Une vulnérabilité dans un plugin pour Wordpress a permis l’infection de plus de 100 000 sites utilisant cette plateforme. Il existe une méthode pour s’en débarrasser, mais la société Sucuri, qui a fait la découverte, craint maintenant qu’il soit difficile de prévenir tous les utilisateurs concernés.
Plus de 100 000 sites infectés à cause d'une faille
Dans un premier billet publié dimanche, la société Sucuri, spécialisée dans l’aide aux entreprises pour sécuriser leurs serveurs, a décrit un problème touchant plus de 100 000 sites Wordpress. Il était alors suspecté qu’une faille dans le plugin Slider Revolution avait causé l’infection de ces sites par un malware, conduisant Google notamment à bloquer plus de 11 000 noms de domaines durant le week-end.
Le malware, baptisé SoakSoak, transforme le site Wordpress en plateforme d’attaque. Il est téléchargé via un code qui se glisse grâce à la faille, depuis « hxxp://soaksoak.ru/xteas/code ». Une fois en place il attend simplement les prochains visiteurs en quête d’autres failles à exploiter. Le problème principal selon Sucuri était alors de prévenir l’ensemble des utilisateurs et de nettoyer les sites infectés.
Dans un second billet publié hier soir, la société a confirmé qu’il s’agissait bien d’un plugin Slider Revolution. Plus précisément, une vulnérabilité découverte en septembre et dont Wordpress avait été averti. Problème : il s’agit d’un plugin premium qui n’est pas forcément mis à jour régulièrement. Sucuri ajoute que le plus souvent, ceux qui l’ont ne le savent pas, car le plugin est intégré dans certains thèmes.
Nettoyer et mettre en place un pare-feu
Sucuri propose un scanner permettant de détecter gratuitement si un site a été infecté. La société indique à ce sujet : « Nous voyons de nombreuses recommandations en ligne pour remplacer simplement les fichiers swfobject.js et template-loader.php afin de supprimer l’infection. C’est effectivement le cas, mais cela ne règle pas les portes dérobées laissées en place et les points d’entrée initiaux. Le site sera réinfecté rapidement. Si vous êtes affecté par ce problème, attendez-vous à être criblé de portes dérobées et d’infections, vous n’aurez pas juste à nettoyer, vous devrez arrêtez toutes les attaques malveillantes. Vous pouvez arrêter ces attaques via l’utilisation d’un pare-feu, le nôtre ou celui d’un autre […] ».
En outre, comme on peut le voir dans les commentaires du second billet, des détenteurs de sites Wordpress rencontrent des difficultés désormais pour faire lever le blocage des noms de domaine par Google. Si tout a été changé et nettoyé, il faudra en effet plusieurs heures avant que Google ne les revérifie.
Le développeur principal de Slider Revolution réagit
Mais il aura fallu attendre cette nuit pour que le développeur du plugin, ThemePunch, réagisse dans les commentaires du second billet de Sucuri, « par souci de transparence ». Il indique en fait que la faille date de février 2014 et qu’elle a bien été corrigée dans une mouture 4.2 sortie peu après. De fait, la version 4.1.1 du plugin et toutes celles sorties avant sont sensibles à l’attaque par le malware.
Pourquoi une telle quantité de sites contaminés dans ce cas ? Comme l’indique le développeur, le problème ne vient pas des clients directs du plugin, qui disposent d’un mécanisme automatique de mise à jour. Il confirme ainsi que le souci réside dans les nombreux thèmes payants proposés depuis longtemps et intégrant de vieilles versions de Slider Revolution, comme indiqué précédemment.
Le plugin est vendu sur la plateforme Envato, qui avait publié le 5 septembre un billet pour avertir de la situation. Il était alors bien question de la faille et de l’avertissement donné par Sucuri. À ce moment, 338 thèmes sur la plateforme avaient été détectés comme comportant une vieille version du plugin et beaucoup avaient été mis à jour avant d’être réintégrés dans le catalogue. Mais le billet d’Envato renvoie finalement à ce qui reste le problème principal : les dizaines de milliers d’utilisateurs dont les sites sont contaminés ne seront peut-être pas mis au courant du souci de sécurité.
Commentaires (31)
#1
Site clean pour ma part, ce qui me rassure, mais j’ai très peu de plugins et un thème officiel, ce qui limite les risques.
#2
Pareil. En plus je n’autorise pas les commentaires.
#3
11 000 noms de domaine pour 100 000 sites, soit en moyenne 9 sites par nom de domaine ?
#4
Pourtant je fais pas mal de sites sous WP, je ne connaissais même pas ce plugin (en même temps, je ne mets que du gratuit ou je développe moi-même… celui-ci est payant).
C’est dommage de le connaitre dans ces circonstances. Et je comprends la réaction d’expliquer que ça a été corrigé, mais que cela ne vient plus d’eux si le risque existe encore.
