WordPress : des centaines de sites utilisent encore des plugins qui comportent des portes dérobées

WordPress : des centaines de sites utilisent encore des plugins qui comportent des portes dérobées
dont les chercheurs ont parlé en 2014

Plus d'un an après avoir révélé la présence de code intentionnellement malveillant dans le code source de 14 plugins WordPress, les experts avertissent que des centaines de sites en utilisent encore les composants.

Fin octobre 2016, les experts en sécurité de White Fir Design, la société derrière le plugin WordPress « Plugin Vulnerabilities », ont averti le public de la présence d’un code mystérieux dans 14 plugins permettant à un attaquant d'exécuter du code à distance sur des sites WordPress.

« Le code n'a pas vraiment l'air d'avoir un but légitime, indiquant peut-être que le code était intentionnellement malveillant », ont commenté les experts.

White Fir a fait la liaison entre les 14 plugins et un billet de blog datant de 2014 de Thomas Hambach, un développeur web vivant à Hong Kong, qui a découvert le même code malveillant.

Hambach a déclaré que les attaquants se servaient du code malveillant pour insérer des liens de spam SEO sur des sites piratés. Une fois l’opération effectuée, des détails leur étaient alors transmis en retour par courriel comme l'URL du site et bien d'autres.

L'équipe WordPress est intervenue suite à la découverte de Hambach, et en février 2014, elle a retiré le plugin qu'il avait trouvé, et fin 2014, ils ont supprimé tous les 14 plugins malveillants du répertoire officiel des plugins WordPress.

Malgré les actions de l'équipe WordPress, les experts de White Fir ont assuré qu'ils ont continué à détecter des demandes tout au long de 2015 à partir de diverses adresses IP essayant d'accéder au code malveillant spécifique aux plugins qui disposaient de portes dérobées.

Ces attaques passées sont revenues sur le devant de la scène quand récemment, le répertoire WordPress Plugin a été changé de sorte que les pages pour les anciens plugins qui ont été fermés restent visibles, bien que l'option de téléchargement soit désactivée. Auparavant, ces pages n'étaient pas accessibles au public.

Les pages pour tous les anciens plugins qui ont comporté le code malveillant intentionnel montrent que même après presque trois ans après que l'équipe WordPress a supprimé les plugins du téléchargement public, il y a des centaines de sites qui les utilisent encore.

Dans le détail, il s’agit de

• return-to-top, qui dispose encore de plus de 50 installations actives ;
• page-google-maps, qui dispose de plus de 500 installations actives ;
• gallery-slider, qui dispose de plus de 300 installations actives ;
• g-translate, qui dispose de plus de 60 installations actives ;
• share-button-wp, qui dispose de plus de 200 installations actives ;
• mailchimp-integration, qui dispose de moins de 10 installations actives ;
• smart-videos, qui dispose de plus de 70 installations actives ;
• seo-rotator-for-images, qui dispose de plus de 70 installations actives ;
• ads-widget, qui dispose de plus de 40 installations actives ;
• seo-keyword-page, qui dispose de plus de 200 installations actives ;
• wp-handy-lightbox, qui dispose de plus de 500 installations actives ;
• wp-popup, qui dispose de moins de 10 installations actives ;
• google-analytics-analyze, qui dispose de plus de 70 installations actives ;
• cookie-eu, qui dispose de moins de 10 installations actives.

Il faut noter que tous les sites utilisant ces plugins peuvent être piratés par un attaquant sachant ce qu'il faut rechercher.

Certains experts ont suggéré à l'équipe WordPress d'alerter les utilisateurs de sites facilement piratables qui pourraient être utilisés abusivement pour la distribution de logiciels malveillants et d'avertir les propriétaires de site lorsqu'un plugin a été supprimé du répertoire WordPress Plugins officiel pour des raisons de sécurité.

