Tentative de défacement de site : un grand merci à Cédric
19 septembre 2023
Malgré toutes mes sécurités, il semble qu’un bot soit parvenu à se connecter directement à mon interface d’administration. D’après son adresse ip, la connexion se serait faite à partir de Russie.
cat /var/log/httpd/dsfc-access_log|grep -P "wp-login\.php" 37.139.53.25 - - [18/Sep/2023:22:55:41 +0200] "GET / HTTP/1.0" 200 82558 "https://www.dsfc.net/wp-login.php" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36"
J’ai eu beaucoup de chance. Le bot s’est contenté d’ajouter des liens au fichier footer.php de mon thème WordPress. Il aurait pu me dézinguer tout mon site ! L’objectif était-il d’entacher la réputation de ce site ?
Deux mesures complémentaires
1ère mesure : je dois changer mon mot de passe !
2e mesure : malgré les modules Apache mod_security, mod_evasive, les restrictions d’adresses et de navigateurs à partir desquelles j’autorise les machines à se connecter, j’ai repéré un oubli de ma part sur les droits des fichiers PHP, JS notamment que je dois repasser en lecture seule.
find /home/www -type f |grep -P "\.(php|js|css|jpe?g|png|gif)$"|xargs -i chmod a-w {}
Mes interrogations
N’ayant aucune trace d’attaque en force brute, je me demande bien par quel miracle le bot a-t-il pu récupérer mon mot de passe d’administration de ce blog. J’ai vérifié l’hypothèse d’un déchiffrement opéré au niveau de ma Freebox : nada.
Restent deux hypothèses :
- une faille de sécurité au niveau d’un des plugins WordPress que je viens de mettre à jour, Yoast SEO que je m’étais résolu à installer à contre cœur ;
- un vol de mot de passe à partir d’un plugin Firefox, sans effet possible compte tenu des limitations de connexion sur mes sites.
