Eh bien, je suis ici pour vous dire que cela peut vous arriver.
Ce site a été piraté la veille de Noël. Ce qui s’est passé fait partie d’une tendance plus large et inquiétante au cours de laquelle des sites Web et des blogs de petites entreprises sont attaqués et compromis. Les sites WordPress semblent être une cible particulière.
$config[code] not foundJ’ai décidé de partager mon récit, dans l’espoir que cela vous aidera à éviter un piratage ou, le cas échéant, à vous rétablir rapidement.
Les détails laids
Le matin de Noël, j’ai essayé d’ouvrir ce site comme j’ai l'habitude de le faire tôt le matin, juste pour faire une vérification rapide.
La page d'accueil du site était complètement vide! Rien. Nada. Je ne pouvais rien poster de nouveau non plus. J'ai réalisé qu'un pirate avait piraté le site. En enquêtant plus tard dans la journée, j'ai découvert pas mal de dégâts sur le site, notamment:
- Tous les plugins WordPress ont été désactivés
- Un certain nombre de pages ont été supprimées, notamment l'annuaire des experts, la page de la lettre d'information, la page À propos de, etc.
- La blogroll avait été compromise, avec une douzaine de liens insérés vers des sites pour adultes et des sites pharmaceutiques.
- Près de 50 liens cachés vers des sites pour adultes, des sites pharmaceutiques et d'autres sites de courrier indésirable avaient été dispersés dans l'en-tête et le pied de page. Vous ne pouviez pas voir les liens en consultant le site via un navigateur standard tel qu'Internet Explorer, car ils étaient intentionnellement masqués à l'aide de code HTML. Cependant, les moteurs de recherche pourraient «voir» les liens, bien sûr.
Comme ce sont des vacances, j'ai fait ce que je pouvais moi-même pour restaurer le site et le lendemain, j'ai eu de l'aide. Heureusement, j'utilise une société d'hébergement professionnelle dotée d'un excellent support téléphonique. Et notre webmaster contractuel, Tim Grahl, était super et a tout laissé pour répondre.
En travaillant en équipe, nous avons réussi à faire en sorte que le site fonctionne à nouveau et soit présentable d’ici à la fin de l’activité, le 26 décembre.
Cependant, je savais peu que l'épreuve n'était pas encore terminée. Je venais de voir la pointe de l'iceberg le premier jour. J'ai vite découvert ce que les pirates avaient VRAIMENT fait.
Les pirates jouent les moteurs de recherche
Dès le début, je me demandais: "Pourquoi quelqu'un piraterait-il ce site?" Il n'a rien de précieux (pour un pirate informatique). Aucun numéro de carte de crédit. Pas de données confidentielles. Aucune information client.
Au début, je le rapportais au vandalisme.
Mais alors que la situation évoluait et que je découvrais plus de dégâts, j’ai réalisé que ce n’était pas du simple vandalisme. Au contraire, cette activité de piratage est tout au sujet détournement de sites Web et de blogs de petites entreprises et en les utilisant pour générer des liens vers d'autres sites pour jeu les moteurs de recherche .
Les pirates informatiques trouvent un trou de sécurité et pénètrent dans votre site. Ils prennent le contrôle par le biais de scripts qui transforment votre site en un drone générant des liens. Les liens générés sur votre site (à votre insu) sont dirigés vers d'autres sites afin de les placer au sommet des résultats des moteurs de recherche.
Snared dans un Splog Ring
Un jour après avoir découvert le piratage informatique, j’ai appris le pire: les pirates informatiques avaient détourné une partie de ce site dans un anneau de splog (blog spam).
Le premier indice est venu de Technorati.com lorsque j'ai vu le nombre de liens entrants compter pour Tendances des petites entreprises avait sauté par quelques milliers de liens au cours de la nuit. "Oh, comme c'est bon", pensai-je - pendant environ 3 secondes! Mon plaisir a tourné au dégoût quand j'ai vu que tous les liens utilisaient un texte d'ancrage tel que «viagra», «sonneries mignonnes» et autres ordures assorties.
Les liens venaient de «splogs». Chaque splog consistait en listes de milliers - littéralement des milliers - de liens pointant vers des pages d’autres sites Web, y compris des centaines de fausses pages qui avaient été configurées dans le répertoire tmp de ce site.
C’est à ce moment que j’ai réalisé ce que les pirates avaient vraiment fait. Ils avaient laissé un script générant automatiquement des centaines de fausses pages sur ce site. Ces fausses pages ont à leur tour été redirigées vers des sites pharma, adultes et sonneries. Vous ne pouviez pas voir les fausses pages en regardant sur ce site, mais elles étaient là.
