Une mystérieuse cyberattaque compromet plus de 5 000 sites web

Plus de 5 000 sites WordPress ont été compromis lors d’une mystérieuse cyberattaque d’origine inconnue, selon les chercheurs de c/side, une entreprise spécialisée en cybersécurité.

Des malfrants cherchent à dérober les données des sites web. Pour cela, les cybercriminels utilisent un script malveillant hébergé sur le domaine https://wp3[.]xyz/td.js. Ce script crée des comptes administrateurs non autorisés en exploitant un nom d’utilisateur et un mot de passe intégrés dans son code. Ensuite, il télécharge un plugin WordPress malveillant qui envoie des données sensibles (identifiants et journaux d’administration) vers un serveur distant.

Le moyen employé pour infiltrer les sites reste un mystère. « Nous n’avons pas identifié de dénominateur commun », indique c/side, qui poursuit son enquête et invite à la vigilance, fournissant des conseils pour tous ceux utilisant l’éditeur de site web concerné.

Pour limiter les risques, c/side recommande :

• Bloquer le domaine malveillant : Configurez votre pare-feu pour interdire toute communication avec https://wp3[.]xyz/td.js.
• Revoir les comptes administrateurs : Supprimez tout compte suspect.
• Analyser les plugins : Désinstallez tout plugin non reconnu ou douteux.
• Activer l’authentification à deux facteurs : Renforcez la sécurité des connexions.
• Appliquer des protections CSRF : Empêchez les actions malveillantes exécutées à votre insu.

Ces mesures sont essentielles pour protéger votre site en attendant plus d’informations sur cette attaque.

Cet article a été repris sur le site Univers FreeBox