Menu Fermer

[fr] Exemple d’un piratage/hack WordPress

Dernière modification : 4 octobre 2016

A l’heure où une vulnérabilité sur une extension de WordPress peut mettre en péril 1 millions de sites WEB.
Voici un exemple de piratage d’un site sous WordPress afin de comprendre un peu comment cela peut se passer.
Dans notre un exemple, un WordPress sur une machine virtuelle sur l’adresse 192.168.1.4

Loggué avec l’utilisation kikooman, dont voici la liste des extensions installées : Akismet, Download Manager, Hello Dolly.

WordPress_hack
On retrouve notre utilisateur kikooman dans la base (table wp_users) :
WordPress_hack_2
Dans cette installation, l’extension Download Manager n’est pas à jour et vulnérable.
Documentation : http://blog.sucuri.net/2014/12/security-advisory-high-severity-wordpress-download-manager.html
L’exploit : http://www.exploit-db.com/exploits/35533/
(L’exploit étant le code qui permet d’exploiter la vulnérabilitée).

Dans la capture ci-dessous, j’utilise le script pour créer un utilisateur demohack.
WordPress_hack_3
Un select dans la base, l’utilisateur est bien ajouté.
WordPress_hack_4
On peut se logguer…. avec.
WordPress_hack_5
A partir de là, on a accès au panel de gestion de WordPress, on peut installer de nouvelles extensions ou.
Modifier le thème, si l’on souhaite effectuer une attaque de type defacing.
ou modifier un fichier d’une extension pour par exemple installer une backdoor PHP. (A ce propros, je rappelle cette article Détecter des backdoors PHP parmi ses fichiers)
WordPress_hack_6
ce que j’ai fait en modifiant le fichier hello.php
WordPress_hack_7
WordPress_hack_8

A partir de là, on peut quasi tout faire sur le serveur WEB (selon les accès etc) et donc uploader de nouveaux scripts pour effectuer des attaques de type ports scans, attaques DoS ou utiliser la machine pour envoyer des mails de SPAM.

Vous l’aurez compris, le problème du départ est une extension non à jour comportant une vulnérabilité qui permet le piratage du site WEB.
Comme vous pouvez le voir, cela prend 2 minutes…

Comme d’habitude, le problème est humain avec soit une méconnaissance technique, soit un non suivi d’administration des sites installés.
Notez qu’il est possible d’automatiser les attaques pour pirater une multitude de sites.

Comme votre PC, il est important de maintenir son installation WordPress à jour.

Autre exemple de piratage WordPress

avec la campagne : worpress.net / wordpress-update.com : Piratage WordPress

Sécuriser WordPress

Et plus globalement, cette index qui regroupe tous les tutorials pour sécuriser son site WEB : Apache : sécuriser son site WEB

Tagged ,