Les chercheurs de c/side ont découvert une cyberattaque en cours contre les sites hébergés par WordPress. Les experts ont débusqué la campagne en répondant à une attaque orchestrée contre l’un des clients de c/side, un outil de cybersécurité conçu pour surveiller, sécuriser et optimiser les scripts tiers utilisés sur les sites web.
À lire aussi : Six millions de sites web sont victimes d’une faille de sécurité
Un vecteur d’attaque encore inconnu
L’opération vise à dérober les données des sites web. Pour y parvenir, les pirates doivent d’abord pénétrer au sein de l’infrastructure de la victime. Malgré ses recherches, c/side n’a pas découvert comment les cybercriminels s’y sont pris pour compromettre les sites visés. Le vecteur initial de l’offensive est encore un mystère.
« Jusqu’à présent, nous n’avons pas identifié de dénominateur commun, et notre enquête est en cours », explique c/side dans son rapport.
À lire aussi : Sur des millions de sites, une faille permet de se faire rembourser ses achats
Un domaine et un script malveillant
Une fois à l’intérieur des sites, les attaquants vont charger un script malveillant à partir d’un domaine, https://wp3[.]xyz/td.js. Le script va créer des « comptes d’administrateur non autorisés » en piochant dans son propre code source. Le script contient en effet le nom d’utilisateur et le mot de passe associés à ces comptes créés.
Le script va ensuite télécharger un plugin WordPress malveillant à partir du domaine évoqué plus haut. Ce plugin va envoyer « des données sensibles à un serveur distant ». Comme l’explique c/side, le plugin est taillé pour voler des données d’identification et les journaux de l’administrateur du site. Selon c/side, « plus de 5 000 sites dans le monde » ont été touchés.
Comment protéger son site contre les pirates ?
Pour éviter de tomber dans le piège des pirates, c/side recommande d’abord de bloquer le domaine https://wp3[.]xyz/td.js à l’aide du pare-feu. En bloquant ce domaine, toutes les communications avec lui (téléchargements, envois de données, requêtes) sont interdites. Cette mesure va couper l’herbe sous le pied des hackers et les empêcher de mener l’attaque à son terme.
Par ailleurs, les chercheurs conseillent aux administrateurs de passer en revue les comptes pour identifier et supprimer les utilisateurs non autorisés. Si vous êtes dans le viseur de la cyberattaque, vous devriez tomber sur des comptes administrateurs malveillants. Faites la même chose avec tous les plugins installés sur votre site WordPress. Dans la foulée, pensez à mettre en place un système d’authentification à deux facteurs, ce qui devrait encore une fois compliquer la vie des attaquants.
Enfin, c/side recommande la mise en œuvre de protections CSRF (Cross-Site Request Forgery), conçues pour empêcher un attaquant de forcer un utilisateur authentifié à effectuer des actions malveillantes à son insu. En attendant d’en apprendre davantage sur l’origine de la cyberattaque, ces précautions devraient vous aider à protéger votre site web.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : c/side
