Pascal Posted August 25, 2021 Share Posted August 25, 2021 Bonjour à tous, Tentatives de connexion sur tentatives de connexions. C'est la première fois que ça arrive à un tel niveau... Je crée un site perso avec Wordpress, avec demande de ne pas indexer le site par les moteurs de recherche. Le site est complétement privé, mot de passe obligatoire et nous ne sommes qu'une petite dizaine à y accéder. Comme d'habitude, j'installe le plugin Wordfence pour surveiller tout ça. Et là, ca n'arrête pas de me signaler des tentatives de connexion... Hop, installation d'un plugin pour bloquer les IP par pays, après tout, c'est privé, je connais les utilisateurs, ils sont tous en France. Je clique sur "envoyer un mail lors d'une tentative de connexion" et ça n'arrête pas, je n'ai jamais vu ça depuis que je suis chez Web4all. Obligé de désactiver l'envoi des mails... Je ne sais pas si ça peut avoir un rapport avec les "ralentissements" constatés dernièrement et je ne sais pas s'il y a moyen de réduire tout ça sur l'architecture. Il semblerait également que "ces enfoirés" aient déjà mon nom d'utilisateur, mon adresse mail et qu'ils recherchent obstinément le mot de passe... le site a été créé il y a à peine une semaine. Vous aussi, vous avez ce genre de problème ou ça ne touche que ma pomme ? Link to comment Share on other sites More sharing options...
Pascal Posted August 25, 2021 Author Share Posted August 25, 2021 Bon, après épluchage des stats, j'ai donc 2 comptes administrateur sur ce wordpress. Toutes les tentatives d'intrusions ce fond avec les 2 identifiants liés au compte admin.... Ils ont les pseudos mais pas les mots de passe. Question, comment ont-ils eu les pseudos ? Link to comment Share on other sites More sharing options...
mdata Posted August 26, 2021 Share Posted August 26, 2021 Tu as mis des pseudo admin autres que les pseudo par défaut j'imagine ? Sinon j'avais effectivement rapporté des choses étranges à Yulpa il y a quelques mois (une tentative via une URL très bizarre sur le site avec de très nombreux accès) mais on n'a pas pu aller plus loin que le constat. Link to comment Share on other sites More sharing options...
hfrate Posted August 26, 2021 Share Posted August 26, 2021 Il y a 15 heures, Pascal a dit : Bon, après épluchage des stats, j'ai donc 2 comptes administrateur sur ce wordpress. Toutes les tentatives d'intrusions ce fond avec les 2 identifiants liés au compte admin.... Ils ont les pseudos mais pas les mots de passe. Question, comment ont-ils eu les pseudos ? Bonjour, Peut-être via a rest-Api ? ex. l'url /wp-json/wp/v2/users/1 est elle accessible ? Link to comment Share on other sites More sharing options...
Pascal Posted August 26, 2021 Author Share Posted August 26, 2021 J'ai ça : {"code":"rest_user_invalid_id","message":"Invalid user ID.","data":{"status":404}} Link to comment Share on other sites More sharing options...
Administrators Aurelien P. Posted August 26, 2021 Administrators Share Posted August 26, 2021 Bonjour, en effet depuis plusieurs mois c'est de pire en pire et malheureusement on ne peut pas faire grand chose à notre niveau 😢 mais cela impacte fortement l'infra Link to comment Share on other sites More sharing options...
mdata Posted August 26, 2021 Share Posted August 26, 2021 Est ce qu'il y a des sites plus particulièrement visés ou bien tout le monde en prend plein la poire ? Link to comment Share on other sites More sharing options...
