worpress.net / wordpress-update.com : Piratage WordPress

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher.

Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet.

Tombé aujourd'hui sur une campagne d'extension malicieuse visant WordPress.
Je n'ai pas fait de capture d'écran du panneau des extensions, mais celle-ci se nomme "Docs" et à pour origine wordpress.com
Ici le but est de faire croire que l'extension est légitime et appartient à WordPress.

Celle-ci se présente comme cela (notez le http://wordpress.com) : http://pjjoint.malekal.com/files.php?read=20151007_e6f14n15j13x8

update.worpress.net_SEO_poisonning

Décodé on obtient : http://pjjoint.malekal.com/files.php?read=20151007_g8q14p11m14v6

Ce dernier fait une requête sur wordpress-update.com pour récupérer du code puis écrire un fichier .dat qui sera stocké dans le dossier cache de l'application.update.worpress.net_SEO_poisonning_9

 

Les DNS du domaine pointent en Russie et hosté en Allemagne (136.243.243.205).

Domain Name: WORDPRESS-UPDATE.COM
Registrar: NAMESILO, LLC
Sponsoring Registrar IANA ID: 1479
Whois Server: whois.namesilo.com
Referral URL: http://www.namesilo.com
Name Server: NS1.ADMINVPS.RU
Name Server: NS2.ADMINVPS.RU
Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Updated Date: 24-jun-2015
Creation Date: 18-jun-2015
Expiration Date: 18-jun-2016

Ce fichier .dat permet de réécrire les pages et notamment ajouter du code JavaScript de update.worpress.net (notez qu'il manque le d) à la fin du header.
On retrouve le soucis de se faire passer pour WordPress.
Même IP (136.243.243.205), même Whois :

Domain Name: WORPRESS.NET
Registrar: NAMESILO, LLC
Sponsoring Registrar IANA ID: 1479
Whois Server: whois.namesilo.com
Referral URL: http://www.namesilo.com
Name Server: NS1.ADMINVPS.RU
Name Server: NS2.ADMINVPS.NET
Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Updated Date: 06-jun-2015
Creation Date: 30-mar-2015
Expiration Date: 30-mar-2016

update.worpress.net_SEO_poisonning_2

Le code a pour but de charger des publicités.

update.worpress.net_SEO_poisonning_6

 

update.worpress.net_SEO_poisonning_5

Concrètement sur un site cela donne :

update.worpress.net_SEO_poisonning_10

update.worpress.net_SEO_poisonning_3

Le site consulté n'est pas chargé et une publicité remplace ce dernier - ici on est redirigé vers onedayeassay.com :

update.worpress.net_SEO_poisonning_4

Sur Google, on trouve 67 200 résultats pour ce domaine avec beaucoup de sites ayant l'erreur :

update.worpress.net_SEO_poisonning_7

 

On retrouve cette fausse extensions Docs :

update.worpress.net_SEO_poisonning_11

 

Une campagne assez large semble-t-il.

Je rappelle cette page pour sécuriser son WordPress et suivre les bonnes pratiques : Sécuriser WordPress

Et plus globalement, cette index qui regroupe tous les tutorials pour sécuriser son site WEB : Apache : sécuriser son site WEB

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article worpress.net / wordpress-update.com : Piratage WordPress mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum