L’éditeur Avast alerte les utilisateurs WordPress car ses chercheurs ont remarqué une forte augmentation des malwares dans les sites qui utilisent cet outil et surtout le plugin image et le gestionnaire de mots de passe.
L’histoire commence avec le site du Journal de Poitou-Charentes (image ci-dessous). Plusieurs utilisateurs ont contacté Avast pour l’avertir d’infections suite à la visite de ce site. L’exploitant a quant à lui également contacté l’éditeur pour comprendre la raison du blocage des visiteurs par les programmes d’Avast.
L'équipe de recherche d‘Avast a détecté des infections similaires sur d'autres sites WordPress. « Le Journal de Poitou-Charentes représente juste une partie d'une attaque beaucoup plus grande », explique Jan Sirmer, responsable des laboratoires Avast. « Ces sites compromis font partie d'un réseau qui redirige les utilisateurs vulnérables sur des sites infectés ».
Après un travail en profondeur, il a ainsi pu déterminer que la source de cette infection était un fichier PHP (UPD.PHP) téléchargé à travers une faille de sécurité dans Timthumb, une image resizer utilisée par les développeurs pour créer des thèmes pour des sites WordPress. Il a ainsi estimé qu'un hacker avait pu compromettre les informations de connexion utilisées par les administrateurs de WordPress pour les serveurs d'hébergement FTP avant de télécharger et d'exécuter les fichiers PHP.
L'infection est le travail de cybercriminels utilisant le Black Hole Toolkit, explique le communiqué de l’éditeur, un ensemble d'outils de logiciels malveillants disponibles sur le marché noir. « Thejournal.fr et ses lecteurs n'ont certainement pas été les seules cibles », déclare Jan Sirmer. « Nous avons enregistré 151 000 attaques à l'un des endroits où sont redirigés les utilisateurs. Nous avons également bloqué les redirections de 3 500 sites uniques, du 28 au 31 août dernier – soit les premiers jours où cette infection a fait surface. Au cours du mois de septembre, nous avons bloqué 2 515 sites et je m'attends à des résultats similaires en octobre ».
« WordPress est vulnérable an raison de sa popularité et du grand nombre de versions disponibles » explique Jan Sirmer. Toutefois, celui-ci souligne que ce n‘est pas un problème spécifique à WordPress lui-même, mais le résultat de l’utilisation d'un plugin obsolète et d’un gestionnaire des mots de passe faible par les administrateurs du site. Cet exemple prouve que les serveurs FTP peuvent conduire à des problèmes. « Utiliser une connexion et des mots de passe plus forts, seuls ou avec une authentification à deux facteurs, sont les options que l'administrateur système doit utiliser quand il travaille avec des tiers ».