Les chercheurs en cybersécurité de la société de sécurité Web Sucuri, propriété de GoDaddy, ont découvert qu’un Plug-in WordPress qui n’est plus actif a été pris en charge par des pirates et compromet maintenant les sites Web.
Eval PHP – un plugin conçu pour permettre aux utilisateurs d’ajouter du code PHP dans des articles et des données de blog – semble avoir été mis à jour pour la dernière fois il y a dix ans et a enregistré peu ou pas de téléchargements au cours des 10 dernières années.
Le mois dernier, l’intérêt pour Eval PHP a atteint la somme de plus de 100 000 téléchargements, avec un pic pouvant atteindre 7 000 téléchargements par jour.
Évaluer le piratage PHP
Les Sucuri avis (s’ouvre dans un nouvel onglet) précise que le code « utilise la fonction file_put_contents pour créer un script PHP dans le docroot du site Web avec la porte dérobée d’exécution de code à distance spécifiée ».
Parce que la porte dérobée utilise $_REQUEST[id] pour obtenir le code PHP exécutable, qui contient le contenu de $_GET, $_POST et $_COOKIE, il peut dissimuler ses paramètres en se masquant en tant que cookies. GET est moins détectable que POST, mais pas moins dangereux, dit Sucuri.
Les résultats révèlent également que les portes dérobées sont créées sur plusieurs publications enregistrées en tant que brouillons, elles ne sont donc pas visibles publiquement, ni aussi évidentes à trouver que les pages en direct.
WordPress n’a pas immédiatement répondu à Tech Radar Prode la demande de commentaires sur sa politique concernant les plugins abandonnés. Pour l’instant, Sucuri exhorte WordPress utilisateurs pour sécuriser leur panneau wp-admin et surveiller l’activité. La société de sécurité conseille quatre actions spécifiques :
- Gardez votre site Web corrigé et à jour avec les dernières versions de sécurité
- Placez votre panneau d’administration derrière 2FA ou une autre restriction d’accès
- Avoir un service de sauvegarde de site Web régulier en cours d’exécution pour un jour de pluie
- Utilisez un pare-feu d’application Web pour bloquer les robots malveillants et corriger virtuellement les vulnérabilités connues