Des spécialistes en sécurité informatique de la société Securi ont récemment mis en évidence un virus qui serait présent sur plus de 2000 sites utilisant WordPress. Le programme malicieux s’exécute lorsque le site infecté est chargé puis il enregistre tout ce qui est tapé sur le clavier comme les identifiants de connexions grâce à un keylogger.

WordPress est l’un des CMS (Content Management System) les plus utilisés aujourd’hui. Plus de 60 % des sites qui fonctionnent aujourd’hui grâce à un CMS utilisent WordPress. L’un des plus gros avantages de cette plateforme est le fait qu’elle soit open source. Le code source est donc régulièrement mis à jour pour corriger des problèmes de sécurité. WordPress permet également l’utilisation de plug-ins. En effet, ces petits softwares sont très pratiques lorsqu’il s’agit de réaliser une action sur le site sans toucher au code source.

Ces plug-ins sont très souvent une porte d’entrée pour les hackers. Lorsqu’ils ne sont pas mis à jour, il représente alors un vrai danger pour votre site web. C’est très probablement le moyen qu’a utilisé un groupe de hacker pour injecter un programme malicieux dans plus de 2 000 sites WordPress. Chaque fois qu’une page du site infecté est ouverte, un keylogger enregistre tout ce qui est tapé sur le clavier. Ainsi, les hackers ont pu dérober des centaines d’identifiants et mot de passe. Le script a été injecté directement dans la base de données par les hackers dans la table « wp-posts ».

Wordpress script example

On pourrait penser que la collecte de milliers d’identifiants aurait pu être suffisante pour les hackers, mais ils ne se sont pas arrêtés là. Après avoir étudié en détail les scripts JavaScript, les spécialistes en cybersécurité affirment ce programme serait également capable de miner de la crypto monnaie directement à partir des ordinateurs connectés sur le site infecté. Comme on a pu le voir sur le site PirateBay qui utilise le processeur des visiteurs pour miner, les hackers redoublent d’ingéniosité pour exploiter des ordinateurs à distance.

Si vous pensez que votre site web est infecté par ce malware, voici un guide réalisé par Securi pour nettoyer proprement sa base de données.

Source.