TOOLinux

Le journal du Libre

Attention, WordPress serait vulnérable aux logiciels malveillants

jeudi 3 novembre 2011

Des chercheurs des laboratoires AVAST ont remarqué une augmentation des malwares au sein des sites WordPress, en raison d’une vulnérabilité dans le plugin image et la gestion des mots de passe.

Au début du mois d‘octobre, plusieurs utilisateurs sont entrés en contact avec les chercheurs d’AVAST via le système de la Communauté IQ parce qu’ils avaient été infectés par le site du Journal de Poitou-Charentes www.thejournal.fr. L‘exploitant du site a quant à lui contacté directement AVAST afin de déterminer la raison du blocage des visiteurs par les programmes antivirus avast !, alors que le site avait été soi-disant vérifié par un scanner externe.

L’équipe de recherche d‘AVAST a détecté des infections similaires sur d’autres sites WordPress. « Le Journal de Poitou-Charentes représente juste une partie d’une attaque beaucoup plus grande », explique Jan Sirmer, responsable des laboratoires AVAST. « Ces sites compromis font partie d’un réseau qui redirige les utilisateurs vulnérables sur des sites infectés. »

Jan Sirmer a travaillé avec le propriétaire du site pour recueillir plus d’informations sur la façon dont il avait pu être compromis et savoir où les usagers vulnérables avaient été redirigés. Il a ainsi pu déterminer que la source de cette infection était un fichier PHP (UPD.PHP) téléchargé à travers une faille de sécurité dans Timthumb, une image resizer utilisée par les développeurs pour créer des thèmes pour des sites WordPress. Il a ainsi estimé qu’un hacker avait pu compromettre les informations de connexion utilisées par les administrateurs de WordPress pour les serveurs d’hébergement FTP avant de télécharger et d’exécuter les fichiers PHP.

L’infection est le travail de cybercriminels utilisant le Black Hole Toolkit, un ensemble d’outils de logiciels malveillants disponibles sur le marché noir.

« WordPress est vulnérable an raison de sa popularité et du grand nombre de versions disponibles » explique Jan Sirmer. Toutefois, celui-ci souligne que ce n‘est pas un problème spécifique à WordPress lui-même, mais le résultat de l’utilisation d’un plugin obsolète et d’un gestionnaire des mots de passe faible par les administrateurs du site. Cet exemple prouve que les serveurs FTP peuvent conduire à des problèmes. « Utiliser une connexion et des mots de passe plus forts, seuls ou avec une authentification à deux facteurs, sont les options que l’administrateur système doit utiliser quand il travaille avec des tiers. »