Plus de 900000 sites web WordPress ont été ciblés par un acteur malveillant non identifié dans le cadre d'une campagne de piratage à grande échelle au cours de la semaine dernière. Defiant, qui fabrique les plugins de sécurité de Wordfence pour la plateforme de publication web, souligne avoir commencé à remarquer et à suivre un pic d'attaques ciblant en particulier les vulnérabilités du Cross-Site Scripting (XSS) le 28 avril. Cette campagne à grande échelle a finalement permis de multiplier par 30 le nombre d'attaques.

En se basant sur la charge utile malveillante, Defiant soupçonne que la plupart de ces attaques sont menées par un seul acteur malveillant. Selon Ram Gall, ingénieur de Wordfence QA, le cybercriminel a commencé par un petit volume d'attaques et n'a pas intensifié ses efforts jusqu'à la semaine dernière, la campagne ayant atteint un pic de 20 millions de tentatives d'attaques contre plus d'un demi-million de sites web le 3 mai.

« Au cours du mois dernier, nous avons détecté au total plus de 24 000 adresses IP distinctes envoyant des requêtes correspondant à ces attaques à plus de 900 000 sites », ajoute-t-il. L’acteur malveillant cible le Cross-Site Scripting (XSS) ainsi que d'autres vulnérabilités afin de tenter d'injecter du code malveillant dans les sites web qui redirigent ensuite les visiteurs vers des sites malveillants.

Il est à noter que des mises à jour de sécurité sont disponibles pour les failles exploitées, et que les correctifs ont été déployés il y a des mois et, dans certains cas, même des années.

Trois des cinq vulnérabilités ciblées sont liées au XSS. L'une d'entre elles affecte le plugin Easy2Map, qui a représenté plus de la moitié des attaques et est probablement installé sur moins de 3000 sites web. La deuxième faille de sécurité réside dans le Blog Designer et a été corrigée l'année dernière; elle a déjà été ciblée auparavant et Defiant estime qu'il y a environ 1000 installations vulnérables. La troisième vulnérabilité XSS se trouve dans le thème des journaux, qui a également été au centre des attaques dans le passé et a été corrigé depuis 2016.

Les deux dernières sont des options de mise à jour des vulnérabilités. L'une affecte le plugin de conformité WP GDPR qui a été patché depuis 2018 et nous avons déjà écrit à propos d'une campagne qui a tenté de prendre le contrôle de sites web utilisant ce plugin. L'autre affecte le plugin Total Donations qui a été définitivement retiré du marché Envato en 2019. Chacune de ces vulnérabilités permet aux pirates de modifier l'adresse web du site.

Les chercheurs pensent que l'attaquant est suffisamment compétent pour cibler d'autres vulnérabilités à l'avenir. Le meilleur conseil aux administrateurs de sites WordPress est vieux comme le monde : assurez-vous de toujours maintenir le logiciel WordPress de base et tous les plugins à jour. Il est également important de se débarrasser des plugins abandonnés ou inutiles, car ils ne font qu'augmenter la surface d'attaque d'une installation WordPress.