Photographies panoramiques en Ariège

Hack site WordPress

Première faille de sécurité avec le fichier : « timthumb.php »

(c’est une faille de sécurité assez ancienne : 2012)

Le fichier « timthumb.php » est utilisé par de nombreux thèmes. Il permet d’afficher en page d’accueil (par exemple) des vignettes photos pour illustrer les articles. Comme c’est un fichier codé en « php« , sa vulnérabilité le rend offensif dans les mains d’un pirate !
Il permet au hacker d’exécuter du code sur votre serveur et d’uploader des fichiers sur votre FTP.

Autre info, si vous avez des thèmes « inactifs » utilisant ce fichier dans votre blog, le hacker peut sans problème passer par cette porte dérobée ! et cela même si le thème est inactif !

Il existe un plugin très simple d’utilisation qui vous permettra de scanner l’ensemble de vos thèmes et de vos plugins pour connaitre le niveau de sécurité du fichier « thimthumb.php« .  Mieux encore ce plugin vous permettra d’actualiser ce fichier en 1 clic !

Mon expérience

En regardant les logs d’Apache, j’avais repéré une IP qui tentait de scanner une liste de thèmes WordPress et coïncidence, cette liste de thèmes faisait appel  à ce fichier… Je précise que le robot du hacker scanne très largement en sondant votre blog pour savoir si vous avez ce type de template installé . On se retrouve ainsi avec des « logs de votre serveur Apache » assez bizarres puisque on voit apparaitre des thèmes qui ne sont même pas installés sur le blog… (Méthode exhaustive pour le robot, car il cherche à sonder si vous avez un thème comportant cette faille!)

Ce n’est pas moins de 230 thèmes wordpress qui sont touchés par cette faille de sécurité !


Seconde faille de sécurité avec le fichier : « Uploadify.php »

Autre et même problème avec le fichier « uploadify.php« . C’est un plugin jQuery utilisé par de nombreux thèmes et plugins WordPress qui rend votre système vulnérable. Même musique de la part du hacker, ça lui permet d’uploader des fichiers sur votre ftp.

Mon expérience

Heu… ben là… pour moi, c’est le hack du VPS 🙁 !
Le serveur virtuel a servi à une attaque DOS… gloups 🙁 ! Merci à Nicolas pour sa veille et son aide dans la gestion du problème).

Paquets cadeaux (plusieurs fichiers) sur le ftp de la part du hacker… il y avait même un fichier qui se nommait « wp-engine.php » (« wp » étant la base de la syntaxe des fichiers WordPress :-()).
En bonus… un pic sur le serveur apache… et une forte sollicitation des ressources du CPU du serveur !

Mon action (avec les  bons conseils de Nicolas!)

  • Restauration de la backup du serveur (grâce à Virtualmin = en 1 clic svp 😉 )
  • Réactivation du serveur/site
  • Accès au ftp et nettoyage de printemps des différents fichiers suspects déposés par le hacker !
  • Modification du fichier .htacces du blog. Instruction « Deny from » des IP repérées dans les logs d’Apache comme suspectes (attention cette action corrective est vraiment ridicule et temporaire… face au problème de fond : la faille de sécurité)
  • Recherche sur internet du problème => action corrective : suppression du fichier « uploadify.php » (j’étais à jour dans la version du Template qui n’utilisait plus ce fichier = donc suppression… car la mise à jour prenait en compte la faille de sécurité de ce fichier mais n’avait pas supprimé le fichier… :-())

Derniers articles