Connaissez-vous Wordpress ? Si tel n’est pas le cas, les utilisateurs et créateurs de blogs en tous genres auraient certainement le plaisir de vous apprendre qu’il s’agit de l’une des plus célèbres plateformes de création de blogs.

Wordpress se présente comme une archive que l’on décompresse sur son serveur et permet de mettre en place rapidement un blog ou un site, accompagné d’une interface d’administration. La popularité de Wordpress vient de sa facilité d’emploi malgré une richesse qui peut rebuter le néophyte. Une facilité d’emploi confirmée par la compatibilité de bien des logiciels de gestion de blogs comme Windows Live Writer sur PC ou Ecto sur Mac OS X. La popularité de la plateforme joue par contre désormais en sa défaveur, car une vague d’attaques envahit actuellement la blogosphère.

C’est ainsi que Nik Cubrilovic, rédacteur chez nos confrères de TechCrunch, indique qu’il possède lui-même un blog utilisant Wordpress. Il a eu la très désagréable surprise, il y a six mois environ, de constater que de nouvelles pages avaient été créées sur le serveur, et pas simplement trois ou autre : des dizaines de milliers. L’ensemble du contenu de ces pages avait trait aux commerces dont les victimes de spam ont déjà l’habitude : produits pharmaceutiques aussi divers que variés, et contenu adulte.


En cherchant la réponse à cette énigme, l’auteur du blog est remonté jusqu’à un script qui fonctionnait mal, et dont le rôle était de justement filtrer les utilisateurs indésirables. La faille avait été corrigée rapidement par Wordpress, bien que le cas de figure se soit répété encore une fois avant aujourd’hui.

Mais là où se situe réellement le problème, c’est que la plateforme de blogs n’est pas un logiciel communiquant avec Internet de manière active : c’est un ensemble statique de fichiers. Dès lors, la majorité des auteurs de blogs, même utilisant Wordpress, ne sont pas au courant des tendances nouvelles en matière de sécurité, ou encore qu’il faut mettre à jour sa plateforme. Malheureusement, certains l’ont très bien compris, mais ce sont ceux qui ont créé des méthodes d’attaques automatisées et à grande échelle.

À travers les différentes failles recensées, des backdoors sont mises en place afin qu’un utilisateur malintentionné puisse aller et venir selon son bon vouloir. À partir de là, tout est possible : vol des comptes utilisateurs avec les mots de passe, installation de malwares pour exploiter des failles de navigateurs ou encore génération de milliers de pages de commerce illégal.

Nik Cubrilovic recommande des sauvegardes régulières et une vérification des mises à jour autant que possible. Pour donner un ordre d’idée, TechCrunch possède une dizaine de blogs fonctionnant sous WordPress, et ils totalisent plus d’une centaine de requêtes quotidiennes provenant de scanners automatiques à la recherche des failles de sécurité des versions précédentes.