100 000 blogs Wordpress affectés d'un malware via un plugin vulnérable

Une nouvelle vague d'attaques cible les sites basés sur Wordpress. Le malware se serait propagé via un plugin premium non sécurisé.

Ce weekend, les experts du cabinet de sécurité Sucuri expliquaient avoir repéré une vaste campagne d'attaques ciblant les blogs basés sur Wordpress. Cette vague est baptisée SoakSoak puisque la première redirection effectuée par l'un des malwares injectés pointait vers le domaine soaksoak.ru. Plus de 100 000 sites auraient été affectés en quelques heures. C'est le plugin RevSlider qui constituerait la principale faille.

Développé par ThemePunch, RevSlider propose de glisser-déposer facilement des images afin de générer des diaporamas. Toutefois, il ne suffit pas de le mettre à jour ou de le désinstaller. Il faut encore savoir qu'il est présent sur son site : certains thèmes premium développés pour Wordpress encapsulent le plugin.

Sucuri explique que ThemePunch a été informé de cette vulnérabilité au sein de son plugin. L'éditeur a ensuite déployé un correctif sans pour autant avertir les utilisateurs. Les thèmes qui l'incluent n'ont pas tous été mis à jour. Cette faille permettait à un hackeur de récupérer le fichier wp-config.php, qui stocke le nom et le mot de passe de la base de données du site Internet.

Cette fois, des malwares sont directement injectés au sein des images du site, d'autres procèdent à la création de nouveaux administrateurs afin d'obtenir des contrôles plus poussés sur l'architecture du blog. Google bloquerait actuellement l'accès à 11 000 de ces sites affectés.

Précédemment, Sucuri avait repéré des vulnérabilités au sein de plugins particulièrement populaires, notamment All in One SEO Pack, MailPoet Newsletters, WPTouch ou encore Disqus, qui comptent plusieurs millions de téléchargements.

Retrouvez davantage d'informations sur cette page.