Il s’agit d’une affaire tellement sérieuse que Google a commencé à avertir certains webmasters de blogs WordPress, via la Search Console et par email, qu’il a découvert une faille de sécurité sur leurs blogs WordPress, avant de leur conseiller de les mettre à jour.
Alors, de quoi s’agit-il ? Tout est en rapport avec la version 4.7.2 de WordPress récemment lancée.
Informations sur la vulnérabilité de l’API REST
Le 26 janvier dernier, WordPress publié la version 4.7.2 dans laquelle figurait un correctif de sécurité pour une vulnérabilité critique qui permet aux pirates de modifier le contenu sur un site WordPress.
Ils n’avaient pas en ce moment là annoncé l’existence d’un correctif très important afin que les pirates ne soient pas conscients de la vulnérabilité pendant que le mécanisme de mise à jour automatique de WordPress aient mis à à jour les sites vulnérables.
Le correctif de sécurité caché, jusque là, a finalement été révélé le 1er février 2017, soit 6 jours plus tard, une période au cours de laquelle les pirates avait déjà pris connaissance de l’exploit ou faille de sécurité.
À cette période là, un grand nombre de sites Web WordPress avait déjà migré vers la version 4.7.2 (la plus récente).
Et, comme il fallait s’y attendre, à compter du 3 Février, les services de sécurité informatique ont commencé à constater une multiplication des attaques ciblant la vulnérabilité de l’API REST.
Une API compatible REST, ou “RESTful”, est une interface de programmation d'application qui fait appel à des requêtes HTTP pour obtenir (GET), placer (PUT), publier (POST) et supprimer (DELETE) des données.
La vulnérabilité, située dans l’API REST de la plateforme, permet donc, selon Computerworld.com, à des attaquants non authentifiés de modifier le contenu de n’importe quel article ou page d’un site WordPress.
La faille a été corrigée dans la version WordPress 4.7.2, sortie le 26 janvier, mais l’équipe de WordPress ne divulgue pas publiquement l’existence de la vulnérabilité avant une semaine plus tard, afin de permettre à un grand nombre d’utilisateurs d’avoir le temps de déployer la mise à jour.
Cependant, même après que la faille soit devenue publique, beaucoup de webmasters n’avaient pas encore décidé d’appliquer le patch. Et il s’en est suivi une vague impressionnante de piratages des sites et blogs WordPress non mis à jour.
Le lundi 6 Février, l’entreprise de sécurité Web dénommée Sucuri a signalé qu’environ 67.000 pages avaient été effacées dans les 4 vagues d’attaques distinctes contre des sites WordPress.
Depuis lors, le nombre de pages supprimées a augmenté de plus 1,5 millions et il y a 20 signatures d’attaques différentes, selon les chiffres de Feedjit, l’entreprise derrière le plugin WordPress de sécurité Wordfence.
Le nombre de sites uniques touchés était alors estimé à environ 40.000, en considérant toutefois qu’un site peut avoir plusieurs pages corrompues ou supprimées.
Le Jeudi 9 Février dernier, le PDG de Feedjit a publié un autre post pour dire :
En 48 heures, nous avons constaté plus de 800.000 attaques exploitant cette vulnérabilité spécifique à travers les sites WordPress que nous surveillons.Bref, l’heure est grave. Vous devez donc comprendre que si WordPress vous propose une version récente, vous devez absolument migrer votre site vers cette nouvelle version.
Car, les pirates profitent justement du temps d’attente de nombreux webmasters, et donc de la mise à jour souvent tardive et non immédiate, pour sévir et compromettre les sites WordPress.
Ce qui est plus facile pour eux, d'autant plus qu'ils connaissent déjà la faille de sécurité que permet de corriger chaque nouvelle version de WordPress. Alors, il ne leur reste plus qu'à chercher les sites non mis à jour.
Alors, si ce n’est pas encore fait, téléchargez la version 4.7.2 de WordPress et mettez à jour votre site ou blog.
