Des failles de WordPress utilisées pour pirater des sites Web

Depuis juillet dernier, des internautes mal intentionnés exploitent des failles du système de gestion de contenu WordPress pour pirater des sites hébergés sur WordPress.

Image : Getty

Vendredi dernier, le blogue de sécurité Wordfence a publié un avertissement au sujet de modules d’extension de WordPress, dont les vulnérabilités permettent à des pirates d’injecter du code malveillant sur les sites afin d’en rediriger les visiteurs vers des sites frauduleux ou malveillants.

Le code Javascript injecté sur les sites attaqués permet aux pirates de se créer un compte d’administrateur.

Voici les modules, ou plugiciels, vulnérables, selon Wordfence :

-Bold Page Builder
-Blog Designer
-Live Chat with Facebook Messenger
-Yuzo Related Posts
-Visual CSS Style Editor
-WP Live Chat Support
-Form Lightbox
-Hybrid Composer
-NicDark

Jusqu’à maintenant, la seule adresse IP liée à ces attaques est celle d’un serveur hébergé par l’entreprise Rackspace, qui est basée au Texas.

Pour se prémunir de ces attaques, Wordfence conseille de toujours mettre à jour les modules d’extension WordPress ainsi que les thèmes de sites.

Dans le monde, plus du tiers des sites utilisent WordPress, qui est le système de gestion de contenu le plus connu.

Selon le site de WordPress, plus de 55 000 modules d’extension sont actuellement disponibles.

Articles connexes

Des modules NPM malveillants téléchargés des milliers de fois

Encore plus de code Javascript malveillant a été découvert dans des modules disponibles sur le référentiel NPM open source, affirment des chercheurs de ReversingLabs, soulignant la découverte la plus récente de bibliothèques non fiables sur des sites open source.

Okta gèrera désormais les appareils des tiers accédant à ses outils

Le fournisseur de gestion d’identité et d’accès Okta affirme qu'un cybercriminel a accédé aux données de seulement deux clients, et non 366 comme on le craignait à l'origine, après le piratage d'un ordinateur chez un fournisseur de support tiers par le gang d'extorsion Lapsus$.

Panasonic Canada admet avoir été victime d’une cyberattaque

Panasonic Canada a subi une grave cyberattaque en février, selon TechCrunch.

Déficits de connaissances sur comment bien protéger ses renseignements personnels

Près de huit personnes sur dix au Canada disent ne pas être assez informées sur la façon de bien protéger leurs données personnelles en ligne, selon un sondage produit par Hill+Knowlton pour Interac.

Sébastien Vachon-Desjardins extradé aux États-Unis

Condamné au Canada pour des attaques par rançongiciels, Sébastien Vachon-Desjardins a été extradé aux États-Unis pour faire face à d'autres accusations.