page plugin et vous désinstallez et supprimez complètement le slider revolution.

    &nbsp;

  • Ensuite, si le theme est bien foutu, il vous informera que le slider revolution n’est pas installé et qu’il suffira de cliquer sur le bouton correspondant pour l’installer. ( ATTENTION ! Si vous utilisez un Child Theme, il vous faudra au préalable rebasculer sur le Theme Maitre, sinon vous aurez une erreur qui vous informera que l’installation du slider a échouée).

    Si votre theme ne vous donne pas le bouton pour remettre le slider, il vous suffira de le faire à la mano via votre FTP en prenant soin de bien prendre la dernière version du plugin dans votre maj de theme.

    &nbsp;

  • Vérifiez que votre version du slider revolution que vous venez d’installer est bien la bonne.

    &nbsp;

    -Ensuite, il vous suffit de réactiver le plugin et de rebasculer sur votre Child theme si vous en utilisiez un.

    &nbsp;

    -En dernier, ré-ouvrez votre admin de slider et ré importez vos sliders préalablement sauvegardés. (il se peut qu’il y ait quelques differences de réglages qui apparaissent, mais c’est juste dû à l’évolution technique du slider, par exmemple la barre de défilement qui refait son apparition alors que vous l’aviez squizzée, mais rien de méchant saud si bien sur vous avez loupé toutes les maj depuis le début ^^, mais le gros de votre slider sera dans votre sauvegarde).

Plus de 11 000 sites WordPress bloqués par Google à cause d’un malware

  • Plus de 100 000 sites infectés à cause d'une faille

  • Nettoyer et mettre en place un pare-feu 

  • Le développeur principal de Slider Revolution réagit

Fermer