Pascal Posted August 27, 2021 Author Share Posted August 27, 2021 Citation Tu as mis des pseudo admin autres que les pseudo par défaut j'imagine ? Ce ne sont pas les pseudos par défaut J'ai plusieurs sites, ils sont tous impactés. Tous, sauf le seul qui n'est pas sous wordpress. Après, vu la popularité de wordpress, c'est pas étonnant qu'ils essayent de rentrer par là. J'ai mis des restrictions pour réduire le nombre de tentatives...blocage d'IP pendant deux jours en cas de 2 tentatives de connexions. Le soucis, c'est qu'il faudrait que tout le monde le fasse sur le mutualisé, c'est pas gagné sachant pertinemment qu'il y a beaucoup de sites qui ne sont même pas mis à jour... 2 Link to comment Share on other sites More sharing options...
mdata Posted August 30, 2021 Share Posted August 30, 2021 Je n'utilise pas Wordfence mais j'utilise la protection contre le brute force de Jetpack. Par contre ça m'interpelle car si je suis d'accord que c'est un peu un sport de masse d'essayer de casser des Wordpress il y a l'interrogation sur la récupération des login admin, et ça normalement ça ne devrait pas arriver. Link to comment Share on other sites More sharing options...
Pascal Posted August 30, 2021 Author Share Posted August 30, 2021 Bin moi aussi ça m'interpelle... comment et en si peu de temps ? That is the question !!! Link to comment Share on other sites More sharing options...
mdata Posted August 30, 2021 Share Posted August 30, 2021 D'où aussi ma question (malheureusement sans réponse) sur le caractère global ou non des attaques, car ça serait bien de connaître le scope de l'attaque (au niveau des sites ou plus global de Yulpa) Link to comment Share on other sites More sharing options...
Pascal Posted August 30, 2021 Author Share Posted August 30, 2021 Analyse approfondie... Sur 6 sites, Il n'y en a qu'un seul (le dernier) dont les pseudos ont fuité. Sur 5 sites, suite à l'installation d'un plugin qui empêche l'accès à la page habituelle de connexion de Wordpress. Les attaques ont considérablement diminuées. Sur le 6ème site (celui concerné par la récupération des logins admins), désactivation de 2 plugins (pourtant à jour et réputés), blocage des IP par pays (c'est un site entièrement privé). Idem, attaques en baisse. Les 2 plugins désactivés n'étaient utilisés que sur le 6ème site, les 5 premiers sont construits sensiblement sur la même architecte au niveau des plugins. Je pense que "le vol" des logins venaient d'une faille dans un plugin. Grr... Link to comment Share on other sites More sharing options...
mdata Posted August 30, 2021 Share Posted August 30, 2021 Merci pour ce retour détaillé ! Du coup, quels sont ces plugins ? Link to comment Share on other sites More sharing options...
Pascal Posted August 30, 2021 Author Share Posted August 30, 2021 Mailpoet - Emails et newsletter Easy WP SMTP - Envoi mails par smtp 1 Link to comment Share on other sites More sharing options...
Pascal Posted August 30, 2021 Author Share Posted August 30, 2021 (edited) Trop curieux pour en rester là Peut être une piste... Il existe une vulnérabilité dans Easy WP SMTP qui se trouve dans un fichier journal de débogage. Ce que font d'abord les "assaillants", c’est obtenir un nom d’utilisateur de niveau administrateur à partir du site WordPress qu’ils essaient de pirater en utilisant des méthodes largement connues. Ensuite, ils accèdent à la page de connexion WordPress et envoient une réinitialisation de mot de passe pour le compte administrateur. Enfin, ils accèdent au fichier journal de débogage et récupèrent un enregistrement du lien de réinitialisation du mot de passe envoyé par le site WordPress. Une fois qu’ils ont récupéré ce lien, ils peuvent le saisir, réinitialiser le mot de passe, puis profiter d’un accès complet au site WordPress. Cette faille de sécurité a été découverte décembre 2020 et corrigée dans la dernière version (celle que j'avais installé). Je ne connais pas "les méthodes largement connues"... Edited August 30, 2021 by Pascal 1 Link to comment Share on other sites More sharing options...
mdata Posted August 30, 2021 Share Posted August 30, 2021 Moi non plus justement, j'aimerais bien savoir ce qu'il en est pour éventuellement combler les failles Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now