Le FBI a émis récemment un bulletin pour alerter les possesseurs de site Wordpress. Selon l’agence fédérale, des soutiens de Daesh (ISIS, État islamique) s’en prennent actuellement à ces sites en cherchant à exploiter des failles pour les défacer. Les utilisateurs sont donc invités à mettre à jour leurs installations aussi vite que possible.
Des soutiens de Daesh cherchent à profiter de failles dans Wordpress
Les sites Wordpress sont régulièrement la cible d’attaques. Le problème principal ne tient pas vraiment à la sécurité inhérente à cette solution de CMS (système de gestion de contenu), mais plutôt à la gestion des mises à jour. Beaucoup de sites n’utilisent ainsi pas la dernière version de Wordpress alors que, comme bien d’autres services et applications, des failles de sécurité sont régulièrement corrigées. Le problème grandit encore si l’on ajoute les multiples plugins qui peuvent agrémenter un site.
C’est dans ce contexte que le FBI a publié le 7 avril une note à l’attention de tous les possesseurs de sites Wordpress. Le bureau indique ainsi : « Des défacements continus de sites web sont perpétrés par des soutiens d’ISIS. Ces défacements ont affecté les opérations des sites ainsi que les plateformes de communications de nouvelles organisations, d’entités commerciales, d’institutions religieuses, de gouvernements fédéraux et locaux, de gouvernements étrangers et tout un ensemble de sites personnels et internationaux. »
Selon le FBI, ces attaques ne brillent pas par leur haut degré de sophistication, mais elles peuvent avoir un réel impact, surtout dans le cadre professionnel. Il n’y a pas non plus, a priori, d’installation de malwares et seule l’apparence du site est modifiée. Mais comme l’indique l’agence, l’exploitation des failles dans certains plugins peut permettre une élévation des privilèges, donc rien n’empêche que ces derniers soient utilisés pour insérer des scripts malveillants, voler des données ou encore créer des comptes administrateurs qui serviront plus tard.
Vérifier et mettre à jour aussi rapidement que possible
La recommandation est donc simple : vérifier son installation Wordpress, qu’il s’agisse du CMS lui-même ou de ses plugins, et mettre à jour le cas échéant. Le FBI fournit une liste de liens pour contrôler l’arrivée des failles de sécurité, comme l’US-CERT, la base CVE ou encore celle de SecurityFocus. Le site officiel de Wordpress contient également une section dédiée aux mises à jour et patchs de sécurité des plugins. Si le FBI n’en parle pas, il faut également surveiller que vos plugins sont bien encore entretenus, car certains sont tout simplement abandonnés.
Dans tous les cas, la rapidité semble de mise, le nombre d'attaques étant en hausse. Pour autant, le bureau indique qu'elles ne suivent apparemment pas de schéma défini. Les pirates semblent s'en prendre aux sites au petit bonheur la chance, en cherchant simplement lesquels sont vulnérables. Le peu de sophistication des attaques n'empêche pas en effet ceux qui les perpétuent d'utiliser des scanners pour repérer de manière automatisée les sites aux défenses percées.
Mais même si le FBI prend la parole pour un contexte particulier, la sécurité des sites Wordpress reste dans tous les cas un sujet régulier. Il est commun de voir une entreprise avertir d’une situation spécifique, et la conclusion est souvent la même : vérifier les versions installées et mettre à jour. Une problématique accentuée par ceux dont la version de Wordpress est ancienne et qui ne proposent donc pas les mises à jour automatiques.
En outre, Wordpress ne répond pas toujours sur ces problématiques. MalwareBytes avertissait ainsi récemment d’une campagne d’infections de sites dont le point d’entrée était probablement le plugin RevSlider. Nous avions discuté d’ailleurs avec Jérôme Segura qui avait présenté le problème sur le blog de l’entreprise et nous avait confirmé que Wordpress était bel et bien au courant du souci. Malgré plusieurs demandes, ce dernier n’a cependant jamais répondu à nos questions.
