Le week-end dernier, outre Atlantique, une nouvelle attaque a eu pour cible les blog WordPress. Le fait que ce nouvel épisode de la série « les hackers récidivent » ce soit passée aux Etats Unis, ne signifie pas pour autant que de ce côté de l’océan, nous soyons à l’abri.
Voici l’histoire telle qu’elle s’est déroulée :
- WordPress stocke les autorisations d’accès à votre blog en clair dans le fichier wp-config.php
- Ce fichier de configuration doit uniquement être en lectures sur les serveurs Apache, mais quelques utilisateurs (à vrai dire de très nombreux utilisateurs), laissent le fichier accessible à tout le monde (755 au lieu de 750 dans l’argot Linuxien)
- Un utilisateur malveillant de Networks Solutions (un réseau de publicité sur Internet) crée un script pour collecter les informations de sécurité des fichiers mal configurés
- Ce même utilisateur malveillant a ainsi pu collecter, en toute quiétude, plusieurs centaines, voir milliers d’informations
- Le même utilisateur malveillant (toujours lui), a lancé une attaque pour modifier toutes les bases de données des sites dont il avait collecté les données d’accès, ce qui a eu pour effetque l’URL de tout ces blogs était devenue networkads.net/grep. Simple, non ?
Nous allons détailler deux points qui vous permettront de sécuriser votre blog, contre ce genre d’attaque.
Première étape :
Ouvrez le fichier wp-config.php de votre blog, et recherchez
/** Adresse de l’hébergement MySQL. */
define(‘DB_HOST’, ‘localhost’);
ajoutez ensuite ceci :
/** URL du blog
define(‘WP_SITEURL’, ‘votreblog.com’);
remplacez votreblog.com par l’URL exacte de votre blog
Sauvegardez votre fichier.
Cette modification de votre fichier de configuration évitera en cas d’intrusion de votre base de données, que l’URL de votre blog, qui par défaut est stockée dans la base de données, soit réécrite par un script malicieux, puisqu’elle est déclarée dans le fichier de configuration.
Deuxième étape :
Pour changer la permission d’accès à votre fichier wp-config.php, ouvrez votre programme FTP, recherche le fichier wp-config.php dans la racine de votre blog, cliquez avec le bouton droit et choisissez CHMOD ou Permissions selon votre programme et changez la valeur afin qu’elle soit à 640, certains vous proposerons 750, mais à mon avis 640 est parfait.
En fin de compte, qui est à blâmer, WordPress pour stocker les autorisations d’accès dans un fichier texte, ou les utilisateurs négligents ? Les deux, chacun ayant sa part de responsabilité.
Il est aussi à noter que ce genre d’attaque ne se limite pas à WordPress, mais à tous type CMS (Content Management System) qui stockent les données d’accès dans un simple fichier texte.
Pour vous tous qui êtes sur un serveur partagé (la majorité des serveurs grand public), prenez soin de configurer votre fichier wp-config.php IMMEDIATEMENT, avant que quelqu’un d’autre ne le fasse à votre place.
Image by José Goulão via Flickr
Publié à l'origine le : 13 avril 2010 @ 21 h 48 min