Sur cette page: [cacher]
Des vulnérabilités et des identifiants de connexion volés sont utilisés dans la plupart des attaques contre les sites Web.. toutefois, un autre risque existe également, et cela implique l'installation involontaire de portes dérobées sur des sites Web.
Cela peut être fait en incitant les propriétaires de sites Web à installer une porte dérobée cachée dans un logiciel de site Web piraté., tels que des composants tiers premium sous la forme d'un thème ou d'un plugin WordPress, une extension Magento, etc.
Lire aussi Le plugin WordPress de KingComposer a un bogue XSS réfléchi
Le risque de plugins et de thèmes WordPress piratés
Selon les chercheurs en sécurité de Sucuri, en utilisant fissuré (également appelé annulé ou piraté) les logiciels devraient préoccuper les propriétaires de sites Web:
Étant donné que ces types de logiciels nécessitent généralement des frais d'utilisation ou d'installation, les fournisseurs proposent des versions annulées ou craquées qui sont «gratuites» à télécharger. Ce que les utilisateurs ne réalisent peut-être pas, c'est que «gratuit» peut avoir un prix de sécurité, et les mauvais acteurs pourraient être enclins à inclure quelques fichiers malveillants ou extraits de code dans une version piratée.
Bien sûr, tous les logiciels fissurés annulés ne cachent pas les portes dérobées, mais cela peut être une excellente occasion pour les pirates de laisser tomber leurs portes dérobées. Les portes dérobées peuvent être très difficiles à détecter. C'est pourquoi les chercheurs de Sucuri mettent en garde contre les dangers potentiels de l'accès à distance dans les plugins et les thèmes premium.
Un exemple de fournisseur de plugins et de thèmes piratés premium se trouve sur thewordpressclub[.]org. Les termes et conditions du fournisseur mentionnent une section sur l'accès à distance:
Accès à distance
En téléchargeant n'importe quel fichier depuis https://www.thewordpressclub.org et installez-le sur votre site WordPress, vous autorisez TheWordpressClub à contrôler à distance votre site Web et ainsi :
• pour modifier le code source
• pour créer et / ou modifier le contenu de tous les types de messages (des postes, pages, des produits…)
Comme l'ont souligné les chercheurs en sécurité, "l'accès à distance pour ce fournisseur s'effectue via deux fichiers qui sont regroupés dans le téléchargement du logiciel annulé":
rms-script-ini.php
rms-script-mu-plugin.php
rms-script-ini.php est décrit comme un script malveillant chargé d'initialiser des fonctions spécifiques, comme la création d'une porte dérobée située à ./wp-contents / mu-plugins / rms_unique_wp_mu_pl_fl_nm.php.
en outre, ce script est également capable d'accorder un accès administratif aux pirates. Le script vérifie les utilisateurs WordPress existants en utilisant le get_users() paramètre; puis, il effectue des requêtes pour les utilisateurs avec des privilèges de rôle d'administrateur. finalement, il définit le cookie wp-admin pour authentifier l'accès administrateur pour l'utilisateur qu'il identifie, Des jus dit.
Lire aussi Comment tester la sécurité de votre site WordPress
Comment éviter le risque de portes dérobées
Malheureusement, la suppression des plugins WordPress piratés dans wp-admin ne sera pas suffisante, car les acteurs de la menace incluent souvent d'autres fonctionnalités pour échapper à la détection ou masquer les indicateurs de compromis. Une façon de le faire est de manipuler l'affichage CSS de l'interface wp-admin afin que le propriétaire du site Web ne puisse pas voir les publications créées sur son propre site WordPress.
La meilleure atténuation contre ces risques consiste simplement à éviter ces fournisseurs. L'endroit le plus sécurisé pour obtenir des plugins est le référentiel WordPress officiel, Juices conclut.