Depuis samedi matin le 5 septembre, une vulnérabilité a été détectée sur les blogs WordPress. Au moment ou j’écris ce billet, il règne une certaine confusion concernant les versions touchées. En attendant d’avoir plus d’informations voici quelques conseils et remarques pour vous aider à évaluer les situation:
Chronologie:
L’annonce sort sur le blog TechCrunch: Security Threat: WordPress Under Attack WordPress répond par la voix de son fondateur qui recommande de passer à la version 2.8.4: Keep WordPress secure S’ensuit bien sûr une forte activité, débats, commentaires, questions, bref un vent de panique souffle sur la blogosphère avec son lot de rumeurs. Toujours est-il qu’une incertitude règne car il se pourrait en fait que ce soit toutes les version de WordPress qui soient touchées et qu’il faudrait en fait attendre la version 2.8.5 pour retrouver une stabilité.
La vulnérabilité et ses conséquences:
Apparemment le hacker exploite une faille qui lui permet de se créer un compte administrateur invisible, d’injecter du code malvaillant dans la base de données qui a pour effet d’ajouter du code inutile sur les urls de vos permaliens. La conséquence est que vous risquez d’être exclu des index des moteurs de recherche car identifié comme un site malveillant.
Mieux protéger WordPress:
Voici quelques plugins qui permettent de mieux protéger vos installations (source Iweb Blog), je précise que nous les testons actuellement sans savoir s’ils seront efficace contre cette attaque:
– WordPress Database Backup qui permet de faire un backup journalier de vos données et que nous installons désormais par défaut à tous nos clients depuis le début 2009.
– WordPress Security Scan qui permet de masquer votre version de WordPress et de détecter les vulnérabilités
– Antivirus qui permet de scanner vos fichiers à la recherche des infections
– Login Lock Down qui sécurise les tentatives d’intrusion
Patch: compte-tenu de l’incertitude sur les versions touchées, nous avons identifié deux patch qui pourraient protéger mais sans validation pour le moment:
– Block Bad Queries via Ayunda
– Bad Behavior via Geekeries
Infection et nettoyage :
Infections et nettoyage: plusieurs blogueurs ont publié des billets qui expliquent comment détecter et nettoyer votre blog:
– WordPress Hacker Stikes, How to Fix The Hack That Causes Permalinks / URL Structure Error chez Kingpin SEO
– 4 ways to find out if your WordPress installation has been affected by eval / base64_decode chez Digitizor
– Old WordPress Versions Under Attack chez Lorelle
Mise à jour de version
Une mise à jour de version est une opération sensible et méticuleuse. Voici comment nous procédons sans entrer dans des détails trop techniques.
1. Nous dressons une liste des plugins non compatibles avec la nouvelle version.
2. Nous faisons un backup du site en local
3. Nous faisons un backup de la base de données
4. Nous procédons à la mise à jour de version
5. Nous vérifions que tous les plugins fonctionnent
6. Nous vérifions que le thème fonctionne et que le site s’affiche dans différents navigateurs.
7. Nous vérifions que les règles de sécurité sont suivies. (comptes admin et usagers, règle de souscriptions et enregistrement, solidité des mots de passe, propriété des dossiers FTP)
Conseils pour nos clients:
Nous continuerons de vous tenir informés sur la situation afin d’arriver à un diagnostic précis et de procéder aux corrections.
Merci pour l’info.