Faille WordPress 4.7.2 : près de 150 000 sites défacés

Par:
fredericmazue

jeu, 09/02/2017 - 15:22

Le 31 janvier dernier, nous vous informions de la sortie de WordPress 4.7.2, mouture comportant trois importantes mises à jour de sécurité. Tous les medias ayant relayé cette information ont tous insisté sur l'urgence qu'il y avait pour les responsables de site à mettre leurs Wordpress à jour. Malheureusement et comme bien souvent, la recommandation n'a pas été suivie.

Une des failles permet une injection de contenu dans les sites sous WordPress. Et le moins que l'on puisse dire est que les hackers s'en donnent à coeur joie avec elle.

Le 6 février, la société de sécurité Sucuri faisait remarquer que plus de 65 000 sites WordPress étaient défacés via cette vulnérabilité. Un nombre qui s'obtient en cherchant by w4l3XzY3 dans Google. by w4l3XzY3 étant la signature de l'auteur des posts injectés. Rien n'indique d'ailleurs qu'il n'existe pas des milliers d'injections de posts sous d'autres signatures.

Mais rien qu'avec by w4l3XzY3, les dégâts sont de grandes ampleurs et le massacre va bon train. Au moment où nous écrivons ces lignes, ce sont 143 000 sites qui sont touchés.

Comme disait Coluche : jusqu'où s'arrêteront-ils ?  

On pourrait lui répondre : jusqu'à quand les webmasters mettront à jour.


un site défacé

Commentaires

Avant d'attaquer les webmasters "qui ne mettent pas à jour", je crois qu'il serait bien de s'intéresser aux administrateurs de plateformes mutualisées, qui eux, ont des cadences de mise à jour bien trop lentes, malgré les demandes des administrateurs des sites qu'ils hébergent ! :(  En effet, sur des plateformes mutualisées, ce ne sont généralement pas les webmasters des différents sites qui peuvent faire eux-mêmes les mises à jour...

Ce n'est pas une attaque contre les webmasters. Je suis d'ailleurs moi-même webmaster de nombreux sites, alors je ne vais pas attaquer la profession :-) Il ne faut pas le prendre comme ça. C'est plutôt une attaque contre la négligence en regard de la sécurité qu'il faut voir.

Ce que vous dites en ce qui concerne les hébergeurs est très juste, et méritait d'être souligné. Après, il n'en reste pas moins vrai qu'il y a des milliers de webmasters pas de métier dirons-nous, mais qui sont en charge de sites, et qui laissent traîner les mises à jour de sécurité les plus sensibles parfois des années. Quand des dizaines de milliers de sites WordPress se font ainsi hacker alors que WordPress est un outil qui a la capacité de se mettre à jour tout seul, c'est quand même parce que la négligence reste le problème n°1 de la sécurité, à mon humble avis.