Les chercheurs en cybersécurité de Jetpack (un outil de sécurité et d'optimisation spécifique à WordPress) ont découvert qu'un acteur malveillant a compromis AccessPress - un éditeur de thèmes et de modules complémentaires pour webmasters.
AccessPress a jusqu'à présent mis à disposition 40 thèmes et 53 plugins. Tous les thèmes gratuits ont été compromis, de sorte qu'une fois installés, ils permettent aux cybercriminels les contrôlant de modifier totalement le site web ciblé et de récupérer ses bases de données. Les chercheurs n'ont pas encore pu tester les thèmes e-commerce et, de ce fait, ne se prononcent pas sur leur vulnérabilité. Le rapport indique également que le code malveillant exploité permet de couvrir les traces des hackers avec un succès relatif. La seule façon de confirmer ou d’infirmer qu’un site WordPress a été compromis est d'installer puis d’activer une solution de surveillance de l'intégrité des fichiers, indique Jetpack.
- Meilleurs logiciels de création de sites web : tous les outils en ligne pour vous lancer
- Voici les meilleurs plugins WordPress de 2022
- Pour aller plus loin : optez pour les meilleurs fournisseurs de messagerie professionnelle | meilleurs logiciels de montage vidéo | meilleurs logiciels gratuits de retouche photo
Comment vérifier l’intégrité de votre site web ?
Jusqu'à présent, les chercheurs ont constaté que cette porte dérobée (backdoor) redirige vers des pages web brouillonnes hébergeant divers logiciels malveillants et techniques d’escroquerie en ligne. Une campagne de niveau amateur qui laisse à penser que ses auteurs initiaux ont déjà quitté le projet - en prenant soin de vendre au préalable l’accès à des tiers, depuis le dark web.
Selon BleepingComputer, 360 000 sites Web utilisent les modules complémentaires et les thèmes d'AccessPress. JetPack a découvert la menace en septembre 2021, tandis qu'AccessPress les a retirés de sa boutique le 15 octobre. Aujourd’hui, l’éditeur a déployé une nouvelle version, propre, de tous les plugins concernés.
Toutefois, si votre site a déjà été compromis, la simple installation de la dernière version ne supprimera pas la porte dérobée. Elle ne fera que prévenir les menaces futures. Pour l'instant, BleepingComputer assure que la seule façon de nettoyer un site efficacement est de migrer vers un autre thème.
Pour savoir si votre site a été compromis, vous pouvez suivre les instructions de Jetpack publiées ici, instructions incluant également les versions de thèmes et plugins infectés ainsi que celles corrigées.
“Si vous avez installé des thèmes ou des plugins directement à partir d'AccessPress Themes ou de tout autre endroit que WordPress.org, vous devez immédiatement effectuer une mise à niveau vers une version sûre comme indiqué dans nos tableaux. Si aucune version sûre n'est disponible, remplacez-la par la dernière version de WordPress.org.
Veuillez noter que cela ne supprime pas la porte dérobée de votre système, vous devez donc réinstaller une version propre de WordPress pour annuler les modifications des fichiers de base effectuées pendant l'installation de la porte dérobée.
Si vous avez un thème ou un plugin payant de AccessPress Themes/Access Keys, nous vous conseillons de contacter leur support pour obtenir de l'aide.
Nous vous recommandons vivement de mettre en place un plan de sécurité pour votre site, comprenant une analyse des fichiers malveillants et des sauvegardes. Jetpack Security est une excellente option de sécurité WordPress pour assurer la sécurité de votre site et de vos visiteurs. Jetpack Scan a détecté toutes les variantes de cette porte dérobée et du dropper depuis le 30 septembre.”
Via BleepingComputer
