Des chercheurs en cybersécurité de Sucuri, société de sécurité web appartenant à GoDaddy, ont découvert qu'un plugin WordPress inactif mais légitime, Eval PHP, est exploité pour compromettre des sites web. Eval PHP a été développé à l'origine pour permettre aux utilisateurs d'ajouter du code PHP aux articles et aux données de blog, sa dernière mise à jour datant d'une dizaine d'années. Depuis, il a connu des téléchargements négligeables pendant une longue période avant de connaître une hausse soudaine des téléchargements au cours du mois dernier, accumulant plus de 100 000 téléchargements avec un pic de 7 000 téléchargements par jour.
L'avis de Sucuri détaille les tactiques employées par les pirates à l'aide d'Eval PHP. Le code crée un script PHP dans le docroot du site web qui comporte une porte dérobée d'exécution de code à distance spécifiée utilisant la fonction file_put_contents. Comme la porte dérobée s'appuie sur $_REQUEST[id] pour acquérir le code PHP exécutable, elle peut obtenir le contenu de $_GET, $_POST et $_COOKIE, cachant efficacement ses paramètres en apparaissant comme des cookies. Sucuri souligne que, bien que moins détectable que POST, GET est tout aussi dangereux.
De plus, Sucuri identifie que les pirates créent des portes dérobées à travers divers projets de posts, les rendant invisibles au public et plus difficiles à découvrir que les pages publiées. WordPress n'a pas encore commenté sa politique concernant les plugins abandonnés en réponse aux demandes de TechRadar Pro. En attendant, Sucuri conseille aux utilisateurs de WordPress de renforcer leur panneau wp-admin et de surveiller l'activité avec diligence. L'organisation propose un plan en quatre étapes pour améliorer la sécurité :
- Veillez à ce que votre site web soit mis à jour et corrigé en fonction des dernières versions de sécurité.
- Mettez en place une authentification à deux facteurs (2FA) ou une mesure de restriction d'accès similaire pour votre panneau d'administration.
- Effectuez des sauvegardes régulières de votre site web pour vous prémunir contre les incidents imprévus.
- Utiliser un pare-feu d'application web pour se protéger contre les robots malveillants et corriger virtuellement les vulnérabilités connues.
Avec l'adoption croissante des plateformes no-code et low-code, les développeurs et les chefs d'entreprise peuvent créer des applications web et mobiles en toute simplicité, en évitant les complications liées aux plugins obsolètes. L'une de ces solutions est la plateforme AppMaster, un outil no-code accessible et évolutif pour la création d'applications dorsales, web et mobiles. AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.
Pour plus d'informations sur le développement d'applications no-code et low-code, consultez notre guide complet : Guide complet sur No-Code, Low-Code App Development for 2022.