Wordpress devient un peu le souk concernant tous les ajouts. Si l’outil en lui même est souvent mis à jour, il existe trop de plugin ou thème qui ne suivent pas. Et surtout beaucoup utilisent WP sans lancer les maj.
#5
Google a décidément beaucoup de mal avec la “press”.
Auraient-ils mal digéré les révélations de Snowden diffusées par la presse?
#6
#7
Avec 2⁄3 comms par mois je n’ai pas à me plaindre.
" /> Et avoir Askimet+Wordfence me permet de ne pas avoir à trop me soucier du spam.
#8
j’ai entendu parlé de ce genre de “plugin” (si ca s’appelle ainsi) mais je n’ai jamais vraiment réalisé la puissance de la chose. en gros, tu as une install WP, avec les plugins, les thèmes et ce plugin te permet d’attribuer les plugins/thèmes aux différents sites/domaines ?
je veux bien un lien si tu as ca, car ca serait assez pratique en effet, une seule update à faire/backup/gestion etc.
#9
Là où j’ai des comms, c’est du dév perso. Et je me dis heureusement parce que je pense que vu la lourdeur de wordpress, mon serveur ne ferait pas long feu.
" />
" />
En tout cas, on peut faire du multi-sites multi-domaines. C’est un truc bien cool de wordpress.
#10
En fait, c’est même intégré dans WP, mais pas activé par défaut…
Ca mériterait bien un post dans le forum, mais pas sûr d’avoir le temps…
Sinon, tu as ça http://wordpress-spirit.com/tutoriels-wordpress/parametrer-wordpress-3-pour-une-… ça explique assez bien, et il y a eu peu de modif depuis.
Et dans l’idée, c’est tout à fait ça. Cela crée une base réseau qui gère les différents sites créés, tu peux installer des thèmes et extensions que tu actives à tous ou à l’unité, tu peux récupérer les utilisateurs d’un site pour un autre, tu administres rapidement…
#11
Bon, ça passe toujours…
" />
" />
" />
" />
" />
Je n’emploie qu’un thème gratuit pioché dans les thèmes proposés par WP, ça limite les dégâts…
#12
merci l’ami ! je vais voir ca, gain de temps énorme si ca fonctionne ! (surtout avec la partie multidomaine)
#13
Et surtout, sur wordpress.com, je me demande s’il y a des sites touchées et hébergés chez eux…
#14
#15
Une solution simple pour gérer ça.
Chaque update de WordPress invalide les plugins les plus vieux. Le seul moyen de les réactiver :
#16
#17
A priori, cela me semble possible, mais je demande à voir. Si quelqu’un peut compléter mon propos sur ce sujet, il est le bienvenu.
#18
Je suis passé à côté. J’en avais testé quelque un, et c’était mon critère multi-site/multi-domaine. Mais bon, j’y touche plus trop (juste du support) et j’ai pas envie de me plomber dans un autre CMS… Déjà que je n’aime pas ça.
#19
Gné oukil’est l’outil gratuit de Sucuri pour tester ses sites ? Pas trouvé dans l’article ni sur leur billet de blog #findejournée
(Je cherche, promis)
A moins qu’il ne s’agisse d’installer leur plugin ? Oui, j’ai du mal ce soir.
#20
#21
Voui, merci msieur
" />
#22
j’ai eu le souci sur un site d’un client gloups! merci OVH qui a tout coupé quand ils ont détecté des trucs pas nets, avec les logs je suis rapidement remonté au plugin fautif, effectivement un plugin intégré dans un thème, donc le client n’a pas pensé à le mettre à jour, un bon nettoyage et une mise à jour plus tard et c’est bon, j’ai vite checké les autres sites créés avec ce thème mais ils n’avaient été touchés, soit qu’ils n’ont pas été testés soit que la version du plugin utilisée était plus récente, MAJ partout du coup
" />
après j’ai trouvé les infos sur le net sur cette faille visiblement connue mais niveau communication Envato n’a pas été au top je trouve, ça aurait mérité un mail aux utilisateurs en septembre quand ils ont vu que certains de leurs thèmes pouvaient être atteints
bon pour moi ça m’a forcé à mettre en place une veille sur les plugins utilisés sur les sites de mes clients, même ceux qui sont “cachés” dans le thème, pas plus mal non plus
#23
Ils ont bien informé les clients le 5 septembre via leur blog et par email, personnellement reçu le 17 septembre, avec la liste des produits présentant les-dites failles.
http://marketblog.envato.com/news/plugin-vulnerability/
#24
ah merde, rien eu moi 
" /> j’aurais préféré le savoir en septembre, plutôt que jouer au pompier en novembre
#25
Le gros problème de Wordpress est d’avoir X plugins pas forcément compatibles entre eux, et qui écrasent tes personnalisations lors de mises à jour quasi automatiques.. moralité: beaucoup ne font pas les mises à jours.Ils installent un site qui marche bien le jour X, et donc ne veulent pas que ça change (et marche plus) sans leur permission.
