50 000 sites WordPress piratés via une vulnérabilité dans l’extension MailPoet

3
102

Les utilisateurs de WordPress utilisant une version vulnérable du plugin populaire MailPoet sont priés de mettre à jour leurs sites immédiatement. En cause, une sérieuse vulnérabilité au sein de l’extension qui pourrait permettre à un attaquant d’injecter n’importe quel code malveillant et de prendre contrôle du site Web.

MailPoet, anciennement connu sous le nom Wysija, est un plugin WordPress avec plus de 1,7 millions de téléchargements qui permet aux webmasters travaillant sous WordPress pour envoyer des newsletters et de gérer les abonnés d’un système de gestion de contenu.

Dans un billet de blog, le chercheur en sécurité et chef de la direction de l’entreprise de sécurité Sucuri, Daniel Cid, a souligné l’importance de la vulnérabilité et déclaré qu’en trois semaines, depuis que la vulnérabilité a été dévoilée, plus de 50 000 sites ont été exploités à distance par les cybercriminels pour installer des portes dérobées (backdoor) via le plugin MailPoet vulnérable.

Le cabinet de sécurité a rapporté la vulnérabilité au début du mois. La porte dérobée installée par les pirates est dangereuse : un compte administrateur est créé dans la foulée ce qui donne aux attaquants le contrôle complet du site. Un code typé backdoor est aussi injecté dans tous les thèmes et les fichiers de base. Le pire avec cette infection est que le code malveillant écrase également les fichiers valides, qui sont très difficiles à récupérer sans une bonne sauvegarde en place. Il provoque une erreur fatale sur de nombreux sites piratés qui affichent le message :

     Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php la ligne 91.

Le cabinet de sécurité précise que chaque version de MailPoet est vulnérable à l’exception de la plus récente, la v.2.6.7. Ainsi, les utilisateurs sont invités à mettre à jour dès que possible leurs installations sous peine d’avoir prochainement une bien mauvaise surprise.

3 Commentaires

  1. Bonjour, j’ai site wp qui a ete infecte et celui ci avait bien Mailpoet d installe dessus. Celui ci etait en cours de finalisation et donc pas encore blinde au niveau de la securite. Par contre je ne suis pas tout a fait d accord avec vous car aucun compte admin n a ete installe dessus et la base etait “propre”. Le code malveillant a pu etre nettoye et le site reinstalle puis blinde. Je touche du bois depuis.. 😉

Les commentaires sont fermés.