© WordPress
© WordPress

Un nouveau malware sème la zizanie sur les sites WordPress. Signalée par la société Dr Web, la souche exploite une vingtaine de failles présentes dans les plugins et thèmes installés sur le fameux CMS. Si ce n'est pas déjà fait, une mise à jour des applications obsolètes est plus que recommandée.

Les sites WordPress utilisant des versions obsolètes de plugins ou de thèmes subissent les attaques d'un nouveau malware Linux. Ce dernier injecte du code Javascript au sein des pages web et redirige les visiteurs vers des domaines malveillants.

Des portes dérobées vers des sites malveillants

La semaine dernière, un rapport de la société de sécurité russe Dr Web a dévoilé l'existence d'un nouveau malware Linux, qui exploite près d'une trentaine de failles présentes dans des plugins et thèmes WordPress. Si ces derniers ne sont pas à jour, du code Javascript est injecté dans le site. Lorsque les visiteurs cliquent sur une page infectée, quelle que soit la zone, ils sont redirigés vers des domaines choisis par les cybercriminels. En tout, plus de 1 300 sites web ont déjà été victimes de ce malware.

Il existerait actuellement deux versions de ce logiciel malveillant, nommées respectivement Linux.BackDoor.WordPressExploit.1 et Linux.BackDoor.WordPressExploit.2. La seconde utilise un domaine et un serveur différents, et vise des extensions additionnelles. Les experts de Dr Web ont également indiqué que les souches incluraient du code destiné à attaquer par force brute les comptes administrateurs. Ce dernier est, pour l'heure, non implémenté, mais la prudence reste de mise.

Les plugins et thèmes à mettre à jour d'urgence

Afin d'éviter d'être infecté par ce nouveau malware, il est impératif de vérifier que vos plugins et thèmes sont bien à jour. Voici les extensions susceptibles d'être attaquées :

  • WooCommerce
  • WP LiveChat et WP Live Chat Support Plugin
  • Page Coming Soon et Mode Maintenance
  • Yuzo Related Posts Plugin
  • Yellow Pencil : Visual CSS Editor
  • Easy SMTP
  • WP GDPR Compliance
  • Thim Core by ThimPress
  • Smart Google Code Inserter
  • Total Donations Plugin for WordPress
  • Post Custom Templates Lite - WordPress Plugin
  • WP Quick Booking Manager by WPProducts
  • Facebook Live Chat by Zotabox
  • Blog Designer : WordPress Blog Plugin
  • Ultimate FAQ (CVE-2019-17232 et CVE-2019-17233)
  • WP-Matomo Integration
  • ND Shortcodes - Extension WordPress
  • Brizy - Page Builder
  • FV Flowplayer Video Player - WordPress Plugin
  • Simple Fields - Custom Fields Plugin
  • Delucks SEO - Extension WordPress
  • Poll, Survey, Form & Quiz Maker by Opinion Stage
  • Social Metrics Tracker
  • WPeMatico
  • Rich Reviews by Starfish plugin for WordPress
  • Thème Newspaper (CVE-2016-10972)
  • Thème WordPress OneTone
  • Hybride

Ce n'est malheureusement pas la première ni la dernière fois que le renommé CMS WordPress essuie les attaques de cybercriminels. Pour éviter les déconvenues, il est important de veiller à ce que votre système soit toujours bien à jour.

WordPress : le top 20 des meilleurs plugins en 2024
WordPress : le top 20 des meilleurs plugins en 2024
Si WordPress est incontestablement un des website builders les plus utilisés du web, c'est pour sa simplicité d'utilisation avant tout, mais aussi ses nombreuses options permettant une personnalisation complète du produit. Il peut s'agir à la fois des thèmes proposés par le fournisseur, ou même des différents plugin offrant diversité et praticité, avec la quasi certitude de trouver cet outil supplémentaire permettant de faire passer son site au niveau supérieur. Le problème, en réalité, réside plutôt dans la difficulté de faire un choix parmi le nombre phénoménal de plugin accessibles pour tous les utilisateurs. Alors ici, nous revenons sur les 20 meilleures plugin WordPress à installer sur votre site web, un contenu actualisé en 2024.

Source : The Hacker News