J’attends toujours un vrai système de gestion de galerie photo/media potable.. qui ne te mets pas le souk et qui n’a pas besoin de 15 javascripts/jquery/css…
Essayer d’insérer un vidéo mp4 hébergé sur son propre site, en utilisant un truc propre genre balise <video> html5..
soit ça marche pas, soit le player par défaut de wordpress (qui prend le dessus sur celui du navigateur) entre en conflit avec un plugin de galerie photo…
Enfin bref, c’est un micmac pour arriver à faire une pauvre ligne html5 propre < video>…
#26
Ça pose quand même la question de la sécurité des CMS et plus largement de leur utilisation par des professionnels de l’informatique.
" />
Ok, on gagne du temps à la création. Le temps, c’est de l’argent.
Cependant, on y perd à côté niveau compétence de codage, forcément vu qu’au lieu de coder, on utilise l’interface (même s’il faut toujours coder un peu à côté).
On perd aussi niveau optimisation, parce qu’un CMS avec des plugins plus ou moins flous, j’appelle pas ça un facilitateur d’optimisation.
Et le cas qui nous intéresse ici, la sécurité. On a beau dire, mais une fois que le mal est fait… il est fait. Pas de machine arrière, même si le site est remis tout bien tout à neuf. L’image de l’entreprise ou la personne derrière, c’est pas comme l’argent, ça monnaie pas.
Enfin, question compétence de codage, je crois que JQuery a déjà contribué à son extinction
#27
Non ça pose la question de la qualité des intervenants et du sérieux des commanditaires toujours prêt à imposer de choix qu’il ne comprenne pas (le nombre de site institutionnel fait avec du WP…) et à tailler dans les budgets.
J’ai tout aussi peur de la personne qui débarque en bricolant avec des outils qu’elle ne comprend pas, que de celle qui ne jure par ses propres création et va dénigrer et rejeter tout autres technique de travail que les siennes.
Dans les deux cas ça finit souvent en catastrophe.
Dans le cas présent on parle de personnes qui ont du installer des thème sde provenance probablement douteuse et sans doute acheté au rabais, voir téléchargé sur je ne sais quel site (distribuer du gratuit bourré de malware c’est un classique).
Le dev à tout de même l’air d’avoir fait un travail de suivi plutôt correct malgré ses erreurs.
Et pour ce qui est WordPress, Drupal, Joomla et compagnie même avec tout leur défaut il reste infiniment plus éprouvé et sécurisé que de nombreux dev from scratch qui débite des failles veilles comme le monde des qu’on lance le premier scanneur de vulnérabilité. Encore faut il les utiliser convenablement, les tenir à jour et assurer un minimum de suivi….
#28
Clair qu’il faut faire 10 000 manips pour tenter de sécuriser un peu Wordpress …
" />
Le laisser tel quel après l’install, c’est de la pure folie
#29
#30
Il est expliqué quelque part la méthode d’exploitation de la faille du plugIn ?
Autant pour moi, c’est expliqué dans leur blog
This type of vulnerability is known as a Local File Inclusion (LFI) attack. The attacker is able to access, review, download a local file on the server. This, in case you’re wondering is a very serious vulnerability that should have been addressed immediately.
#31
Pour ajouter un peu d’eau au moulin.
Sur certaines mise à jour de thèmes où le “Revolution slider” est intégré, il ne suffit pas de mettre à jour le theme et basta.
Cela peut-être un peu moins simple sans être non plus compliqué.
Si tout se passe sans accroche cela ne devrait pas vous prendre plus de 10mn.
Après la mise à jour du théme, le nouveau slider est intégré mais pas forcement installé et activé. Il suffit d’aller voir dans vos plugins le numéro de version installé.
Si votre maj de slider n’est pas installée, il vous faudra :
Si votre theme ne vous donne pas le bouton pour remettre le slider, il vous suffira de le faire à la mano via votre FTP en prenant soin de bien prendre la dernière version du plugin dans votre maj de theme.
-Ensuite, il vous suffit de réactiver le plugin et de rebasculer sur votre Child theme si vous en utilisiez un.
-En dernier, ré-ouvrez votre admin de slider et ré importez vos sliders préalablement sauvegardés. (il se peut qu’il y ait quelques differences de réglages qui apparaissent, mais c’est juste dû à l’évolution technique du slider, par exmemple la barre de défilement qui refait son apparition alors que vous l’aviez squizzée, mais rien de méchant saud si bien sur vous avez loupé toutes les maj depuis le début ^^, mais le gros de votre slider sera dans votre sauvegarde).