AccueilSécuritéAccès complet par une porte dérobée dans les extensions WordPress

Accès complet par une porte dérobée dans les extensions WordPress

En examinant un site web compromis, les analystes de la société de sécurité informatique Jetpack ont découvert des portes dérobées que les cybercriminels ont intégrées dans les plug-ins et les thèmes d’AcessPress lors d’une intrusion sur les serveurs de cette société.

Les pirates pourraient ainsi obtenir un accès complet aux instances de WordPress. Les utilisateurs de thèmes ou de plug-ins du fournisseur doivent impérativement vérifier si leur WordPress a subi certaines modifications et mettre à jour le thème ou passer à celui d’un autre fournisseur.

Sommaire

Au cours d’une analyse plus approfondie, les chercheurs en sécurité ont trouvé le code suspect dans tous les thèmes et plug-ins d’AccessPress – mais uniquement lorsqu’ils ont été téléchargés depuis le site Web du fournisseur. En revanche, les extensions du fournisseur déposées dans le référentiel WordPress.org étaient propres.

Le code malveillant introduit est un dropper pour un webshell qui permet aux pirates d’avoir un accès complet à WordPress. L’intrusion aurait eu lieu en septembre 2021 ; les manipulations sur les thèmes et les plug-ins ont eu lieu plusieurs jours du mois. Toute personne ayant mis à jour ou installé les extensions AccessPress depuis septembre 2021 à partir de leur site web a donc probablement attrapé la porte dérobée.

Dans l’avis de sécurité de Jetpack, les chercheurs énumèrent dans des tableaux de nombreux plug-ins et thèmes qui contenaient le code malveillant. Comme AccessPress propose également des extensions payantes que JetPack n’a pas vérifiées, il est très probable que toutes les extensions proposées sur le site soient concernées, et pas seulement celles qui sont listées.

AccessPress a d’abord supprimé les extensions du site web et a mis à disposition des plug-ins et des thèmes mis à jour et nettoyés au coup par coup. Pour les thèmes, le numéro de version est resté le même, mais la date de publication après le 20 janvier 2022 indique la version nettoyée. Dans le référentiel WordPress, les thèmes ont été supprimés et les mises à jour n’y sont actuellement pas disponibles.

Si les utilisateurs des thèmes AccessPress ne les ont pas installés à partir des dépôts WordPress, ils doivent mettre à jour ou supprimer le thème utilisé et le remplacer par un thème d’un autre fournisseur. Ils devraient également installer les plug-ins mis à jour.

Les administrateurs devraient également rechercher les modifications de WordPress mentionnées par Jetpack dans les détails du message de sécurité, afin de détecter une porte dérobée installée. Pour supprimer les éventuelles modifications des fichiers de base de WordPress, Jetpack recommande de réinstaller une version propre de WordPress.

Lire aussi

Page thématique sur WordPress sur heise online

Plus d'articles