Une firme de sécurité informatique a découvert l’existence d’un malware nommé SoakSoak et ayant pour but d’infecter les sites fonctionnant avec WordPress. Après la contamination de plus de 100 000 sites, Google a déjà réalisé un travail de nettoyage en déréférençant plus de 11 000 sites WordPress contaminés.
L’entreprise de sécurité Sucuri, spécialisée dans l’aide aux entreprises pour sécuriser leurs serveurs, a publié un billet le 14 décembre informant les utilisateurs de WordPress d’un malware touchant déjà plus 100 000 sites. Baptisé SoakSoak, à cause du nom de domaine de redirection utilisé, ce virus s’introduit via une faille provenant du plug-in RevSlider.
Ce plug-in, massivement téléchargé par les utilisateurs de WordPress, permet de gérer le glisser-déposer dans une page web. Le problème est que Slider Revolution Premium avait déjà subit une faille en septembre dernier, et était affaibli par une « vulnérabilité sérieuse » selon Sucuri. Un patch permettait de corriger ce problème via une mise à jour, mais il ne semble pas avoir été suffisamment appliqué par les administrateurs des sites WordPress, et le malware se cachait également dans d’autres extensions.
Silicon.fr explique comment ce malware s’introduit sur les plateformes WordPress « Les vulnérabilités permettent à SoakSoak de télécharger fichier de configuration et thème malveillants sur le site web tout en injectant une porte-dérobée qui permet aux assaillants de pénétrer la plate-forme sans passer par les contrôles d’accès habituels. A partir de là, les pirates installent une autre backdoor qui modifie le fichier swfobject.js afin d’installer le malware qui redirigera les visiteurs vers Soaksoak.ru, un site à éviter puisque potentiellement infectieux. »
De son côté, Google a déjà blacklisté 11 000 sites contaminés par ce programme. Il n’est pas impossible que Google étende cette mesure à davantage de blogs s’il estime que le risque encouru est sérieux.
Si vous êtes administrateur d’un site WordPress, une vérification s’impose donc, même si SoakSoak ne touche que 0,2% des sites (on estime à plus de 70 millions le nombre de sites WordPress dans le monde.)
Pour vérifier donc si votre site est infecté, Google et Sucuri proposent chacun un outil. Sucuri ajoute que pour nettoyer ce malware, il faut remplacer les fichiers swfobject.js et template-loader.php, mettre à jour le plug-in et surtout installer un bon pare-feu.
Hackathon : Startup Weekend Brest 2015