De nombreux sites ont été infectés par un malware russe appelé "SoakSoak" suite à la vulnérabilité du plugins pour WordPress. 11.000 d'entre eux ont été blacklistés par Google en attendant qu'ils arrivent à désactiver le virus.
Le malware russe a fait beaucoup de dégâts dans les plateformes fonctionnant sous WordPress. Une méthode a été mise au point pour s'en débarrasser mais le problème réside dans la difficulté de prévenir tous les clients. C'est la société Sucuri qui a découvert le malware et la faille dans le moteur de gestion de contenu du logiciel. Aujourd'hui, plus de 100.000 sites sous WordPress seraient contaminés et 11.000 ont été blacklistés par Google.
Un nettoyage et une correction efficace dans le silence
La correction des failles liées au système est faite en toute discrétion. La société Sucuri met à disposition des clients un scanner qui détecte rapidement et gratuitement si un site est infecté ou non. La société affirme que les différentes solutions proposées ici et là, comme le remplacement des fichiers swfobject.js et le template-loader.php ne règle les problèmes d'infection que pour un certain moment, le site sera réinfecté très rapidement. Le problème persistera donc tant que les portes dérobées sont laissées en place ainsi que les points d'entrée initiaux. Les attaques peuvent être arrêtées à l'aide d'un pare-feu. Mais le principal souci réside dans le fait que les détenteurs de sites WordPress ne peuvent pas enlever le blocage des noms de domaine mis en place par Google. En effet, même si tout a été réglé et changé, l'opération de vérification peut durer plusieurs heures. La nécessité de la mise à jour de Revslider n'a pas été conseillée aux clients par Sucuri dans un souci de discrétion.
Précautions et solution
Le virus agit par étapes et ajoute des fichiers directement sur le serveur de la plateforme. Dès qu'il intègre le système, il redirige tous les sites contaminés vers un site russe, c'est pourquoi les sites ont été blacklistés. Il devient alors inaccessible, la faille provient du SliderRevolution Responsive WordPress Plugin sous les versions 4.2, du ParadigmSlider WordPress Plugin, du KenBurnerSlider WordPress Plugin pour les versions 1.8 et moins et du showbizzPro Responsive Teaser WordPress Plugin sous les versions 1.5.3 et moins. Le concepteur ThemePunch, qui avait mis au point certains de ces plugins, avait attesté, il y a quelques mois de cela, que les mises à jour seraient opérationnelles bien avant que les failles soient exploitées par les virus potentiels. Le résultat est accablant, plus de 100.000 sites ont été piratés. Les concepteurs travaillent aujourd'hui sur la véritable éradication de ce problème persistant en mettant en place des mises à jour automatiques et surtout faciles d'accès. C'est la société Automattic qui a avancé la solution, l'utilisation de son plugin baptisé Jetpack, il pourra être installé sur tous les blogs et permet une gestion efficace des mises à jour de tous les plugins installés. D'ailleurs, la version 3.3 vient de sortir.
Il existe des extensions qui permettent de protéger efficacement un site. Wordfence est l'une des plus utilisées, c'est une extension gratuite. Idéale pour la sécurité de votre site.
Sources :
http://www.zdnet.fr/actualites/google-blackliste-plus-de-11000-sites-WordPress-39811409.htm
http://www.macg.co/ailleurs/2014/12/WordPress-mettez-jour-vos-sites-86213