Les pirates attaquent les sites Web créés avec WordPress

L’un des administrateurs du site, comme WordPress, a présenté des défaillances dans son fonctionnement et des piratages dans son système, qui ont permis à un groupe de cybercriminels d’accéder à des centaines de pages et de modifier son code pour rediriger les utilisateurs vers des adresses frauduleuses dans le but d’accéder à des données personnelles.

Cette vulnérabilité trouve son origine dans un bug détecté dans les thèmes WordPress Newspaper et Newsmag , qui comptent jusqu'à présent plus de 155 000 téléchargements dans les magasins virtuels officiels. Selon le site « wordfence.com », l'erreur, appelée « CVE-2023-3169 », injecte du code malveillant dans la plateforme virtuelle et contourne la sécurité du site pour lancer sa stratégie de phishing .

Selon les premiers rapports, concernant ce problème, les sites Web commencent à présenter des publicités frauduleuses, comme celles qui mentionnent la page d'assistance informatique , de faux bénéfices provenant de tombolas inexistantes et même des notifications frauduleuses qui mènent à de fausses pages Web.

Les rapports de sécurité affirment même que le code amène les utilisateurs à s'abonner et à accepter des notifications push qui apparaissent directement sur le bureau de l'ordinateur et qui sont destinées à servir de liens directs vers des pages Web moins crédibles.

L'acteur malveillant, baptisé « Balada », n'est pas nouveau et est même traqué par des experts en cybersécurité depuis 2017 . Selon la société de sécurité « Sucuri », ce mauvais élément a endommagé plus d'un million de sites Web depuis qu'il a été signalé et cela seulement au cours des deux derniers mois, entre septembre et octobre 2023 , plus de 23 000 pages Web .

"Septembre a également été un mois très difficile pour des milliers d'utilisateurs de thèmes de journaux ( Wordpress )", a déclaré Denis Sinegubko , chercheur en cybersécurité chez Sucuri. « La campagne d'injection de malware « Balada » a généré une série d'attaques qui ont profité de la vulnérabilité des administrateurs de blogs », a-t-il expliqué.

La méthode par laquelle ce système agit, après avoir injecté le code malveillant , consiste à prendre le contrôle de l'administration du site via l'installation de « portes dérobées », de plugins et l'établissement de profils internes avec des autorisations d'administrateur pour accéder au site Web. De cette façon, vous vous assurez que vous pouvez utiliser la page même si les utilisateurs ne vous accordent pas les autorisations appropriées.

À titre préventif, les administrateurs de tout site Web utilisant WordPress comme plateforme de gestion doivent évaluer la sécurité de leurs pages en analysant les sessions actives et les utilisateurs qui ont actuellement accès aux éléments de modification. Le code de programmation doit également être analysé pour vérifier qu'aucune vulnérabilité active n'est trouvée qui puisse être exploitée par de mauvais acteurs comme « Balada ».

Selon « Sucuri », une autre façon à mettre en pratique pour éviter les cas indésirables d'injection de « Balada » est de mettre à jour les plugins et de s'assurer que les administrateurs restent vigilants face à d'éventuelles infiltrations d'utilisateurs inconnus avec des noms comme « greeceman », qui se terminent par « -mann " ou qui utilisent un email avec un domaine "@mail.com" . Si tel est le cas, cet utilisateur doit être supprimé dès que possible.

De plus, pour éviter de nouveaux cas comme celui-ci, il est préférable de modifier les mots de passe des utilisateurs, ainsi que les identifiants d'accès à l'administration du site et à sa base de données. Dans ces cas-là, il faut également s’assurer que les nouveaux identifiants d’accès sont uniques et sécurisés.

Dans ces situations, vous devez vous assurer que les mots de passe comportent plus de 12 ou 13 caractères, en plus des majuscules, des chiffres et des symboles spéciaux (!"#$%&/).