WordPress : 20 Pirates s\'amusent à infecter et supprimer des pages

WordPress qui n’ont pas encore appliqué le récent correctif concernant une vulnérabilité critique.

WordPress : 20 Pirates s\'amusent à infecter et supprimer des pages

Il s’agit d’une affaire tellement sérieuse que a commencé à avertir certains webmasters de blogs , via la Search Console et par email, qu’il a découvert une faille de sécurité sur leurs blogs WordPress, avant de leur conseiller de les mettre à jour.

Alors, de quoi s’agit-il ? Tout est en rapport avec la version 4.7.2 de WordPress récemment lancée.

Informations sur la vulnérabilité de l’API REST

Le 26 janvier dernier, WordPress publié la version 4.7.2 dans laquelle figurait un correctif de sécurité pour une vulnérabilité critique qui permet aux pirates de modifier le contenu sur un site WordPress.

Ils n’avaient pas en ce moment là annoncé l’existence d’un correctif très important afin que les pirates ne soient pas conscients de la vulnérabilité pendant que le mécanisme de mise à jour automatique de WordPress aient mis à à jour les sites vulnérables.

Le correctif de sécurité caché, jusque là, a finalement été révélé le 1er février 2017, soit 6 jours plus tard, une période au cours de laquelle les pirates avait déjà pris connaissance de l’exploit ou faille de sécurité.

À cette période là, un grand nombre de sites Web WordPress avait déjà migré vers la version 4.7.2 (la plus récente).

Et, comme il fallait s’y attendre, à compter du 3 Février, les services de sécurité informatique ont commencé à constater une multiplication des attaques ciblant la vulnérabilité de l’API REST.

Une API compatible REST, ou “RESTful”, est une interface de programmation d\’application qui fait appel à des requêtes HTTP pour obtenir (GET), placer (PUT), publier (POST) et supprimer (DELETE) des données.

La vulnérabilité, située dans l’API REST de la plateforme, permet donc, selon Computerworld.com, à des attaquants non authentifiés de modifier le contenu de n’importe quel article ou page d’un site WordPress.

La faille a été corrigée dans la version WordPress 4.7.2, sortie le 26 janvier, mais l’équipe de WordPress ne divulgue pas publiquement l’existence de la vulnérabilité avant une semaine plus tard, afin de permettre à un grand nombre d’utilisateurs d’avoir le temps de déployer la mise à jour.

Cependant, même après que la faille soit devenue publique, beaucoup de webmasters n’avaient pas encore décidé d’appliquer le patch. Et il s’en est suivi une vague impressionnante de piratages des sites et blogs WordPress non mis à jour.

Le lundi 6 Février, l’entreprise de sécurité Web dénommée Sucuri a signalé qu’environ 67.000 pages avaient été effacées dans les 4 vagues d’attaques distinctes contre des sites WordPress.

Depuis lors, le nombre de pages supprimées a augmenté de plus 1,5 millions et il y a 20 signatures d’attaques différentes, selon les de Feedjit, l’entreprise derrière le plugin WordPress de sécurité Wordfence.

Le nombre de sites uniques touchés était alors estimé à environ 40.000, en considérant toutefois qu’un site peut avoir plusieurs pages corrompues ou supprimées.

Le Jeudi 9 Février dernier, le PDG de Feedjit a publié un autre post pour dire :

En 48 heures, nous avons constaté plus de 800.000 attaques exploitant cette vulnérabilité spécifique à travers les sites WordPress que nous surveillons.

Bref, l’heure est grave. Vous devez donc comprendre que si WordPress vous propose une version récente, vous devez absolument migrer votre site vers cette nouvelle version.

Car, les pirates profitent justement du temps d’attente de nombreux webmasters, et donc de la mise à jour souvent tardive et non immédiate, pour sévir et compromettre les sites WordPress.

Ce qui est plus facile pour eux, d\’autant plus qu\’ils connaissent déjà la faille de sécurité que permet de corriger chaque nouvelle version de WordPress. Alors, il ne leur reste plus qu\’à chercher les sites non mis à jour.

Alors, si ce n’est pas encore fait, téléchargez la version 4.7.2 de WordPress et mettez à jour votre site ou blog.

Let\'s Encrypt s’apprête à sécuriser gratuitement tous les sites web via HTTPS

L’organisation Let’s Encrypt annonce que ses certificats de sécurité gratuits ont maintenant été approuvés par tous les principaux navigateurs web.

Let\'s Encrypt s’apprête à sécuriser gratuitement tous les sites web avec HTTPS

Il s’agit donc de l’ultime étape qui va permettre à cette organisation d’assurer sa mission de sécurisation gratuite à l\’aide du protocole HTTPS tous les sites web.

En tant qu’autorité de certification ouverte proposée par Internet Security Research Group (ISRG) et sponsorisée par des entreprises telles que Mozilla et Automattic (.com), Let’s Encrypt vise à équiper les sites web légitimes de toute taille avec des certificats TLS/SSL permettant aux navigateurs de les identifier correctement et de chiffrer (cryptage) les données, activités et transactions des utilisateurs afin de les protéger contre tout piratage.

Let’s Encrypt a a publié son premier certificat en Septembre dernier et a maintenant reçu les signatures du fournisseur de certificats SSL “IdenTrust”. Il peut donc commencer à les distribuer plus largement aux sites web et permettre ainsi aux utilisateurs de naviguer en toute sécurité sur ces sites.

Let\'s Encrypt s’apprête à sécuriser gratuitement tous les sites web avec des certificats HTTPS

Let’s Encrypt commencera à délivrer des certificats SSL gratuits à partir du mois de Novembre 2015. Ce qui devrait aider les sites à adopter plus facilement le chiffrement tout en réduisant de façon significative les coûts d’installation.

Rappelons que a déjà déclaré l’hébergement sécurisé HTTPS comme facteur de référencement et que cette annonce pourrait bientôt le pousser à déclarer ce critère comme globalement effectif pour accélérer son adoption.

D’ailleurs, Google procède actuellement à la migration des sites de sa plateforme Blogger vers le HTTPS .

Google : l\'AuthorRank existe… La preuve !


Au mois de juin 2013, une série de brevets de concernant le fonctionnement de son moteur de recherche ont été rendus publics.

Parmi ces brevets qui traitent tous d\’auteur identifié par Google+ Authorship et de son Autorité

System and method for determining topic authority

\ »A method and system for determining topical authority may include receiving topic information for a document, the information including at least one topic and a weight for each topic, where the topic relates to content of the document, and the weight represents how strongly the topic is associated with the document.

Authorship information for the document may be received, the information including, for each topic in the document, at least one author and an authorship percentage for each author.

An update to an authority signature value for a first author of a first topic may be generated based on a product of an authorship percentage for the first author of the first topic and the weight of the first topic in the document, where the first topic is included in the received topic information\ ».

Une mise à jour de la pour le premier auteur du premier sujet et le poids du premier sujet dans le document, où le premier sujet est inclus dans les informations de la thématique reçues ».

System and method for determining similar topics\ » résume bien cet objectif de catégorisation :

\ »A method and system for determining similar topics may include receiving user information for one or more users, the information including at least one topic and a user value for each topic, where the user value represents how strongly the user is associated with that topic.

Topic information for a source topic may be generated based on the user information, the topic information including at least one user and a topic value for each user, where the topic value represents how strongly the topic is associated with that user.

Similarity scores may be generated based on a topic value for each user for the source topic and a topic value for the same user for each topic in a set of topics, where each topic in the set of topics is associated with a topic value for each user. Similar topics may be selected and output\ ».

user value ou encore topic value for each user