Botnet attaque WordPress

Ces deux dernières semaines, nous avons suivi une inquiétante série d’attaques brutales de découverte de mot de passe contre les sites Web supportés par WordPress – le système de gestion de contenu le plus populaire de nos jours (Avira Techblog tourne aussi sur WordPress).

wordpress

Vous pouvez voir ci-dessous comment plusieurs adresses IP (dans mon exemple de Chine) essaient de se connecter aux fichiers connus dans l’installation WordPress qui gèrent la connexion et l’inscription.

china-attack

WordPress a un administrateur par défaut nommé « admin » qui peut être modifié par n’importe quel utilisateur après l’installation. Selon plusieurs sources, l’attaque devine jusqu’à 1 000 mots de passe fréquemment utilisés (voir les exemples ici).

Brian Krebs a rapporté que les sites infectés se voyaient implantés une backdoor qui permet aux pirates de contrôler le site à distance (les backdoors persistent même si le propriétaire légitime du site modifie par la suite son mot de passe). Les sites infectés sont ensuite considérés comme conscrits dans le serveur d’attaque botnet et forcés à lancer des attaques de découverte de mots de passe contre les autres sites exécutant WordPress.

Vous pouvez prendre des mesures pour éviter d’être piraté :

- Changez le mot de passe par défaut que vous avez reçu à l’installation de WordPress.

- Changez le nom du compte de l’administrateur par défaut de votre installation WordPress.

- Choisissez un mot de passe complexe pour le compte administrateur. Apprenez ici comment faire.

- Activez l’authentification à deux facteurs pour WordPress. Apprenez ici comment faire.

 

Bon blogging !

 

Sorin Mustaca

IT Security Expert