WordPress Installation
16 mars 2015
Hébergement WordPress
19 mars 2015
Tout montrer

Failles de Sécurité WordPress

Beaucoup de gens connaissent WordPress et l’utilisent quotidiennement pour la gestion de leurs contenus sur leur site web. Mais beaucoup de gens ne connaissent pas les failles de sécurité sur WordPress. Seuls les initiés en ont entendu parlé et savent parer contre ces failles connues de WordPress.

Depuis maintenant 4 ans, les connaisseurs, c’est à dire les webmasters, les développeurs savent qu’il y a des failles de sécurité sur les versions de la branche WordPress 3.X, et surtout 3.9.2

Une faille se trouve dans le parsing des tags HTML des commentaires sur ces versions. Les pirates ont bien sûr déjà mis au point des attaques sur les sites qui ont les commentaires activés et le Core de WordPress non mis à jour.

La preuve encore que se tenir à jour est important, et vous allez comprendre encore mieux après lecture de ce cas.

La faille touche donc les commentaires, et les pirates informatiques mettent au point des phrases malicieuses capables de les exploiter. Le commentaire en question s’active dès votre passage de la souris sur un de ses liens. Une fois survolé, le script s’exécute.

Vous allez me dire que c’est si simple que ça ! Et bien oui, un jeu d’enfant !

Pourquoi me direz vous ?

La réponse est que le script en question est capable de : Ajouter une iframe invisible dans la page, Charger l’éditeur de fichiers sur le plugin MARKDOWN_HASH86d67fa5699ad8207570ec9a4315af2cMARKDOWN_HASH (ce plugin qui est installé par défaut), Modifier le contenu de la textarea, Remplacer le code par une backdoor Cliquer « Envoyer », ce code va :

  • Supprimer son propre commentaire en base de données afin d’effacer les traces,
  • Remplacer le fichier MARKDOWN_HASH5388fff7dc70d83ed9dd5772bd0e5945MARKDOWN_HASH par du vide pour éviter que d’autres hackers ne le hack de nouveau,
  • Ajouter une ligne de code dans MARKDOWN_HASH764b3b0240d173ba6155313ba9095ea9MARKDOWN_HASH et MARKDOWN_HASH86d67fa5699ad8207570ec9a4315af2cMARKDOWN_HASH permettant l’exécution de n’importe quel autre code PHP quand bon lui semble,

Et vive JavaScript ! Je vous rassure, ce n’est pas la faute à ce langage mais surtout à cause de ces hackers « black hat » qui font du mal aux sites internet non mis à jour et qui exploitent depuis l’invention de l’informatique les failles afin de tirer profit des données de votre site web.

 

 

Il y a bien sûr des prérequis qui doivent tous être présents afin que le hack se passe bien pour le hacker, ils sont :

  • Être sous WordPress 3.x,
  • Être connecté en administrateur sur le site au moment de votre visite du commentaire en front-end,
  • Ne pas avoir ajouté la constante DISALLOW_FILE_EDIT ou DISALLOW_FILE_MODS,
  • Avoir le JavaScript activé sur votre navigateur,
  • Avoir le plugin Hello Dolly, hello.php présent même non actif
  • Avoir les droits d’écriture ou de modification sur les fichiers hello.php et wp-config.php*,
  • Avoir la ligne $table_prefix dans wp-config.php.

Attention pour le dernier point, si le fichier de configuration n’a pas été modifié, Hello Dolly l’a peut-être été lui !

SOLUTION

Pour éviter de se faire hacker par cette faille, vous pouvez adopter une ou plusieurs de ces solutions :

  • Être sous WordPress 4.x,
  • Ne pas être connecté en administrateur sur le site au moment de votre visite du commentaire en front-end,
  • Avoir ajouté la constante DISALLOW_FILE_EDIT ou DISALLOW_FILE_MODS sur votre fichier wp-config.php,
  • Avoir le JavaScript désactivé sur votre navigateur,
  • Avoir supprimé le plugin Hello Dolly, hello.php,
  • Interdire l’écriture ou la modification des droits sur hello.php et wp-config.php,

Et vous, êtes-vous en WordPress 4.x ?

ME CONTACTER

Super développement à Julio Potier du Blog que je conseille vivement.

blog_secupress_fr