WordPress victime d’une attaque par force brute d’envergure

Les hébergeurs et les experts en sécurité des réseaux enregistrent une hausse sensible du trafic sur les sites Internet qui tournent sous WordPress : A l’aide de dizaines de milliers d’adresses IP, des individus malintentionnés inconnus tentent d’obtenir un accès au panneau d’administration des sites suite à une attaque par force brute (à l’aide d’un dictionnaire) pour trouver les noms d’accès et les mots de passe. En cas de réussite de l’attaque, la ressource compromise est intégrée à un réseau de zombies et se connecte à la série d’attaques en cours :

Les tentatives d’attaques par force brute contre WordPress ne sont pas un phénomène rare, mais cette fois-ci, les pirates y ont consacré une grande énergie. D’après les données de la société de surveillance Sucuri, le nombre d’attaques par force brute bloquées contre WordPress au mois d’avril a triplé et représentait en moyenne 77 400 attaques par jour et peut dépasser 100 000 pendant les pics d’activité. Les bots interrogent /wp-login.php et tentent d’obtenir un accès sur la base d’une liste contenant les 1 000 combinaisons nom d’utilisateur/mot de passe les plus fréquentes. Le plus souvent, le nom d’utilisateur est admin et les mots de passe préféférés des administrateurs sont 123456, 666666, 111111, 12345678 et qwerty, Une porte dérobée est installée sur le site compromis afin d’autoriser le contrôle à distance des individus malintentionnés sur la ressource.

D’après les estimations de la société HostGator, qui fut un des premiers hébergeurs à diffuser les informations relatives à l’incident mondial, cette campagne implique plus de 90 000 adresses IP différentes. Ces individus malintentionnés visent non seulement WordPress, mais également Joomla, bien que le volume d’attaques soit sensiblement moindre. CloudFlare, l’opérateur du plus grand réseau CDN qui, d’après ses propres estimations, traite près de 3 % des requêtes envoyées sur Internet, a bloqué 60 millions de requêtes adressées à ses clients qui utilisent WordPress. Seule une requête est reçue depuis chaque adresse IP à l’origine de l’attaque.

CloudFlare estime que les auteurs de l’attaque utilisent un petit réseau de zombies composé d’ordinateurs personnels et pensent créer un réseau plus solide à l’aide de serveurs Internet. Ces derniers sont disponibles 24h/24 et peuvent générer un trafic puissant et qui plus est, il est difficile de les bloquer. Un réseau de zombies qui repose sur des serveurs peut provoquer de gros dégâts s’il est mis au service d’auteurs d’attaques de phishing, s’il diffuse des programmes malveillants ou s’il participe à des attaques DDoS, par exemple à l’aide de l’ensemble efficace de script itsoknoproblembro.

Cet événement a toutefois un bon côté : son ampleur a poussé les hébergeurs à coopérer sur une solution. Des informations de « premières mains » ainsi que des propositions et des recommandations pour les nombreux utilisateurs de WordPress ont commencé à être publiées sur Internet. La société CloudFlare, comme toujours, est prête à coopérer et à partager avec ses collègues la base des adresses IP impliquées dans les attaques. Ses experts ont chargé sur le réseau CDN la signature de l’attaque et bloquent toutes les requêtes malveillantes. Le développeur de WordPress a publié un avertissement sur son blogue dans lequel il signale que vu l’ampleur de l’attaque, les restrictions par adresse IP ou le ralentissement artificiel de la procédure d’authentification n’ont pas beaucoup de sens. Il estime que tous les utilisateurs de la plateforme attaquée doivent sur le champ utiliser des mots de passe plus robustes, activer l’option d’authentification à deux facteurs introduite récemment et vérifier que la version de WordPress et des plug-ins utilisés est la plus récente. Tous les hébergeurs partagent cet avis. 

Infos : au mois de décembre 2012, Internet comptait 634 millions de sites, dont 59,4 sites sur WordPress. A l’heure actuelle, ce système de gestion du contenu est utilisé pour plus de 64,2 millions de sites qui représentent un total mensuel de 371 millions de vues.

Sources :

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *