Cela faisait longtemps que WordPress n’avait pas été la cible de personnes malveillantes. C’est durant ce weekend que nous avons appris via les équipes d’hébergeurs professionnels spécialisées dans la plateforme de blog (wordpress.com, Hostgator , Zippykid ou encore CloudFlare) que les serveurs hébergeant des blogs fonctionnant sous WordPress étaient la cible de pirates informatiques.
La technique utilisée est loin d’être sophistiquée et n’exploite aucune « faille » du CMS. Il s’agit d’une attaque de type brute force, autrement dit la personne mail intentionnée appelle automatiquement votre page d’administration et tente plusieurs mots de passe (suivant un dictionnaire complet) pour s’authentifier avec le compte admin. On aura vu plus subtil comme technique de piratage même si malheureusement, les résultats peuvent arriver vite, notamment dans le cas où l’admin utilise un mot de passe simple.
D’après les premières analyses, ce ne sont pas directement les blogs qui sont visés et dans la majorité des cas, vous ne verrez même pas que vous êtes infectés. C’est véritablement le serveur qu’il y a derrière qui intéresse les pirates pour être mis à contribution plus tard dans une autre attaque et la rendre ainsi difficile à combattre.
Bien évidemment, nous vous encourageons vivement à changer votre mot de passe par un plus compliqué au plus vite et surtout créer un nouvel utilisateur administrateur ayant pour identifiant autre que « admin » pour ensuite supprimer le compte par défaut. Cela vous évitera quelques mauvaises surprises !
Effectivement en visitant quelques blogs j’ai eu le coup : on tombait sur le truc OVH de base. Apparemment il faudrait supprimer le compte « admin » dans la connexion. Le truc, c’est qu’ils ont créé un robot qui se connecte avec le login admin et qui auto-génère des milliards de mots de passe, d’après ce que j’ai entendu.
Comme mentionné ce matin dans la brève traitant des 90 000 blogs compromis par l’attaque en question, n’ont été testés que les 1 000 mots de passe les plus évidents conjointement au login admin, qui n’est d’ailleurs plus imposé depuis quelques temps déjà lors des installations de WordPress.
Aux blogueurs donc de prendre les mesures nécessaires à la sécurité de leur installation, déjà au niveau de la complexité de leur mot de passe et d’un login personnalisé, mais également en limitant le nombre de tentatives de connexion d’une même adresse IP.