Ensuite, les pirates ont créé des anneaux d’autres sites, principalement des blogs, pour créer un lien vers les fausses pages de Tendances des petites entreprises. Tout a été conçu pour que les poids des liens combinés soient finalement envoyés aux sites pharmaceutiques, aux sites pour adultes et aux sites de sonnerie qu'ils souhaitaient placer en haut des moteurs de recherche.
Voici comment ça fonctionne:
Splog A >>> renvoie à une fausse page du site piraté B >>>, laquelle fausse page a été redirigée vers un site pharmaceutique vendant de l'OxyContin.
Rincer et répéter. Des milliers de fois.
Résultat = augmentation rapide du classement des moteurs de recherche pour le site vendant OxyContin.
Comme vous pouvez le constater, il ne s’agissait pas d’une attaque isolée sur un seul site. C’était un schéma orchestré impliquant des centaines si non milliers de sites. Le mien vient d’être un des nombreux sites piégés.
Comment les pirates sont arrivés
Nous pensons que les pirates informatiques sont entrés dans une version non sécurisée de WordPress via le serveur. Au-delà de cela, je n’en dirai pas plus, afin de ne pas vous donner de feuille de route expliquant comment casser d’autres sites. L'attaque semblait provenir d'une adresse IP russe.
L’attaque a profité du moment des vacances, mon hôte ayant un personnel squelette travaillant pour le réveillon de Noël. Étonnamment, moins de 2 jours après la première attaque, alors que nous étions en train de réparer le carnage, les pirates sont revenus! Cette fois, la tentative de piratage a été empêchée par une action rapide de la part de la société d’accueil, bloquant l’adresse IP qui parcourait follement le site.
En recherchant d'autres piratages, j'ai été stupéfait de découvrir qu'il existe plus d'une douzaine de versions de WordPress avec des vulnérabilités connues. Avec environ 2 à 3 millions de blogs utilisant WordPress, cela signifie que beaucoup de blogs sont potentiellement à risque. Les sites Web et les blogs qui existent depuis longtemps, et les sites de confiance, sont ceux qui risquent d’être attaqués.
Il suffit de faire une recherche dans Google et vous trouverez des rapports sur d'autres blogs WordPress piratés, y compris certains des meilleurs et des plus brillants. Même le blog d’Al Gore a été piraté.
De plus, mes recherches ont révélé au moins une demi-douzaine de façons de compromettre les blogs WordPress. Et pour chaque méthode que j’ai vue, je suis sûr que les méchants en connaissent deux douzaines d’autres.
Action corrective
Nous avons pris un certain nombre de mesures pour sécuriser le site, notamment:
- Mise à niveau vers la dernière version de WordPress.
- Suppression d'un plug-in pour lequel les recherches suggérées pourraient comporter des failles de sécurité et mise à jour de tous les plug-ins restants si de nouvelles versions existaient.
- Nettoyé tous les crud laissés par les pirates, en supprimant leurs scripts et les liens et les pages non autorisées. Nous devions non seulement parcourir le code de notre propre site, mais également faire appel à notre hébergeur pour l’ensemble du serveur.
- Retourné à une sauvegarde de base de données MySQL propre d'avant l'attaque.
- Auto-enregistrement bloqué sur ce site.
- Mots de passe modifiés; examiné les journaux de serveur pour les adresses IP suspectes et les a bloqués; et changé un certain nombre d'autres choses sur lesquelles je ne veux pas attirer l'attention.
Quelqu'un m'a demandé si j'avais prévu de passer de WordPress à un autre logiciel. Non, je prévois d'y rester. WordPress est un bon logiciel et n'a pas eu mal à la tête 99% du temps. Je comprends que la communauté de développement WordPress s’efforce de résoudre les problèmes de sécurité. Espérons qu’elle le fera avant que WordPress ne développe un mauvais rap irréversible.
Cependant, j'ai renforcé les mesures de sécurité de quelques crans. Je crois qu'un pirate informatique déterminé peut trouver un moyen d'entrer tout site, si ils veulent vraiment. Mais pourquoi vous faire une cible facile?
En ce moment, vous vous demandez probablement ce que vous pouvez faire pour protéger votre blog ou votre site Web. J'ai quelques indications pour vous. Mais comme cet article est déjà long, je les ai mis dans un article séparé: Comment protéger votre site WordPress.
56 commentaires ▼
