Discussion :

[Stéphane le calme]

Un ancien employé pirate le plugin WordPress WPML pour spammer les utilisateurs,
en se servant d'une porte dérobée qu'il avait laissée sur le site pour son usage personnel

Le site Web du plugin WordPress Multilingual Plugin (WPML) a été piraté et les utilisateurs du plugin ont commencé à recevoir des courriels indiquant que le plugin était rempli de vulnérabilités. Selon WPML, cela a été causé par un ancien employé qui a laissé une porte dérobée sur le site pour son usage personnel pendant qu’il travaillait encore pour l’entreprise.

WPML est un plugin qui vous permet d’ajouter un support multilingue à WordPress et, selon leur site, dispose d’une base de 600 000 utilisateurs.

Dans un courrier électronique reçu par les utilisateurs du plugin intitulé "Mises à jour WPML", le hacker s’est fait passé pour un client mécontent qui a découvert une faille de sécurité sur le produit et l’a exploité pour diffuser son message. Il a déclaré que le plugin contenait de nombreuses vulnérabilités de sécurité et que les utilisateurs devaient renforcer leur sécurité et éventuellement supprimer le plugin.

Vous voyez ceci parce que vous utilisez WPML Vous avez acheté WPML et vous l’avez installé sur ou plusieurs de vos sites Ou alors peut-être l’avez vous prévu

J’ai fait la même chose mais je me suis retrouvé avec bien des problèmes WPML est venu avec un paquet de failles de sécurité qui, malgré mes efforts de tout gardé mis à jour, ont permis à deux de mes sites les plus importants d’être piratés.

WPML a exposé des informations sensibles à des personnes avec peu d’expérience dans le développement et qui ne disposaient que de l’accès au cod de WPML et d’un intérêt à découvrir combien il serait facile à casser.

Je suis en mesure de le dire étant donné que ce plugin a été utilisé sur wpml.org également.

S’il-vous plaît, prenez cette recommandation au sérieux et pensez à tripler la sécurité de vos sites Web lorsque vous utilisez- WPML, si vous DEVEZ l’utiliser. Faites fréquemment des sauvegardes et surveillez de près vos sites Web. Ne laissez pas des informations sensibles trainer dans la base de données ou sur le serveur.

N’utilisez que les composants et fonctionnalités WPML dont vous avez vraiment besoin. Sinon demandez un remboursement.

Ne pensez pas que si vous changez un composant logiciel cela suffira à dire qu’il est 100 % à l’épreuve du piratage. WPML reçoit beaucoup de louanges mais ne prouve rien.

C’est une honte de voir qu’après une étiquette de prix déraisonnable et un support nul, les choses peuvent encore aller de mal en pis.

Je leur ai fait un courriel avec des détails sur les vulnérabilités et, par chance, ils ont été en mesure de réagir rapidement avec une mise à jour. Mais restez sur vos gardes.

En plus du spam massif adressé à tous les utilisateurs et contacts du plug-in, l'attaquant a également piraté le site Web afin d'inclure des "trous de sécurité" en tant que fonctionnalité du produit sur sa page d'achat.

Les déclarations de WPML

Dans un billet de blog écrit par Amir Helzer, développeur de WPML, la société explique que les spams résultants ont été envoyés par un ex-employé présumé qui a laissé une porte dérobée sur le site. Helzer a poursuivi en disant qu'ils avaient mis à jour leur site et sécurisé l'accès au compte administrateur avec 2FA.

Notre site a été piraté au cours du week-end, entraînant une perte des données des clients. Nous venons de terminer la reconstruction du site et il est de nouveau opérationnel.

Beaucoup de nos clients ont reçu des courriels très pénibles concernant un exploit sur le plugin WPML. Ce courriel a été envoyé par un intrus qui a accédé à notre site et a utilisé notre logiciel de messagerie. De toute évidence, ce message n'a pas été envoyé par nous. Si vous avez reçu un tel email, veuillez le supprimer. Suivre des liens dans des emails piratés peut causer des problèmes supplémentaires.

Nous avons mis à jour wpml.org, tout reconstruit et tout réinstallé. Nous avons sécurisé l’accès à l’administration avec une authentification à deux facteurs et minimisé l’accès du serveur Web au système de fichiers.

Ce sont plus de précautions que la réponse réelle au hack. Nos données montrent que le pirate informatique a utilisé des informations internes (un ancien mot de passe SSH) et une porte dérobée qu’il a laissé pour lui-même alors qu’il était notre employé.

Ce hack n'a pas été fait via un exploit dans WordPress, WPML ou un autre plugin, mais en utilisant ces informations privilégiées. En tout cas, les dégâts sont énormes et c’est déjà fait.

Pour être clair:

• Le plugin WPML exécuté sur votre site ne contient pas cet exploit.
• Vos informations de paiement n’ont pas été compromises (nous ne les stockons pas).
• L'intrus a bien votre nom et votre adresse e-mail et pourrait avoir accès à votre compte sur WPML.org.
• L'intrus a bien volé les sitekeys, mais ils ne sont d'aucune utilité. Les sitekeys permettent à votre site d’obtenir des mises à jour à partir de wpml.org. L'intrus ne peut pas appliquer de modifications à votre site à l'aide de ces clés.

Helzer a déclaré que le plug-in WPML est sûr et ne contient aucun exploit et que les informations de paiement ne sont pas compromises, mais l'intrus dispose des informations de compte de l'utilisateur. Pour cette raison, ils suggèrent que tous les utilisateurs réinitialisent leur mot de passe.

Sources : WPML, courriel, fonctionnalité "faille de sécurité" sur le site

Et vous ?

Utilisez-vous le plugin WPML ? Qu'en pensez-vous ?
Que vous évoque ce genre de situation ?
Ce genre d'incident est-il susceptible de contribuer à rogner la confiance que l'employeur a dans les nouveaux collaborateurs ?

Voir aussi :

WordPress va afficher des notifications pour encourager les propriétaires de sites avec des versions obsolètes de PHP, à faire des mises à jour
WordPress : le nombre de vulnérabilités a triplé en 2018, une étude pointe du doigt les plugins comme la principale source des failles du CMS
Matt Mullenweg, co-auteur de WordPress, donne plus d'éclaircissements sur le nouvel éditeur Gutenberg qui devrait réduire la courbe d'apprentissage
WordPress 5.0 est disponible en téléchargement et apporte le nouvel éditeur Gutenberg, ainsi qu'un nouveau thème par défaut
Des milliers de sites WordPress infectés redirigent les visiteurs vers des pages d'escroquerie au faux support technique

[sebastiano]

Sympa la backdoor !

Bien pire que le collègue en mauvais terme avec sa hiérarchie et qui se barre du jour au lendemain sans laisser de doc.

[seikida]

Du coup comme on sait qui sait qui a fait ca, il va etre poursuivi le mec?

[CoderInTheDark]

Plutôt rancunier, même si il peut avoir ses raisons.
Je conseille à sa copine ou son copain de bien se préparer avant si il ou elle veut rompre avec lui
Car il semble du genre à piquer une grosse colère et réfléchir après.
Maintenant il va avoir des problèmes.