WordPress : l’exploitation d’une faille contribue au blacklistage de 11 000 domaines

Le malware SoakSoak exploite une faille du plugin RevSlider pour WordPress. La conséquence est que Google a blacklisté plus de 11 000 domaines.

Selon la société de sécurité Sucuri, plus de 100 000 sites web sous WordPress ont été compromis par un malware baptisé SoakSoak. Ce logiciel malveillant utilise une faille de sécurité contenue dans le plugin RevSlider.

Le principal problème est que, une fois compromis, le site est détecté comme malveillants par les systèmes de sécurité de Google. Cela se traduit par l’affichage d’un message d’alerte à l’attention de l’internaute lorsqu’il essaie de s’y connecter, mais aussi au blacklistage de plus de 11 000 domaines.

Comme le souligne Sucuri, le problème est qu’un grand nombre d’utilisateurs de WordPress ignorent qu’ils ont déployé RevSlider, ce qui rend nettement plus compliqué le déploiement d’une mise à jour corrective.

Le problème n’est d’autant plus compliqué que le développeur du plugin RevSlider a bel et bien corrigé la faille, mais pas communiqué à son sujet. De fait, personne n’était au courant qu’il fallait le mettre à jour. Cela démontre une fois de plus que la sécurité par l’obscurité n’est pas la solution idéale.

Il est par ailleurs bon de rappeler que cette attaque n’est pas la première contre des extensions pour WordPress. Sucuri souligne avoir identifié plusieurs failles dans d’autres plugins populaires, notamment WPTouch (plus de 5,6 millions de téléchargements), Disqus, All In One SEO Pack ou encore MailPoet Newsletters.

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentE-commerce : Google veut venir sur les platebandes d’Amazon
Article suivantWindows 10 : Cortana et une nouvelle interface pour la prochaine build
Une fille dans l'informatique était mal vue à l'époque de mes études. C'est pour cette raison que l'on m'a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m'a plu. C'est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l'information m'a poussé à suivre des cours de journalisme. Comme j'avais la propension de centraliser l'actualité technologique, un ami m'a dit un jour : «Emilie, tu peux le faire ». C'est comme cela que je me suis retrouvée embarquée dans l'aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m'intéressent le plus.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here