WordPress : un ex-salarié en colère pirate le plugin WPML
Utilisant un backdoor qu'il avait créé sur le site pour son usage, un ancien employé a piraté le plugin WordPress WPML par vengeance, en s'amusant à spammer les utilisateurs pour discréditer le plugin.
WPML (WP MultiLingual) est un plugin populaire chez WordPress, puisque c’est lui qui permet de proposer une gestion multi-langue pour un site web. Ce plugin est donc utilisé par des milliers de sites web. Par vengeance et surtout pour nuire à son ancien employeur, un ex-salarié du CMS WordPress a pris la décision de spammer les utilisateurs, en utilisant une porte dérobée qu’il avait créée avant de quitter ses fonctions.
Il pirate son ancien employeur par vengeance et contacte tous ses anciens clients
Cet ancien salarié a contacté les 600 000 clients payants de WPML pour leur envoyer un mail, laissant entendre qu’il était un spécialiste de la cybersécurité et qu’il tenait à les avertir personnellement que le plugin était truffé de failles et que malgré de nombreuses relances auprès de l’éditeur WordPress, ce dernier ne faisait absolument rien pour corriger les vulnérabilités. L’objectif était visiblement de discréditer l’entreprise pour pousser ses clients à aller voir ailleurs…
Il a ensuite piraté le site du plugin wordpress en faisant ce que l’on nomme un defacing, cela consiste à changer l’apparence du site et en l’occurrence, il a mis le même message qu’il avait envoyé aux 600.000 clients.
L’éditeur a évidemment corrigé le tir immédiatement, découvert le backdoor et donc le responsable de ce piratage. L’entreprise souligne que cet ex-employé n’a pas eu accès aux données financières, (non stockées) et qu’il n’a pas eu accès au code source du plugin. L’éditeur est en train de reconstruire sa base de données en la sécurisant, après avoir colmaté le backdoor et va reprendre contact avec chaque client pour réinitialiser tous les identifiants de ces derniers. Au passage, nous ne savons pas si avec les données volées sur le serveur, l’ex-salarié peut se connecter avec les comptes des clients ou pas, WPML n’a pas donné d’infos sur ce point.
Réponse de WPML et mail d’origine du pirate
L’entreprise a communiqué en expliquant : ” Notre site a été piraté au cours du week-end, entraînant une perte des données des clients. Nous venons de terminer la reconstruction du site et il est de nouveau opérationnel “, ajoutant : “ Beaucoup de nos clients ont reçu des courriels très pénibles concernant un exploit sur le plugin WPML. Ce courriel a été envoyé par un intrus qui a accédé à notre site et a utilisé notre logiciel de messagerie. De toute évidence, ce message n’a pas été envoyé par nous. Si vous avez reçu un tel email, veuillez le supprimer. Suivre des liens dans des emails piratés peut causer des problèmes supplémentaires “.
Au niveau technique, WPML a déclaré : ” Nous avons mis à jour wpml.org, tout reconstruit et tout réinstallé. Nous avons sécurisé l’accès à l’administration avec une authentification à deux facteurs et minimisé l’accès du serveur Web au système de fichiers “.
Juste pour information, le mail du pirate, intitulé ” WPML Update ” disait :
” Vous voyez ceci parce que vous utilisez WPML Vous avez acheté WPML et vous l’avez installé sur un ou plusieurs de vos sites Ou alors peut-être l’avez vous prévu
J’ai fait la même chose mais je me suis retrouvé avec bien des problèmes, car WPML est venu avec un paquet de failles de sécurité qui, malgré mes efforts de tout garder mis à jour, ont permis à deux de mes sites les plus importants d’être piratés.
WPML a exposé des informations sensibles à des personnes avec peu d’expérience dans le développement et qui ne disposaient que de l’accès au code de WPML et d’un intérêt à découvrir combien il serait facile à casser.
Je suis en mesure de le dire étant donné que ce plugin a été utilisé sur wpml.org également.
S’il-vous plaît, prenez cette recommandation au sérieux et pensez à tripler la sécurité de vos sites Web lorsque vous utilisez- WPML, si vous DEVEZ l’utiliser. Faites fréquemment des sauvegardes et surveillez de près vos sites Web. Ne laissez pas des informations sensibles traîner dans la base de données ou sur le serveur.
N’utilisez que les composants et fonctionnalités WPML dont vous avez vraiment besoin. Sinon demandez un remboursement.
Ne pensez pas que si vous changez un composant logiciel cela suffira à dire qu’il est 100 % à l’épreuve du piratage. WPML reçoit beaucoup de louanges mais ne prouve rien.
C’est une honte de voir qu’après une étiquette de prix déraisonnable et un support nul, les choses peuvent encore aller de mal en pis.
Je leur ai fait un courriel avec des détails sur les vulnérabilités et, par chance, ils ont été en mesure de réagir rapidement avec une mise à jour. Mais restez sur vos gardes “.