Le 31 janvier dernier, nous vous informions de la sortie de WordPress 4.7.2, mouture comportant trois importantes mises à jour de sécurité. Tous les medias ayant relayé cette information ont tous insisté sur l'urgence qu'il y avait pour les responsables de site à mettre leurs Wordpress à jour. Malheureusement et comme bien souvent, la recommandation n'a pas été suivie.
Une des failles permet une injection de contenu dans les sites sous WordPress. Et le moins que l'on puisse dire est que les hackers s'en donnent à coeur joie avec elle.
Le 6 février, la société de sécurité Sucuri faisait remarquer que plus de 65 000 sites WordPress étaient défacés via cette vulnérabilité. Un nombre qui s'obtient en cherchant by w4l3XzY3 dans Google. by w4l3XzY3 étant la signature de l'auteur des posts injectés. Rien n'indique d'ailleurs qu'il n'existe pas des milliers d'injections de posts sous d'autres signatures.
Mais rien qu'avec by w4l3XzY3, les dégâts sont de grandes ampleurs et le massacre va bon train. Au moment où nous écrivons ces lignes, ce sont 143 000 sites qui sont touchés.
Comme disait Coluche : jusqu'où s'arrêteront-ils ?
On pourrait lui répondre : jusqu'à quand les webmasters mettront à jour.
un site défacé