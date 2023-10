C'est en nettoyant en juillet un site web édité sous WordPress que les chercheurs de l'entreprise de cybersécurité Defiant, spécialisés dans ce système de gestion de contenus open source, ont fait la rencontre d'un malware se faisant passer pour un plug-in de mise en cache. Pour l'heure, rapporte le site d'information Bleeping Computer, le nombre de sites infectés n'est pas connu.



Defiant dit toutefois avoir mis en place un système de détection par signature du logiciel pour les abonnés à la version gratuite de son service Wordfence et une nouvelle règle de pare-feu pour ses clients premium. Du reste, les propriétaires de sites sont invités à mettre à jour leurs plug-ins et à se débarrasser de ceux dont ils n'ont pas l'utilité (bien que le malware ne soit pas recensé parmi les plug-ins activés).

Un logiciel malveillant omnipotent

Le malware présente plusieurs avantages pour les attaquants. L'une de ses fonctions lui permet de créer dans le back-office WordPress un utilisateur dit "superadmin" doté d'autorisations complètes sur le site. Pour éviter d'être repéré, ce "superadmin" peut être supprimé à tout moment. Le logiciel peut également proposer du contenu différent, notamment malveillant, de celui présenté d'ordinaire sur le site.



Modification des pages, transformation de l'architecture du site, insertion de liens ou de boutons de spam, activation ou désactivation à distance de plug-ins… Grâce à un large accès aux commandes de back-office, le malware peut presque tout se permettre. Il est même capable de faire voir aux vrais administrateurs d'un site des versions non modifiées de leurs pages afin qu'ils ne se rendent pas compte de l'intrusion. Dans la même idéee, les traces qu'il laisse dans la base de données sont effacées automatiquement.



Dans un rapport, les chercheurs de Defiant mettent en garde les détenteurs de sites WordPress. "Ensemble, ces fonctions fournissent aux attaquants tout ce dont ils ont besoin pour contrôler à distance et monétiser un site victime, au détriment du classement SEO du site et de la vie privée de l'utilisateur."