Le FBI a publié une alerte pour sensibiliser sur une recrudescence de défacements de site Internet réalisés avec le CMS WordPress. Des défacements, toujours selon le FBI, réalisés principalement ces derniers temps par des sympathisants de the Islamic State in the Levant (ISIL), plus connu en France sous le simple nom d'Etat Islamique, ou EI. Ce sont d'ailleurs des sympathisants de EI qui ont mis à mal la chaine TV5 Monde hier et hacké son site Internet, qui était peut-être sous WordPress lui aussi. La note du FBI remarque que de nombreuses organisations de presse utilisent ce CMS, ce que font aussi de nombreuses organisations gouvernementales.

Ce n'est pas que WordPress soit un problème en lui-même. Le FBI souligne que les attaques sur ce CMS, si elles peuvent aboutir à des défacements, des vols de cookies, ou des élévations de privilèges d'un compte utilisateur, sont en général d'un pauvre niveau technique.

Les attaquant se limitent bien souvent à exploiter des vulnérabilités connues et patchées depuis longtemps. Le vrai problème se situe en fait au niveau des responsables de ces sites qui sont négligents en ce qui concerne la sécurité. De nombreuses mises à jour en retard du CMS lui-même ou de plugins suffisent à mettre un site en danger.

La note du FBI veut donc avant tout sensibiliser les responsables de sites, et propose des ressources sous formes de liens vers des pages expliquant comment renforcer la sécurité de son WordPress ou s'informer des dernières vulnérabilités découvertes.