Les membres du personnel de WordPress ont rapidement rejeté cette idée, estimant que cette procédure mettrait les sites WordPress face à un plus grand risque :« SI un exploit existe et que nous en parlions sans avoir diffusé un patch, nous vous mettons PLUS en danger », a déclaré Mika Epstein, membre de l'équipe WordPress. « Si nous faisons savoir qu'il y a un exploit, [LA PLUPART] des pirates vont alors lancer des attaques pour viser tout le monde, si nous ne le disons à personne, alors seuls les pirates informatiques qui LE SAVENT vont attaquer, ils l’auraient fait de toute manière. »

Mais les experts n'étaient pas satisfaits de cette résolution, et certains ont fait valoir que les employés de WordPress devraient prendre l'étape très intrusive de retirer les plugins vulnérables des sites affectés.

Le problème avec cette suggestion était qu'elle créait un dilemme moral et juridique entre la protection des sites contre les hacks et la violation des fonctionnalités sur certains sites Web en supprimant les plugins – et indirectement certaines fonctionnalités.

Un an après ces discussions, l'équipe WordPress semble avoir choisi un chemin différent. L’un des cas qui l’illustre est l’action prise par l’équipe une fois que le plugin Captcha, utilisé par plus de 300 000 sites, a inséré dans une de ses mises à jour une porte dérobée : l’équipe WordPress est intervenue en supprimant ce plugin du référentiel WordPress Plugins officiel, puis elle a travaillé de concert avec WordFence pour sortir une version corrigée de Captcha (4.4.5) qui est sans porte dérobée. « L'équipe responsable des plugins chez WordPress a utilisé la mise à jour automatique pour mettre à jour toutes les versions disposant de portes dérobées (4.3.6 - 4.4.4) vers la nouvelle version 4.4.5 », a alors expliqué le chercheur en sécurité de WordFence, Matt Barry.

En clair, pour le moment, pour lutter contre certaines menaces de sécurité majeures, il semble que les développeurs de WordPress vont restaurer les modifications de plugins malveillants à la dernière version propre du même plugin, qu'ils vont emballer comme une nouvelle mise à jour et l'installer de force sur tous les sites. De cette façon, toute vulnérabilité/porte dérobée majeure est supprimée, mais les fonctionnalités du site sont conservées. Notons que cette stratégie semble coûter un certain temps à l’équipe WordPress, ce qui peut expliquer le fait qu’elle n’est utilisée que pour des problèmes de sécurité majeurs seulement.

Rappelons que l’année dernière WordPress a été sacré comme étant le CMS le plus ciblé par des cyberattaques, en grande partie à cause du mauvais entretien et de la négligence des webmasters.

Source : BC

Et vous ?

:fleche: Que pensez-vous de la stratégie adoptée par WordPress ?
:fleche: Un CMS doit-il pouvoir modifier des éléments qui affectent directement votre site au nom de la sécurité ou simplement vous prévenir des dangers que vous encourez ?

Voir aussi :

:fleche: Une porte dérobée a été trouvée sur une mise à jour du plugin WordPress Captcha utilisé par plus de 300 000 sites
:fleche: WordPress est de loin le CMS le plus ciblé par les cyberattaques, en grande partie en raison du mauvais entretien et la négligence des webmasters

Wordpress possède des qualités indéniables en terme d'ergonomie, de rapidité et de facilité de mise en oeuvre mais c'est le revers de la médaille : on a voulu démocratiser la mise en place de sites webs à des personnes non sensibilisés à ces problématiques. Ce fut un argument commercial de dire que "prenez ma techno => y-a juste à choisir un thème, le personnaliser et remplir ses pages, pas besoin de payer un spécialiste".

Ce serait bien de mettre ces stats en perspective par rapport à la tailles des sociétés (en prenant en compte les particuliers, commerces, etc) qui exploitent cette techno et leur secteurs d'activités.

Pour répondre à la question posée : je suis toujours contre les stratégies d'infantilisation, je suis anti "il vaut mieux prévenir que guérir", je pense qu'il vaut mieux guérir et être plus fort après. Un wordpress c'est généralement facile à restaurer et a des données et des contraintes de haute dispo peu critiques en terme d'impact humain et financier (si c'est le cas, à mon sens c'est pas du tout la bonne techno qui a été choisie) donc c'est mieux si les concernés apprennent quand ça leur tombe sur la tête.