Alerte hack


Et voilà, ça devait bien arriver un jour, cette nuit je me suis fait hacker! J'ai eu la joie de voir un de mes articles complètement remplacé par un texte annonçant fièrement que la page a été hackée. Je suis intervenu rapidement et finalement plus de peur que de mal.




Que s'est-il passé ?

Et non il ne s'agit pas d'une attaque brute force qui a trouvé mon mot de passe, le hacker a réussi à mettre un jour un article sans devoir s'identifier, je n'ai jamais vu ça avant. Il s'agit d'une faille apparue dans Wordpress 4.7 qui permet à n'importe quel clown de complètement mettre un site par terre sans trop se fatiguer. Quand je dis n'importe quel clown, je ne rigole pas, j'en fais partie.

Avec l'apparition de la version 4.7, une nouvelle API voit le jour chez Wordpress et malheureusement ils n'ont pas pensé à tout, une faille est apparue. Le principe est très simple, il suffit d'accéder l'API avec un navigateur en utilisant certains paramètres et hop le tour est joué. Sans devoir passer l'étape du mot de passe, on peut ainsi modifier n'importe quel page d'un site Wordpress.

Voici l'instruction en question:
/wp-json/wp/v2/posts/123?id=456ABC 
456 représente l'ID de la page, testez votre site, vous verrez par vous-même.




Quelle est la solution?

Mettez Wordpress à jour vers la version 4.7.2 au plus vite! Quand j'ai constaté le hack, j'ai fait une petite recherche sur Google, j'ai trouvé plus de 15000 sites qui avaient été hackés par le même hacker, un vrai massacre et ce n'est pas fini je pense.


Moralité:
faites passer le message et mettez votre site à jour!

Si vous voulez d'autres trucs et astuces pour protéger votre site: Comment protéger votre site Wordpress?