Mail Poet hack (Créer un compte)

Bonjour, suite au hack d’un de mes sites, je voulais vous tenir au courant au sujet du plugin de newsletter Mail Poet Wysija contenant une faille de sécurité majeur, même la 2.6.9

Je conseil à tout ceux qui l’ont d’installer de vérifier les fichiers de leur installation.

Le hack consiste à ajouter un backdoor (code crypté permettant de faire presque tout sur le serveur ou est hébergé le site) il se trouve dans chaque fichier .php du site en première ligne il différent à chaque fois mais il ressemble à peut prés à ceci :

$efvzycuhdd = ‘7825V<*#fopoV;hojepdoF.%x5c%x782f#%x5c%x782f#%x5c%x%x5c%x787f<*X&Z&S{ftm[....]

si vous trouvez ceci par exemple dans le fichier wp-config à la racine vous êtes infecté, il ne reste plus qu’a réinstaller votre site, nettoyer vos thèmes réinstaller vos plugins en prenant soins de supprimer mail poet, ainsi que le dossier dans wp-content -> upload -> wysija
Changer tous vos mots de passes FTP, BDD, Admin WP, htpasswd, et conseillez à tout vos abonnées de faire également leur compte.

J’ai eu la mauvaise surprise de comprendre trop tard que tous les sites contenue dans le même espace d’hébergement ont été eux aussi vérolés.