A l’heure où une vulnérabilité sur une extension de WordPress peut mettre en péril 1 millions de sites WEB.
Voici un exemple de piratage d’un site sous WordPress afin de comprendre un peu comment cela peut se passer.
Dans notre un exemple, un WordPress sur une machine virtuelle sur l’adresse 192.168.1.4
Loggué avec l’utilisation kikooman, dont voici la liste des extensions installées : Akismet, Download Manager, Hello Dolly.
On retrouve notre utilisateur kikooman dans la base (table wp_users) :
Dans cette installation, l’extension Download Manager n’est pas à jour et vulnérable.
Documentation : http://blog.sucuri.net/2014/12/security-advisory-high-severity-wordpress-download-manager.html
L’exploit : http://www.exploit-db.com/exploits/35533/
(L’exploit étant le code qui permet d’exploiter la vulnérabilitée).
Dans la capture ci-dessous, j’utilise le script pour créer un utilisateur demohack.
Un select dans la base, l’utilisateur est bien ajouté.
On peut se logguer…. avec.
A partir de là, on a accès au panel de gestion de WordPress, on peut installer de nouvelles extensions ou.
Modifier le thème, si l’on souhaite effectuer une attaque de type defacing.
ou modifier un fichier d’une extension pour par exemple installer une backdoor PHP. (A ce propros, je rappelle cette article Détecter des backdoors PHP parmi ses fichiers)
ce que j’ai fait en modifiant le fichier hello.php
A partir de là, on peut quasi tout faire sur le serveur WEB (selon les accès etc) et donc uploader de nouveaux scripts pour effectuer des attaques de type ports scans, attaques DoS ou utiliser la machine pour envoyer des mails de SPAM.
Vous l’aurez compris, le problème du départ est une extension non à jour comportant une vulnérabilité qui permet le piratage du site WEB.
Comme vous pouvez le voir, cela prend 2 minutes…
Comme d’habitude, le problème est humain avec soit une méconnaissance technique, soit un non suivi d’administration des sites installés.
Notez qu’il est possible d’automatiser les attaques pour pirater une multitude de sites.
Comme votre PC, il est important de maintenir son installation WordPress à jour.
Autre exemple de piratage WordPress
avec la campagne : worpress.net / wordpress-update.com : Piratage WordPress
Sécuriser WordPress
Et plus globalement, cette index qui regroupe tous les tutorials pour sécuriser son site WEB : Apache : sécuriser son site WEB