On sait que WordPress a été écrit en PHP et que ce langage et les API qui lui sont associées, ne brillent pas par leur imperméabilité. Car chaque année nous avons à déplorer des attaques en tous genres, qui réduisent toujours un peu plus la confiance que l’on peut avoir dans ce produit, qui par ailleurs, fonctionnellement, est tout à fait remarquable.

La dernière attaque vient de se produire, détectée par la compagnie Sucuri, qui a exploité une faille dans l’API REST, le protocole qui permet de solliciter un traitement sur le serveur, en passant par les verbes HTTP. Ce qui au demeurant est une excellente chose, tout comme l’usage de JSON le format d’échanges JavaScript, avec lequel il est le plus souvent associé.

L’ennui, c’est que REST permet donc de modifier le contenu des pages hébergées sur les serveurs, ce que n’ont pas manqué de faire de nombreux hackers, en lançant plus de 800,000 attaques en moins de 48 heures, qui témoignaient d’une vingtaine de signatures différentes. Ce qui sous-entend une vingtaine de groupes criminels.

On notera au passage que les hackers ont su bypasser les protections mises en place par WordPress lui-même, mais aussi par les ISP (fournisseurs d‘accès), conscients de l’existence de cette vulnérabilité.

La communauté s’organise

Les attaques ont permis à leurs auteurs de modifier plus d’1,5 million de pages, les pirates se contentant de modifier les titres et d’ajouter leur nom, avec quelques images de leur « cru », ce qui n’a pas été sans conséquences sur le SEO de Google.

Pour s’en convaincre il suffit d’interroger Google avec la chaîne de caractères « by w4l3XzY3 », celui-ci listant une partie des sites qui ont été défacés…

Des milliers de sites victimes de « defacing », mais également porteurs de malwares…

Devant cette nouvelle calamité, dont WordPress se serait bien passée, la communauté s’est rapidement organisée.

La faille a été colmatée par la release 4.7.2 de WordPress, disponible depuis le 26 janvier dernier. Mais bien que WordPress ait averti les webmasters du danger qu’ils courraient, ce qui a été fait avec un temps de retard (pas très résilient !!!), de nombreux administrateurs n’ont pas réagi, de sorte qu’ils ont été les victimes toutes désignées de l’activité des hackers. Et ne peuvent donc s’en prendre qu’à eux-mêmes.

De son côté, Google a également prévenu les webmasters désireux de publier des sites WordPress, du problème de la faille REST et leur a suggéré de passer en 4.7.2 de toute urgence, ce qui a créé une certaine confusion entre le patch à passer et la version nouvelle de WordPress.

Aux dernières nouvelles, les hackers ont passé la vitesse supérieure et ne se contentent plus de « défacer » les sites. Ils en profitent maintenant pour installer des malwares, sur les machines des visiteurs.

Il n’y a donc plus de temps à perdre et les administrateurs DOIVENT passer à 4.7.2. Ca ne leur prendra que quelques minutes… Sinon on va chez Drupal…ou Joomla !!!