Cybersécurité

Plus de 15 000 sites WordPress, victimes d’une nouvelle attaque !

Aurore C.
De Aurore C.
5 min de lecture
Gros plan sur un écran d'ordinateur présentant une page Wordpress
Affichage de page Wordpress avec effet glitch

Une nouvelle campagne malveillante a compromis plus de 15 000 sites WordPress dans le but de rediriger les visiteurs vers de faux portails de FAQ.

WordPress, cible d’une nouvelle campagne malveillante de référencement négatif

Des chercheurs en cybersécurité ont détecté une nouvelle campagne malveillante destinée aux sites WordPress, déjà cibles d’attaques régulières. Cette attaque de seo blackhat a compromis plus de 15 000 sites du CMS WordPress, dans le but de rediriger les visiteurs vers de faux sites de FAQ, ayant pour la plupart des thématiques liées aux crypto-monnaies et à la finance.

Comment fonctionne l’attaque ?

De nombreux fichiers php compromis

Pour réaliser les redirections, les pirates utilisent des fichiers PHP WordPress modifiés, voire leurs propres fichiers. En moyenne, les sites compromis contiennent 100 fichiers chacun.

Pour l’heure, aucune activité malveillante n’a été détectée depuis ces sites de spam. Toutefois, les acteurs de cette campagne de seo black hat peuvent ajouter des logiciels malveillants ou rediriger les visiteurs des sites ciblés vers des sites malveillants.

Parmi les pages les plus fréquemment infectées, figurent wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc.php, wp-activate.php, wp-trackback.php et wp-blog-header.php.

Redirection vers un site spam

L’objectif final de la campagne est de « générer plus de trafic vers leurs faux sites » et de « renforcer l’autorité des sites en utilisant de faux clics sur les résultats de recherche pour que Google les classe mieux ».
Pour atteindre ce but, le code injecté redirige vers une image PNG hébergée sur un domaine nommé « ois[.]is » qui, au lieu de charger une image, amène le visiteur du site vers une URL d’un domaine de FAQ spam.

Une campagne SEO aux caractéristiques particulières

Une des caractéristiques de cette campagne black hat est la capacité des pirates à modifier plus de 100 fichiers en moyenne, par site internet. Cette approche contraste fortement avec d’autres attaques de ce type, où seule une quantité limitée de fichiers est modifiée pour réduire les traces de passage et échapper à toute détection.

Avec cette compromission étendue, le malware peut exécuter des redirections vers les sites du choix de l’attaquant. À noter que les redirections ne se produisent pas si le cookie WordPress_logged_in est présent ou si la page active est wp-login.php (c’est-à-dire la page de connexion), afin de ne pas éveiller les soupçons.

Une attaque de SEO black hat aux résultats nuancés

L’entreprise de cybersécurité Sucuri a détaillé dans un rapport, qu’il semble que ces redirections malveillantes soient conçues dans le but d’augmenter l’autorité des sites de l’attaquant pour les moteurs de recherche. Ce même document qualifie cette attaque d’« astuce intelligente de black hat SEO ». Cette technique de pollution des moteurs de recherche vise à promouvoir une « poignée de faux sites de questions-réponses de faible qualité » qui partagent des structures similaires et qui sont exploités par le même acteur malveillant.


« Il est possible que ces mauvais acteurs essaient simplement de convaincre Google que des personnes réelles provenant de différentes IP et utilisant différents navigateurs cliquent sur leurs résultats de recherche. Cette technique envoie artificiellement à Google des signaux indiquant que ces pages sont performantes dans les pages de recherches ». Ajoute Ben Martin, chercheur chez Sucuri. « Il s’agit d’une astuce de black hat SEO plutôt habile que nous avons rarement vue utilisée dans des campagnes de piratage massives. Cependant, son effet est discutable dans la mesure où Google obtiendra de nombreux « clic » sur les résultats de recherche sans qu’aucune recherche réelle ne soit effectuée.»

Comment se protéger de cette attaque de redirection

Sucuri a déclaré n’avoir relevé aucune faille dans les plugins infectés par les acteurs malveillants. Toutefois, le brute-forcing des comptes d’administrateur WordPress est soupçonné. Il est donc essentiel que les utilisateurs du CMS activent l’authentification à deux facteurs et s’assurent que tous les logiciels et extensions sont à jour avec les derniers correctifs de sécurité.

Vous devriez également aimer

Une faille dans Cursor : plus de 3 200 développeurs infectés via des packages npm malveillants

Alerte : Un faux plugin de sécurité WordPress utilisé pour propager un malware

Data Smuggling avec les émojis : l’astuce méconnue d’Unicode

Fuite majeure chez DeepSeek : clés API et logs dévoilés

Une campagne de malvertising cible les utilisateurs de Google Ads

Partager cet article
Article précédent Une faille dans Android permettait de contourner l’écran de verrouillage des smartphones
Article suivant Le modèle « Crime-as-a-Service » se développe selon le rapport Sophos 2023
Laisser un avis

Laisser un avis

Restez connecté

Faites confiance à BBND
Développez tous vos projets digitaux grâce à une équipe d'experts

Dernières actualités

Illustration représentant Rclone, un outil de synchronisation cloud en ligne de commande, avec une icône de cloud et flèches de transfert
Rclone : Guide complet pour synchroniser, sauvegarder et monter vos fichiers cloud
Technologie
Schéma comparatif entre IPMI, PiKVM et NanoKVM pour le contrôle à distance
IPMI, PiKVM ou NanoKVM : Quelle solution KVM choisir ?
Hardware
Des packages npm malveillants compromettent Cursor, volent des identifiants et cryptomonnaies, et déploient des chevaux de Troie. Détail des campagnes.
Une faille dans Cursor : plus de 3 200 développeurs infectés via des packages npm malveillants
Cybersécurité
Filament v3 laravel
Pourquoi Filament V3 change-t-il la donne pour les développeurs Laravel ?
Développement Web
Mot de passe perdu ?