La société de sécurité Doctor Web a découvert un programme Linux malveillant qui cible les sites WordPress exécutant des plugins et des thèmes obsolètes et vulnérables. Le malware est conçu pour exploiter 30 vulnérabilités de thèmes et de plugins pour injecter du JavaScript malveillant dans des sites Web, redirigeant ainsi les visiteurs vers le site Web choisi par l'attaquant. Il est actif depuis plus de trois ans et a été mis à jour pour cibler des vulnérabilités supplémentaires.
Le malware cible les versions 32 bits de Linux mais peut également s'exécuter sur les versions 64 bits. Il existe deux versions du malware : Linux.BackDoor.WordPressExploit.1 et Linux.BackDoor.WordPressExploit.2 . Ce dernier comprend une adresse de serveur mise à jour pour distribuer le JavaScript malveillant et une liste étendue de vulnérabilités exploitées. Le rapport de Doctor Web suggère que les attaquants pourraient avoir un plan à long terme pour conserver l'accès administratif même après la mise à jour des utilisateurs vers des versions plus récentes et corrigées des plugins compromis.
Doctor Web a publié un document contenant des indicateurs de compromission du malware Linux backdoor infectant les sites WordPress. Le document comprend les hachages, les adresses IP et les domaines utilisés par le logiciel malveillant dans ses attaques. Les professionnels de la sécurité et les administrateurs WordPress peuvent utiliser ces informations pour détecter et prévenir de nouvelles infections.
Pour se protéger contre cette menace, il est essentiel que les utilisateurs de WordPress maintiennent leurs thèmes et plugins à jour et utilisent des mots de passe forts et uniques. C'est également une bonne idée d'utiliser un pare-feu d'application Web et de rechercher régulièrement les logiciels malveillants.
Si vous pensez que votre site WordPress a été compromis, il est essentiel de prendre des mesures immédiates pour le sécuriser et éviter d’autres dommages. Cela peut inclure la restauration du site à partir d'une sauvegarde et l'installation de mesures de sécurité pour empêcher de futures attaques.
