Hack de wordpress, comment retrouver les failles

Hack de wordpress, comment retrouver les failles

Ca fait un moment que je bosse dans le domaine du web, mais ces 12 derniers mois en ce qui me concerne auront été les pires en matière de piratage. Autant, j’ai toujours aimé le coté innovant, et un peu provoquant des pirates de sites, autant là, j’en ai plein le C### !
Synology, Joomla, WordPress, serveurs linux, tout est attaqué par des bots qui ne sont là que pour faire chier. Il n’y a même plus un petit étudiant qui se cache derrière comme il y a 10 ans pour y planquer un jeu cracké, mais une mafia qui n’a d’autres buts que de contrôler le maximum d’ordis pour générer un max de revenus, contrôler le plus possible internet, et donc pourrir la vie des gens ordinaires.

Tester la sécuritié pour rigoler et prévenir de la faille, voilà ce qui me fait marrer, mais ça c’étaiut avant. Voyez vous même ce que j’ai subit:
– Encodage et demande de rançon de tous mes fichiers sur mon NAS Synology (merci la sauvegarde)
– Modification d’articles WordPress pour y ajouter des liens vers des sites de casinos (liens en français ajouté de façon aléatoire dans les articles – imaginez le temps de correction).
– Pourrissage de système de fichiers WordPress pour y ajouter plein de backdoors et faire du spam massif (merci ovh de surveiller tout ça pour moi)
– Défacage d’un vieux site Joomla fait par des bénévoles.

Mais ouf, je n’ai pas eu droit au cloacking de liens pour que seul Google voit un contenu modifié, comme sur cette page « http://trophees.bretagne35.com/xstarter-1.9.3.85-409b3-54f2a-crack ». C’est déjà ça 🙂

Bref, fini de raller, voila mes solutions maisons.
Force est de constater que WordPress est une passoire (plugins, thèmes , versions). Si vous n’êtes pas au taquet sur les mises à jour, autant vous le dire tout de suite, vous allez vous faire hacker !

Résultat: vous aurez plein de backdoors dans votre système de fichiers, et vous ne saurez même pas où elles sont.
J’ai donc confectionné un plugin dont le but est de me prévenir de ces modifications.
Ce plugin est compatible WordPress, mais peut également être executé comme une simple page php pour tout autre site Internet. Pour WordPress, un cron vous permettra de scanner votre site chaque jour et de vous envoyer une alerte avec le détail.

Voila les actions qu’il mène:
– Détection de fichiers contenant eval( base64_decode (qui est souvent une backdoor).
– Détection de fichiers contenant « Files Man » (qui est souvent un gestionnaire de fichiers pirate).
– Alerte sur les modifications des fichiers (php ou htaccess)
– Détection des fichiers .so (shared object) et .sd0 et .sh qui sont souvent liés à des actes de piratage.
– Détection de fichiers php dans le répertoire wp-upload (pas normal).
– Alerte sur le nombre de thèmes qui n’ont pas à être présents.
– Alerte sur les modifications des posts qui ont étés modifiés datant de plus de 15 jours.

Des règles d’exception peuvent être paramétrées afin de ne pas déclencher de fausses alertes sur des fichiers de certains plugins (à vous de voir ce qui est dangereux ou pas).

En ce qui me concerne, ca m’a vraiment beaucoup aidé.

Télécharger le plugin d’audit

Dans un prochain article, je vous montrerais la belle porte dérobée que je me suis prise et je partagerais son code source.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.