Des chercheurs en cybersécurité ont révélé une grave vulnérabilité sur les sites WordPress, liée à une porte dérobée cachée dans le répertoire ‘mu-plugins’. Ce type de plugins, appelés must-use, s’active automatiquement sur toutes les installations de WordPress et n’apparaît pas dans la liste habituelle des plugins, ce qui en fait une cible attrayante pour les attaquants.
Que faire pour l’éviter
Le script PHP malveillant, découvert par la société de sécurité web Sucuri, agit comme un chargeur qui obtient un payload distant et le stocke dans la base de données de WordPress. Ce payload permet l’exécution de code PHP à distance, facilitant un accès persistant pour les attaquants, qui peuvent gérer des fichiers et réinstaller l’infection si elle est supprimée.
Le malware injecte un utilisateur administrateur caché nommé ‘officialwp’, permettant aux attaquants de contrôler le site et d’effectuer des actions malveillantes sans que les autres administrateurs en aient connaissance. De plus, le code malveillant a la capacité de changer les mots de passe des comptes administratifs à une valeur par défaut, bloquant l’accès aux autres administrateurs et garantissant un contrôle total du site.
La menace est amplifiée par la capacité des malwares à voler des données et à rediriger les visiteurs vers des sites frauduleux, ce qui a un impact significatif sur la sécurité du web. Selon les experts, cette porte dérobée permet aux attaquants d’effectuer une variété d’actions, allant de l’installation de malwares supplémentaires à la défiguration du site.
Pour atténuer ces risques, les propriétaires de sites doivent mettre à jour régulièrement WordPress, les thèmes et les plugins, utiliser l’authentification à deux facteurs et auditer régulièrement toutes les sections du site, y compris les fichiers de thèmes et de plugins. Maintenir la sécurité est crucial pour prévenir les attaques qui pourraient compromettre l’intégrité et la confiance du site web.