Une procédure complète est disponible pour savoir si votre site est affecté ou non.
Des chercheurs de Jetpack donnent l’alerte
C’est une nouvelle dont se passeraient certainement l’intégralité des utilisatrices et utilisateurs de WordPress. Le service, qui héberge près de quatre sites sur dix dans le monde, a subi une attaque de masse du fait de thèmes et plugins corrompus. Le cœur du problème comprend une backdoor PHP ajoutée à 53 plugins et à 40 thèmes. Elle permet à des pirates du Web de prendre le contrôle des sites sur lesquels ces thèmes et plugins sont installés.
Plus en détail, un code malveillant intégré aux thèmes et plugins en question fait que, dès que l’un d’entre eux est ajouté à un site, un nouveau fichier malveillant « initial.php » s’installe automatiquement au sein du fichier « functions.php ». Celui-ci comprend une charge utile encodée en base64 et un code malveillant encoquillé nommé « ./wp-includes/vars.php ». Ce code malveillant, qui permet de compléter l’installation du backdoor, décode également la charge utile et l’intègre dans le fichier « vars.php ». Cela a pour conséquence de donner aux pirates un accès complet au site web.
Proposés par AccessPress, les thèmes et plugins incriminés sont employés sur près de 360 000 sites actifs. Et si l’enquête menée par les chercheurs de Sucuri est toujours en cours, l’accès aux sites web pourrait être notamment mis en vente sur le dark web. Toujours selon Sucuri, le backdoor doit servir à permettre la redirection des visiteurs des sites infectés vers d’autres sites malveillants.
Comment savoir si votre site est affecté ?
Les chercheurs de Jetpack ont constaté dès septembre 2021 que tous les thèmes et plugins gratuits d’AccessPress étaient compromis, les payants l’étant potentiellement aussi, mais faute de tests à ce moment-là, cela n’a pas été confirmé. Retirés du catalogue d’AccessPress le 15 octobre 2021, les plugins (à l’époque) compromis ne sont de nouveau disponibles que depuis le 17 janvier dernier. Pour ce qui est des thèmes, ils ne sont toujours pas nettoyés, et donc pas prêts à être réemployés.
Pour savoir si vous êtes concernés avec votre site internet, sachez tout d’abord que mettre à jour, remplacer ou même supprimer les plugins et thèmes compromis au sein de votre propre site ne permet pas d’éliminer les codes malveillants qui peuvent y être implantés. Il vous faut scanner votre site à la recherche de code compromis, notamment le fichier « wp-includes/vars.php » (lignes 146 à 158) et rechercher une fonction « wp_is_mobile_fix » comportant du code obscurci. Si elle apparaît, c’est que votre site est compromis.
Interrogez le système de fichiers pour les fonctions « wp_is_mobile_fix » et « wp-theme-connect » pour rechercher de potentiels fichiers infectés, remplacez les fichiers WordPress principaux par de nouvelles copies, mettez à niveau les plugins concernés et changez de thème, puis modifiez vos mots de passe. Une règle YARA complète et de nombreuses informations complémentaires sont par ailleurs disponibles sur le site de Jetpack .