Attaque géante Botnets contre Wordpress, principe, conséquences et solutions

Depuis la semaine dernière une énorme attaque contre les blogs/sites de type Wordpress a lieu.

Hostgator a balancé l'information en premier: http://blog.hostgator.com/2013/04/11/global-wordpress-brute-force-flood/

Sucuri a fait de la pédagogie pour expliquer l'attaque et la manière de se défendre:

http://blog.sucuri.net/2013/04/protecting-against-wordpress-brute-force-attacks.html

http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html

http://blog.sucuri.net/2013/04/brute-force-attacks-and-their-consequences.html

Autres infos aussi sur Krebson Security: https://krebsonsecurity.com/2013/04/brute-force-attacks-build-wordpress-botnet/

En fait, tout simplement ;-) des milliers voir millions d'ordinateurs ont été utilisés (botnets) pour une attaque "Brute Force" sur les back-offices Wordpress.

Ces ordinateurs cherchent de partout des sites/blogs Wordpress ou plutôt leur back-office (comme à tout hasard http://www.nk-m.fr/wp-admin ou http://www.rachida-dati.eu/wp-admin  ou http://www.lepcd.fr/wp-admin  ou http://www.anne-hidalgo.net/wp-admin  .. Non mais ALlo quoi .. Duflot n'a pas de site wordpress !! Tu fais de la politique et t'as pas de wordpress ? Non mais Allo quoi ! .. Sinon on aurait fait toute la classe politique féminine ;-)) et essaient un max de combinaisons login/pass.

En fait, dans l'immense majorité des cas, le robot part du principe que le login est "admin" et donc essaie des dictionnaires de mots de passe ou des combinaisons.

90000 adresses IP ont pris part à cette attaque !!

Dans le pire des cas, l'attaquant prend le contrôle du wordpress.

Dans l'immense majorité des cas, l'attaquant ne prend pas le contrôle du worpress mais l'hébergeur bloque l'adresse IP de l'attaquant et par la même occasion tout le trafic et toute l'audience qui passaient par la plage de l'adresse IP.

Si vous avez des blogs/sites qui tournent sur Wordpress, vous avez donc eu sûrement une baisse d'audience .. qui n'a rien à voir avec le fait que le soleil étant enfin arrivé, l'internaute regarde la nature à la place de son écran .. ni avec une énième attaque du Panda penguiné de Google ...

Des hébergeurs comme 1and1 ont par exemple pris cette mesure.

Dans ce cas, il vous faut chercher les plages d'adresses IP bloquées par votre hébergeur et lui demander de les débloquer ..

Si votre Wordpress est en mutualisé avec un millier d'autres site sur un serveur (ou si votre site n'est pas sous wordpress mais est hébergé AVEC un wordpress attaqué, sur un serveur mutualisé), vous pouvez tout à fait avoir plusieurs plages d'IP Orange ou Numericable interdites donc AUCUNE audience venant de ces FAI !!

Il existe aussi certains plugins Wordpress comme http://wordpress.org/extend/plugins/login-lockdown/ qui permettent de bloquer une adresse IP qui essaie de "trop" de connecter au back-office ..

N'hésitez pas non plus, si vous avez comme login "Admin" ou "administrator" à créer un nouveau compte "admin", avec un login + compliqué et ensuite, avec ce nouveau compte, à supprimer l'ancien "Admin".

Mettez à jour votre version de Wordpress ! Bien souvent, les vieilles versions ont des failles béantes assez connues qui permettent un hacking facile (par exemple les security keys du wp-config.php ).

Certaines sociétés de sécurité, n'hésitent pas à traquer sur le net les vieilles installations de Wordpress et ensuite à faire à leurs propriétaires des propositions de mise à niveau ou de sauvegarde .. payantes ... C'est un bon business, très facile à monter puisque la détection de la version de WP utilisée est automatique ..

De manière générale, sauf si c'est votre passion, ne perdez pas de temps à récupérer quelque chose qui semble "touché" .. Effacez tout et réinstallez !

Ah oui .. Il faut avoir fait une sauvegarde ..

POur ça rien de mieux que BackupBuddy - WP backup, restore, migration plugin

Une fois installé  BackupBuddy - WP backup, restore, migration plugin vous permet de tout sauvegarder (le contenant et le contenu) automatiquement et de réinstaller sans même avoir réinstallé Wordpress.

Certes c'est payant mais c'est LE meilleur système de backup, restauration et aussi migration (car qu'est-ce qu'une migration sinon une réinstallation ?) existant, et de loin !