Une attaque WordPress particulière a été identifiée et est en cours de diffusion.
Démarrée courant août, elle a changé depuis de conséquences. Au départ elle incrémentait sur les sites contaminés des scripts permettant d’ouvrir automatiquement des pages et des annonces contextuelles ou à rediriger les visiteurs entrants vers d’autres sites Web. Maintenant, cette attaque permet de créer des comptes administrateurs. Cela leur permet donc de pouvoir ensuite détourner les sites de leurs contenus originels.
Vérifier si l’attaque WordPress est déjà active
Il suffit d’aller sur les comptes utilisateurs en admin et de controler si un compte avec l’adresse de messagerie wpservices@yandex.com et du mot de passe de w0rdpr3ss n’est pas déjà existant.
Le supprimer mais cela ne suffira peut-être pas. Votre site est peut être déjà contaminé et lorsque nous vous connecterez à nouveau en tant qu’admin, un nouveau compte pourra se créer. Dans ce cas, il vous sera nécessaire de faire appel à un pro du nettoyage des attaques.
Eviter que votre site WordPress ne soit attaqué
L’attaque WordPress évoqué ciblent des vulnérabilités connues dans les plugins suivants :
Blog Designer
Bold Page Builder
Live Chat with Facebook Messenger
Yuzo Related Posts
Visual CSS Style Editor
WP Live Chat Support
Form Lightbox
Hybrid Composer
Tous les plugins NicDark (nd-booking, nd-travel, nd-learning, etc.).
Si vous utilisez un des ces plugins, mettez les à jour rapidement ou alors trouvez un remplaçant.
Pour lire l’article d’origine donnant encore plus de détails, Des sites WordPress attaqués via la création de comptes administrateurs non autorisés.