[Résolu] URGENT ! Nouvelle façon de piraté un wordpress et donc comment le bloquer ?

  • WordPress :5.2
  • Statut : résolu
15 sujets de 16 à 30 (sur un total de 32)
  • Auteur
    Messages
  • #2269809
    FrechInfoWeb
    Participant
    Initié WordPress
    38 contributions

    Bonjour,

    Comme convenu je reviens ici pour en dire les résultats, c’était bien une faille WordPress mais en passant par la version de PHP 5.6 car par défaut les clients qui sont là depuis des années n’ont pas changé leur version de PHP qui est resté la 5.6 à ce jour, donc j’ai changé leur version de PHP en 7.3 et depuis plus aucun problème.

    Je vais donc passer ce post en résolu.

    En tout cas, merci à vous pour vos réponses.

    Cordialement, Julien de FréchInfoWeb

    #2269810
    Li-An
    Modérateur
    Maître WordPress
    22737 contributions

    C’est un peu étrange ce que vous nous dites. C’est php 5.6 ou Version 5.6.40 ? Parce que si c’est une faille php, WP n’a rien à voir là-dedans.  D’ailleurs, comme indiqué ici https://fr.wordpress.org/about/requirements/

    Note : si vous êtes dans un environnement hérité où vous avez uniquement des anciennes versions de PHP ou MySQL, sachez que WordPress fonctionne aussi avec PHP 5.6.20+ et MySQL 5.0+, mais ces versions sont en fin de vie et peuvent exposer votre site à des failles de sécurité.

    Vous ne pouvez donc pas parler de faille WP dans ce cas précis. Vos interprétations sont pour le moins étrange.

    #2270413
    FrechInfoWeb
    Participant
    Initié WordPress
    38 contributions

    Bonjour,

    ce que je veux dire c’est qu’aucun site sur php 5.6 n’est piratable comme ça mais par contre wordpress est piratable avec la version 5.6, donc dans un sens wordpress à une faille mais qui est plus accessible sur une version php 7.x

    La version de php5.6 c’est :
    <table id=”cpanel_info_table” class=”table table-striped” width=”100%”>
    <tbody>
    <tr>
    <td id=”stats_phpversion_text” class=”stats_left”>Version de PHP</td>
    <td id=”stats_phpversion_value” class=”stats_right”>5.6.40</td>
    </tr>
    </tbody>
    </table>
    Cordialement, Julien de FréchInfoWeb

    #2270435
    Li-An
    Modérateur
    Maître WordPress
    22737 contributions

    Je rappelle que pour montrer qu’il y a un problème de sécurité lié au code, il faut pointer le code fautif. Se faire pirater n’est pas suffisant.

    #2270447
    Flobogo
    Modérateur
    Maître WordPress
    15859 contributions

    qu’aucun site sur php 5.6 n’est piratable comme ça

    “comme ça” quoi ? Vous avez essayé ? Vous avez fait une enquête auprès de sites encore en PHP 5.6.x, pour savoir si ils avaient été piratés ? Vous avez des statistiques qui prouvent que les sites en PHP 5.6.x ne sont pas piratés ? 🙄

    Comme Li-An l’a indiqué, les prérequis de WordPress conseillent fortement d’éviter les versions anciennes de PHP.

    par défaut les clients qui sont là depuis des années n’ont pas changé leur version de PHP qui est resté la 5.6 à ce jour

    Ce n’est donc pas WordPress qui est en cause, mais l’hébergeur, qui devrait adresser une information de mise à jour en PHP 7.+

    #2270471
    FrechInfoWeb
    Participant
    Initié WordPress
    38 contributions

    Bonjour,

    Je finirais sur ce post car visiblement ce post dérange Samy Rabih et j’en suis désolé.

    Je n’étais pas venu ici pour me faire ensuite insulter sur twitter, mais pour avoir de l’aide et pouvoir aider d’autres personnes qui seraient dans le même cas.

    Donc l’hébergeur c’est-à-dire moi à fait le nécessaire auprès des clients à chaque nouvelles mise à jour via un e-mail et bientôt via le blog, mais les clients ne savent pas trop à quoi sert tel fonctionnalité ou tel autre, je ne peux pas obliger les clients à passer sur une nouvelle version de PHP comme ça d’un coup sans qu’ils ai vérifié leur site web s’il est compatible php7.2 ou 7.3 donc après c’est à eux de décider, ils ont accès aux différentes version de PHP via l’administration, et ce n’est pas à moi en tant qu’hébergeur de rentrer sur leur serveur pour les passer sur les nouvelles version.

    Si vous avez un hébergeur qui rentre sur un site web de client et change les versions de PHP quitte à faire des erreurs 404, de base de données (car le code entre 5.6 et 7.0 n’est pas le même pour la connexion à la base de données, et bien dites-le moi car je n’en ai pas encore trouvé jusque-là.

