Attention, SoakSoak frappe les sites WordPress

Pendant le week-end dernier, il a été rapporté que plus de 100 000 sites adossés à WordPress ont été attaqués par le malware SoakSoak.  Cette nouvelle a été publiée par le blog Sucuri.net traitant de la sécurité informatique.

L’action de SoakSoak est de transformer le site WordPress infecté en un point d’attaque contre d’autres sites.  SoakSoak est ainsi nommé puisque, lors de l’infection le premier nom de domaine obtenu dans son chemin de redirection est le site soaksoak.ru.

Les investigations ont démontré que cette vulnérabilité n’est pas nouvelle.  Elle a été découverte au moins à partir de septembre 2014 dans le plugin RevSlider utilisé par plusieurs sites sous WordPress.  À l’époque, la faille a été corrigée discrètement privant ainsi la communauté de utilisateurs de WordPress et, notamment les utilisateurs du plug-in Revslider,  de prendre, de leur côté, les mesures qui s’imposaient.

 L’infection par Soaksoak se caractérise au prime abord par la modification, notamment des deux fichiers suivants du site WordPress piraté :

·         template-loader.php

·         swfobject.js

 

Cependant les experts pensent que le malware ne présente pas toujours le même comportement sur tous les sites attaqués.

Le remplacement de ces fichiers pourrait constituer un début de solution au rétablissement de son site.  En effet, par cette action, le site pourrait encore être réinfecté dans un très court délai.  SoakSoak étant un malware qui a placé une porte dérobée sur les sites WordPress, le meilleur remède consiste, en plus de faire la mise à jour du plug-in RevSlider, d’agir sur la porte dérobée  en vue d’empêcher les prochaines attaques.

En plus de rétablir le site WordPress dans sa version originelle, les mesures prises permettront aussi de l’enlever de la blacklist des sites dangereux sur Internet.  Google a déjà recensé plus de 11 000 sites affectés par Soaksoak qu’il a portés sur sa liste noire. Et si des mesures ne sont pas prise de façon urgente, tout porte à croire que le nombre de sites portés sur cette liste croitra de façon exponentielle.

 

Author: Lyonel Vallès, CISM, CISA, CRISC

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *