93 thèmes et plugins WordPress compromis !

Un total de 93 thèmes et plugins WordPress (40 thèmes et 53 plugins) ont été compromis dans le cadre d’une attaque massive de la chaîne d’approvisionnement, qui a fourni une porte dérobée donnant aux agents de menace un accès complet aux sites web.

L’attaque a été découverte par les chercheurs de Jetpack et les thèmes et plugins appartiennent au développeur WordPress AccessPress. Les modules complémentaires de ce développeur sont utilisés dans plus de 360 000 sites Web actifs.

Les plugins et les thèmes téléchargés depuis WordPress.org sont corrects, mais ceux qui ont été téléchargés depuis septembre depuis le site d’AccessPress doivent être corrigés.

Que faire si votre site utilise les plugins et thèmes compromis ?

Si vous avez installé certains des 40 thèmes ou 53 plugins (une liste complète des thèmes et plugins compromis est accessible sur le site Jetpack) qui ont été compromis, leur désinstallation, leur remplacement ou leur mise à jour ne résoudra pas le problème.

Pour cette raison, il est conseillé de procéder à une analyse du site pour rechercher des signes de compromission. Voici quelques vérifications qui peuvent être effectuées, selon bleepingcomputer.com

Vérifiez votre fichier wp-includes/vars.php autour des lignes 146-158. Si vous y voyez une fonction “wp_is_mobile_fix” avec du code obscurci, vous avez été compromis.
Recherchez “wp_is_mobile_fix” ou “wp-theme-connect” dans votre système de fichiers pour voir s’il y a des fichiers affectés.
Remplacez vos fichiers WordPress de base par des copies fraîches.
Mettez à jour les plugins concernés et passez à un autre thème.
Changez les mots de passe wp-admin et de la base de données.

En outre, Jetpack a également fourni la règle YARA suivante qui peut être utilisée pour vérifier si votre site a été infecté :

rule accesspress_backdoor_infection
{
strings:
   // IoC’s for the dropper
   $inject0 = “$fc = str_replace(‘function wp_is_mobile()’,”
   $inject1 = “$b64($b) . ‘function wp_is_mobile()’,”
   $inject2 = “$fc);”
   $inject3 = “@file_put_contents($f, $fc);”
   // IoC’s for the dumped payload
   $payload0 = “function wp_is_mobile_fix()”
   $payload1 = “$is_wp_mobile = ($_SERVER[‘HTTP_USER_AGENT’] == ‘wp_is_mobile’);”
   $payload2 = “$g = $_COOKIE;”
   $payload3 = “(count($g) == 8 && $is_wp_mobile) ?”
   $url0 = /https?:\/\/(www\.)?wp\-theme\-connect\.com(\/images\/wp\-theme\.jpg)?/
condition:
   all of ( $inject* )
   or all of ( $payload* )
   or $url0
}

AccessPress a publié des versions propres des plugins, mais les thèmes n’ont pas encore été nettoyés et présentent toujours un risque.

Le passage à un autre thème est la seule façon d’atténuer les risques de sécurité, pour le moment.

Google poursuivi pour avoir induit en erreur les utilisateurs au sujet de leurs données de localisation

Comment Google traite-t-il plusieurs langues utilisées dans une page ?

Société

Ressources

Produits

Connexion SIA!Apprendre

Termes & Conditions

Politique de confidentialité

Obtenez nos 7 études S.I.A. les plus controversées qui feront trembler la tête même les SEO les plus avancés d’incrédulité.

De plus, nous vous alerterons lorsque nous publierons de nouveaux tests au public.

Obtenga nuestros 7 estudios S.I.A. más controvertidos que harán que incluso el SEO más avanzado sacuda la cabeza con incredulidad.

Además, le avisaremos cuando publiquemos nuevas pruebas al público.

Get Our Most 7 Controversial S.I.A. Studies That Will Make Even the Most Advanced SEO Shake Their Head in Disbelief.

Plus we will alert you when we publish new tests to the public.