    Vous avez des serveurs dédiés ? que ce soit chez OVH ou un autre, vous n’êtes pas informé en disant que des techniciens vont venir sur le serveur et supprimer les anciennes versions de PHP pour passer à la nouvelle version à tel date donc si vous avez des sites web non compatible tempi pour vous !!

    J’étais venu ici pour dire qu’il y avait une faille dans WordPress et qu’il faut la trouver de toute urgence pour éviter que d’autre tombe sur ces hackers car j’avais dit PHP 7.2, avec des recherches on a trouvé la faille, ils passent par la version 5.6 de PHP pour rentrer dans WordPress pour changer les identifiants dans la base de données et des fichiers de WordPress et pouvoir rentrer dans l’administration.

    J’ai peut-être parlé trop vite et je m’en excuse mais ce n’est pas une raison pour m’humilier sur twitter en disant que quand j’écris on dirait que je suis bourré, j’ai voulu aider des clients qui avait ce souci sur mes serveurs alors que ce n’est pas mon travail et que je ne fais pas de site WordPress vu que je ne suis que l’hébergeur et au finale c’est dans un premier temps eux qui n’avaient pas fait le nécessaire en passant sur la version 7.2 ou 7.3 de PHP.

    Donc je m’en excuse si cela a dérangé, vous pouvez supprimer la discussion entière si vous voulez.

    Cordialement, Julien de FréchInfoWeb

    #2270497
    Li-An
    Modérateur
    Maître WordPress
    22737 contributions

    Je ne connais pas la personne qui vous a insulté − je ne sais même pas s’il est membre de ce forum. Si vous pensez de toute manière qu’il y a une faille (ce que vous ne pouvez malheureusement pas prouver réellement en ciblant le code coupable), ce n’est de toute manière pas sur ce forum qu’il faut le faire. Il faut suivre les instructions données ici https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/. Il y est d’ailleurs clairement indiqué que signaler un hacking n’est pas considéré comme une faille de sécurité. Pour cela, il faut pouvoir expliquer clairement comment le pirate a hacké votre site, ce qui n’est pas votre cas.

    Je suis toutefois intéressé de voir le Twitter en question : je lui dirai bien ma façon de penser à ce Samy Rabih. C’est bien beau de se moquer des gens mais ce serait mieux de les aider.

    #2276056
    FrechInfoWeb
    Participant
    Initié WordPress
    38 contributions

    Bonjour,

    Merci pour votre message, donc je reviens ici pour dire que je viens de me rendre compte qu’un site web que je vais très peu dessus s’est encore fait pirater de la même manière mais seulement à moitié ce n’est donc toujours pas résolu pour certains site web visiblement.

    J’aimerais donc savoir ce qui faut faire pour trouver comment il fait pour pirater le site web, je vais donc vous dire tout ce que je sais ci-dessous et j’attends vos réponses de savoir comment faire.

    Cette fois-ci le pirate à seulement fait une chose, c’est changer les identifiants dans la base de données de “identifiants personnalisé” en “admin” et le “motdepassepersonnalisé” en “a09ac1f98189b89fd578b4fca7bf8bb2”.

    La configuration du serveur :

    Version PHP : 7.2.7

    Version du serveur MySQL : 5.7.27 – MySQL Community Server (GPL)

    Serveur web : Version du client de base de données : libmysql – 5.6.43

    On peut déjà éliminer tout problème côté serveur car aucune information n’a été modifié.

    Site web : https://www.poussins-ae.net/

    Version : 5.2.3–fr_FR

    Extensions : Akismet Anti-Spam et une qui n’étais pas avant et que le site web se faisait quand même pirater : SF Move Login

    Thème WordPress : twentyten

    Installé dans le htaccess :

    <Files “xmlrpc.php”>
    Order Deny,Allow
    Deny from all
    </Files>

    Je pense avoir fait le tour de tous les éléments, si vous avez des questions n’hésitez pas à m’en faire part mais si c’est un problème qui persiste sur des sites web propre mais que les gens ne le disent pas alors c’est normal que l’on ne la connaisse pas.

    En tout cas on sait une chose, c’est qu’il fait qu’une seule chose modification de deux données dans la base de données :

    “identifiants personnalisé” en “admin” et le “motdepassepersonnalisé” en “a09ac1f98189b89fd578b4fca7bf8bb2” donc pour moi c’est de l’injection SQL mais où quoi comment ça je ne pourrais pas vous dire car aucun log côté serveur.

    Si vous avez des idées pour aider à résoudre ce mystère qui visiblement touche que les WordPress. Pour le moment, c’est le seul qui a été touché donc c’est peut-être plus difficile pour lui à les pirater avec les nouvelles versions de PHP et MySQL.

    Cordialement, Julien de FréchInfoWeb

    #2276059
    Li-An
    Modérateur
    Maître WordPress
    22737 contributions

    Bonjour, si tous vos sites sont sur le même serveur, le pirate a la possibilité de passer d’un site à l’autre si ce serveur n’est pas protégé comme il le faut.  Ce n’est évidemment qu’une éventualité mais c’est en fait une source assez courante de propagation chez les hébergeurs mal sécurisés. Cela dépasse le cadre de WP et nécessite une vraie qualification et comme vous hébergez vous-mêmes vos sites, on ne peut pas se retourner vers l’hébergeur.

    Je n’y connais rien mais si des sites basiques sans rien d’installé dessus se font pirater sur votre serveur, c’est qu’il y a une faille à ce niveau (ou au niveau du navigateur utilisé ou de l’appareil utilisé pour se connecter). Personnellement, je vous conseillerai de vous tourner vers un professionnel. Il est impossible de vous aider via un forum, il faut une personne compétente qui a accès au serveur etc…

    #2276060
    Hervel
    Participant
    Maître WordPress
    30288 contributions
    #2276067
    FrechInfoWeb
    Participant
    Initié WordPress
    38 contributions

    Bonjour,

    Pour répondre à  Li-An, je suis hébergeur et il est sécurisé à 999999999999999999999999999999999% car on ne peut pas dire 100% car il y a toujours un risque mais autrement dit pour pirater le serveur faut y aller.

    En plus chaque compte est emprisonné donc impossible pour qui que ce soit de passer d’un compte à l’autre d’ailleurs j’avais même un client qui m’a demandé un fichier d’un backup pas plus tard qu’il y a deux semaines j’ai mis le fichier dans son espace web et il n’a pas pu le modifier car je l’avais mis en root et non au nom de l’utilisateur.

    Pour continuer sur la sécurité du serveur, vous avez demandé si les autres utilisateurs été piraté, la réponse est non vu qu’ils sont tous en Jail et c’est fait exprès, personne et donc même les pirates ne peuvent pas accéder aux autres comptes donc c’est pour cela que la première fois seul les 8 WordPress sur les 45 sites installé sur le serveur (PrestaShop, ou code à la main, etc.), seul les WordPress se sont fait pirater.

    Et le cas aujourd’hui il y en a qu’un seul sur les 8 qui s’est fait pirater et si vous avez bien lu seulement une requête d’injection permet de modifier l’utilisateur et le mot de passe et où on passe pour faire des requêtes d’injection ? via un script PHP déjà installé sur le WordPress ou du JavaScript côté hacker mais après je ne connais pas bien le WordPress donc je ne sais pas d’où cela peut provenir du coup.

    Pour répondre à Hervel, il n’y a aucun plugin d’installé à part akismet qui s’avère être un module de base de WordPress et le thème twentyten qui s’avère être un thème de WordPress.

    Donc c’est pour ça que je pense à un script qui passe par je ne sais pas où mais qui permettrait de faire des requêtes d’injection pour modifier l’identifiant et le mot de passe vu qu’il y a que cela en modification et qu’il ne passe pas côté serveur pour les faire. Mais c’est tout ce qu’il a fait aucun fichier n’a été modifié sur le WordPress donc il n’a même pas eu le temps de se connecter à l’administration à mon avis.

    Cordialement, Julien de FréchInfoWeb

    #2276071
    Li-An
    Modérateur
    Maître WordPress
    22737 contributions

    Dans ces cas-là faites un nettoyage classique  https://wpfr.net/support/sujet/solutions-de-depannage-pour-un-site-hacke-pirate/

    #2276084
    Flobogo
    Modérateur
    Maître WordPress
    15859 contributions

    Bonjour,

    C’est pas pour dire, mais Twenty ten est un thème ancien. Vous avez bien la dernière version ? (v.2.9 datant de mai 2019)

    #2276114
    FrechInfoWeb
    Participant
    Initié WordPress
    38 contributions

    Bonjour,

    oui j’ai bien la dernière version la v2.9

    Cordialement, Julien de FréchInfoWeb

    #2276122
    Hervel
    Participant
    Maître WordPress
    30288 contributions

    Bonjour @frechinfoweb
    Je ne pensais aux plugins, vu qu’un de vos sites n’a que Akismet.

    C’était juste pour indiquer qu’il y a des attaques de hacker en ce moment.

    https://www.plesk.com/blog/featured/guard-your-wordpress-security-understand-sql-injections/

    Si WordPress ne vous convient pas, il y a d’autres CMS.

15 sujets de 16 à 30 (sur un total de 32)
  • Le sujet ‘[Résolu] URGENT ! Nouvelle façon de piraté un wordpress et donc comment le bloquer ?’ est fermé à de nouvelles réponses.