Discussion :

[Arsene Newman]

162 000 sites web forment un large botnet responsable d'une attaque DDOS
WordPress et les Pingbacks figurent sur le banc des accusés

162 000 sites web basés sur WordPress ont formé un botnet responsable d’une large attaque de type dénis de service distribué (DDOS) vers une cible dont le nom n’a pas été dévoilé, provoquant son interruption pendant plusieurs heures. Cette information a été révélée par Daniel Cid, directeur technique de la firme experte en sécurité Sucuri.

L’attaque serait due à l’activation par défaut de la fonctionnalité Pingback sous des versions ultérieures à la version 3.5.1 du CMS. Ainsi tout site web tournant sous WordPress et correspondant aux critères cités précédemment (version <3.5.1 et activation des Pingbacks) est susceptible d’avoir participé à son insu à cette attaque de large envergure, en bombardant la cible de requêtes HTTP.

Pour rappel, le Pingback est une fonctionnalité permettant de notifier à un site distant que l’une de ses pages (ou articles surtout dans le cas des blogs) est référencée sur un site appelant grâce à des requêtes HTTP et au protocole XML-RPC.

Ce qui semble le plus déconcertant est la facilité de lancer une telle attaque, via une simple commande Linux comme le montre Daniel Cid :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

curl -D -  "www.anywordpresssite.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>'

Selon un autre expert en sécurité, Sean Power de DOSarrest, ce type de vulnérabilités serait connu depuis 2007 et WordPress a fixé cette faille depuis la version 3.5.1 qui a été publiée il y a plus d’une année (janvier 2013). Il s’agit donc plus vraisemblablement d’anciennes versions qui n’ont pas été mises à jour.

Enfin, Sucuri a mis à la disposition des utilisateurs un portail web, pour détecter si leur site web a été détourné et figure parmi les 162.000 sites web concernés. De plus, la firme de sécurité conseille de passer à une version plus récente du CMS ou bien de désactiver les PingBacks.

Source : blog de Sucuri

Et vous ?

Quelle version de WordPress utilisez-vous ? Appliquez-vous les mises à jour lorsqu’une nouvelle version de l'outil est disponible ?

[hbomb]

Et vous ?

Quelle version de WordPress utilisez-vous ? Appliquez-vous les mises à jour lorsqu’une nouvelle version de l'outil est disponible ?

J'utilise la version 3.8.1. J'essaie de faire les mises à jour dès que possible.

Je travaille dans une université et nous proposons l'hébergement de sites web. Pour éviter ce genre de problème avec les CMS les plus courants, nous vérifions les versions installées et nous avertissons les utilisateurs que leur version est potentiellement dangereuse. on leur laisse le temps de faire la mise à jour avant de bloquer le site.

aujourd'hui, on trouve souvent des webmasters qui n'y connaissent rien aux outils et qui ajoutent seulement des articles (ce sont souvent des personnes qui se retrouvent "parachutés" pour mettre des infos sur le site et c'est tout).
quand on leur demande de mettre à jour un outil, ils ne comprennent pas pourquoi (ça marche bien, pourquoi je dois le mettre à jour?)... Et au final on répare les pots cassés.