Attaques de force de WordPress : Sites utilisés comme terrain d'entraînement
Lors d'une découverte récente par Sucuri, une tendance inquiétante est apparue, impliquant des attaques par force brute sur des sites WordPress par le biais d'injections JavaScript malveillantes. Ces attaques par force brute sur WordPress se distinguent par leur approche furtive. Le chercheur en sécurité Denis Sinegubko note que ces attaques ciblent spécifiquement les sites WordPress à travers les navigateurs de visiteurs peu méfiants.
Modus Operandi des attaques par force brute de WordPress
Les sites WordPress piratés sont de plus en plus souvent la cible d'acteurs malveillants. Cette série d'attaques attaques par force brute contre WordPress s'appuie sur une stratégie précédemment documentée dans laquelle des sites WordPress compromis ont été manipulés pour injecter des draineurs cryptographiques ou rediriger les visiteurs vers des sites d'hameçonnage Web3 contenant des draineurs malveillants.
Cependant, la dernière version, qui affecte plus de 700 sites jusqu'à présent, n'utilise pas de draineur mais s'appuie sur une liste de mots de passe courants et divulgués pour exécuter des attaques par force brute sur d'autres sites WordPress. L'attaque se déroule en cinq étapes, permettant aux acteurs de la menace d'exploiter des sites web compromis pour lancer des attaques par force brute sur des sites de victimes potentielles :
- Obtention d'une liste de sites WordPress cibles : Les attaquants dressent une liste de sites WordPress à cibler.
- Extraction de noms d'utilisateur réels : En extrayant les noms d'utilisateur des auteurs qui postent sur ces domaines, les attaquants recueillent des informations précieuses.
- Injection de code JavaScript malveillant : Les sites WordPress compromis sont injectés avec du code JavaScript malveillant.
- Lancement d'une attaque par force brute distribuée : L'attaque est lancée lorsque les visiteurs se rendent sur les sites piratés, devenant ainsi, sans le savoir, partie prenante de l'attaque par force brute distribuée.
- Tentatives de connexion malveillantes: La dernière étape consiste à obtenir un accès non autorisé aux sites ciblés en utilisant la liste des mots de passe.
Les exploits de type "Brute-Force" de WordPress plutôt que les dragueurs de cryptomonnaies
Le motif de ce passage des dragueurs de cryptomonnaies aux attaques distribuées par force brute est le suivant attaques par force brute n'est pas claire, mais les spéculations vont dans le sens d'une recherche de profit. Les sites WordPress compromis peuvent être monétisés de différentes manières. Les dragueurs de portefeuilles de crypto-monnaie, responsables d'importantes pertes d'actifs numériques en 2023, ont peut-être incité les acteurs de la menace à explorer d'autres méthodes qui attirent moins l'attention.
Reconnaître l'importance de mots de passe forts
Les chercheurs en sécurité suggèrent que les attaquants ont peut-être réalisé les limites des crypto-draineurs à leur échelle d'infection, soit environ 1 000 sites compromis. Les crypto-draineurs attirent une attention excessive, ce qui entraîne un blocage rapide du domaine. Cette évolution souligne l'importance des mesures de sécurité WordPress qui incluent la création de mots de passe robustes pour se prémunir contre les menaces potentielles.
Prévention des attaques par la force brute
Pour protéger votre site WordPress contre ces vulnérabilités en matière de sécurité des sites webenvisagez de mettre en œuvre les mesures suivantes :
- Limiter l'accès au fichier xmlrpc.php et à l'interface d'administration : Limitez l'accès au fichier xmlrpc.php et à l'interface d'administration de WordPress aux seules adresses IP de confiance. Cela permet d'éviter les points d'entrée non autorisés pour les attaquants.
- Protection contre les logiciels malveillants Perimeter81 : Utilisez la protection Perimeter81 contre les logiciels malveillants pour bloquer toute une série d'entités malveillantes, y compris les chevaux de Troie, les rançongiciels, les logiciels espions, les rootkits, les vers et les exploits du jour zéro. Ceux-ci peuvent faire des ravages sur votre réseau s'ils ne sont pas contrôlés.
Menaces et vulnérabilités émergentes
Cette évolution fait suite à un rapport de la DFIR révélant que des acteurs menaçants exploitent une faille critique dans le plugin WordPress 3DPrint Lite (CVE-2021-4436, CVSS score : 9.8) pour déployer le shell web Godzilla afin d'obtenir un accès à distance persistant. En outre, une campagne de SocGholish, également connue sous le nom de FakeUpdates, cible les sites web WordPress en distribuant des logiciels malveillants JavaScript par le biais de versions modifiées de plugins légitimes. Ces plugins sont installés en exploitant des informations d'identification d'administrateur compromises.
Le chercheur en sécurité Ben Martin souligne que, quelles que soient les différentes tactiques utilisées, l'objectif final reste le même : amener des visiteurs de sites web peu méfiants à télécharger des chevaux de Troie d'accès à distance. Ces chevaux de Troie servent de point d'entrée initial pour d'éventuelles attaques par ransomware.
Atténuer les risques de cybersécurité pour WordPress
L'atténuation des attaques par la force brute nécessite des mesures de sécurité proactives. À mesure que le paysage des menaces évolue, la nécessité de protéger les sites web WordPress devient de plus en plus évidente. Bien que le motif derrière le récent passage des draineurs de crypto-monnaie aux attaques par force brute distribuées reste spéculatif, il renforce l'importance d'adapter les stratégies de sécurité aux menaces émergentes.
Conclusion
En conclusion, la protection de votre site WordPress contre l'évolution des cybermenaces nécessite une approche à multiples facettes. Le renforcement des mots de passe, la limitation de l'accès aux fichiers et interfaces critiques et le déploiement d'une protection robuste contre les logiciels malveillants sont des étapes cruciales dans le renforcement de vos défenses numériques.
Les acteurs de la menace adaptant leurs tactiques, il convient de se tenir informé et de mettre en œuvre des mesures proactives. mesures proactiveset adopter les meilleures pratiques de sécurité WordPress resteront indispensables au maintien de la sécurité et de l'intégrité de votre présence en ligne.
Les sources de cet article comprennent des articles dans The Hacker News et Bleeping Computer.