Les blogs Wordpress victimes d'une vague de piratage : comment s'en protéger ?

De nombreux hébergeurs à travers le monde signalent depuis plusieurs jours de vigoureuses attaques, de type « brute force », sur les blogs Wordpress qu'ils hébergent. Plus de 90 000 IP qui appartiendraient à un réseau de PC zombies (botnet) cherchent en effet à « casser » les mots de passe des comptes « admin » pour s'y infiltrer. Il est néanmoins simple de se protéger de l'attaque.

Par défaut, lors de l'installation d'un blog Wordpress sur un serveur, le système propose le login « admin » pour le compte administrateur de base. C'est ce fameux compte au nom si générique qui est, depuis la fin de la semaine dernière, au cœur d'une attaque de force brute de grande envergure à travers le Web.

The Verge signalait dès samedi l'attaque, après des alertes lancées par les hébergeurs CloudFlare et HostGator : le premier précise à The Next Web avoir bloqué plus de 60 000 requêtes anormales en moins d'une heure, tandis que le second évoque « une crise importante ciblant un grand nombre de blogs Wordpress à travers le Web. »

Concrètement, des pirates exploiteraient un botnet, soit un réseau de PC zombies contaminés par un malware, dans le but d'identifier les blogs Wordpress dont le compte administrateur de base est nommé « admin ». A partir du moment où ce fait est établi, une procédure visant à « casser » le mot de passe via la « force brute » est engagée, c'est-à-dire que des milliers de mots de passe sont essayés dans le but de trouver le bon et d'accéder au panel de contrôle du blog pour y récolter des informations et compromettre l'installation en y installant une « backdoor », qui permet ensuite aux pirates de visiter le blog à loisir, même après un changement de mot de passe.

Comment se protéger ?

Sont donc visés les possesseurs d'un blog Wordpress dont le login du compte administrateur est « admin » et dont le mot de passe est suffisamment léger pour être cassé par la force brute. Il est donc nécessaire, pour se protéger de l'attaque, d'opter pour un mot de passe complexe, construit à l'aide de chiffres, de caractères spéciaux et de lettres qui n'ont pas de sens littéral - plus le mot de passe est long et compliqué et plus il sera difficile à casser via une méthode « brute force ». Evitez les mots du dictionnaire, même inversés.

L'autre étape est bien évidemment de changer le login Wordpress : il est possible de procéder de différentes manières : on peut créer un nouveau compte utilisateur, lui accorder les pouvoirs d'administrateur, passer sur ce dernier et supprimer, ensuite, le compte admin.

L'autre solution, destinée aux utilisateurs avertis, est de passer par le gestionnaire de base de données, comme PhpMyAdmin, pour modifier le login directement dans la BDD du blog. Il faut alors se rendre dans la table « wp_admin » - sachant que le préfixe « wp_ » peut varier selon ce qui a été décidé lors de l'installation du blog - puis choisir « modifier » au début de la ligne associée au compte « admin ». Puis, dans la page suivante, changer « admin » dans la ligne « user_login » par le nouvel identifiant. Il suffit ensuite de se reconnecter sur le panel de gestion pour en voir l'effet immédiat. A noter que cette modification n'affecte que l'identifiant nécessaire pour se connecter, et pas l'url qui permet d'accéder à la liste des publications du rédacteur - de type www.nomdublog.com/author/admin/. Cet élément est géré par la ligne « user_nicename », qu'il est possible de modifier pour effacer toute trace du compte « admin », mais ce changement peut nuire au référencement de la page.

Enfin, pour les blogs qui auraient potentiellement pu succomber à l'attaque, une vérification des fichiers peut s'avérer nécessaire pour s'assurer qu'aucun malware n'a été installé entre la période de vulnérabilité et les mesures prises. Pour ce faire, rapatrier les fichiers en local et effectuer un scan à l'aide d'un antivirus peut être un bon début.