Attaque DDOS contre les blogs wordpress

Posté par | content

 

Deux grands hébergeurs web, CloudFlare et HostGator connaissent actuellement une attaque DDoS ciblant uniquement les blogs WordPress. (Voir notre article précédent sur les attaques DDoS).
CloudFlare aurait bloqué 60 millions de requêtes durant la dernière heure. Sean Valant de HostGator décrit celle-ci comme une « attaque globale sur les installations WordPress pour presque tous les hébergeurs ».

 

Une attaque par DDoS consiste à inonder les serveurs d’un site Internet avec des centaines de milliers de requêtes, qui tombe en panne suite à cette surcharge.

 

Les pirates attaquent les accès de connexion WordPress, en utilisant le nom «admin» et essayent ensuite des milliers de mots de passe afin d’avoir un accès.
La principale préoccupation est que l’attaquant utilise un botnet relativement faible avec des ordinateurs personnels dans le but de construire un plus grand botnet de serveurs performants pour exécuter une prochaine attaque DDoS de plus grande ampleur. Autrement dit, l’attaque semble installer une porte dérobée (backdoor) qui permet aux hackers de prendre le contrôle du site à distance . Selon les estimations, le botnet a le pouvoir de tester près de milliards de passe en une heure. Si le mot de passe est simple, l’intrusion sera facilitée.

 

Un botnet sert à créer un groupe important d’ordinateurs qui sont capables de récupérer les ordres d’un individu (ou d’un groupe d’individu) et de les exécuter. A partir de là il y a de nombreuses utilisations possibles pour une quantité d’ordinateur zombies (on appelle un pc membre d’un botnet un pc-zombie).

 

Un certain nombre d’hébergeurs ont commencé d’ores et déjà à retirer l’accès à wp-login de ses clients, et d’autre ont préféré créer une protection htaccess par un login/mot de passe qui empêche l’accès à tous les fichiers du dossier wp-admin.
Lorsqu’un utilisateur wordpress essaie de se connecter à son interface d’accès, il est invité à fournir un nom d’utilisateur et un mot de passe.

 

Source Ars Technica.

WordPress est un système de gestion de contenu libre écrit en PHP et reposant sur une base de données MySQL. Il s’agit d’un programme informatique utilisant une base de données et permettant de gérer de A et Z l’apparence et le contenu d’un site web. Il est surtout utilisé comme moteur de blog, mais ses fonctionnalités lui permettent également de gérer n’importe quel site web. Il est distribué selon les termes de la GNU GPL.

WordPress est un CMS (Content Managment System) permettant de créer aisément un site web ou un blog. Un logiciel de blog abouti qui présente toutes les fonctionnalités habituelles de ce type de logiciels. Il permet à plusieurs auteurs de publier des billets, lesquels seront classés par date et par catégories. De multiples catégories, elles-même imbricables, peuvent être affectées à un billet donné. De plus, WordPress inclut la gestion des liens externes, des rétroliens (trackbacks), et un système de gestion fine des commentaires. À ceci s’ajoutent des fonctionnalités plus mineures, telles que des filtres typographiques, une interface polyglotte, et un système de liens permanents élégants. WordPress permet l’importation de contenus depuis plusieurs autres systèmes de gestion de contenus, tels que Blogger, Movable Type et Textpattern, et l’exportation de flux de syndication aux formats RSS. En outre, WordPress respecte nativement les standards du web XHTML et CSS.

Du fait de ses nombreuses fonctionnalités, WordPress est un logiciel de blog plutôt destiné à des utilisateurs avancés, ayant des connaissances minimales des systèmes de gestion de contenus. Malgré la clarté de son interface, la profusion de menus et la possible finesse de sa configuration peuvent rebuter des utilisateurs débutants.

L’installation de WordPress est aisée, mais nécessite des connaissances techniques et un hébergement avec le langage de programmation PHP, une base de données MySQL et un accès FTP. WordPress est populaire principalement auprès des utilisateurs anglophones, proches du logiciel libre et ayant des connaissances en programmation logicielle. Son interface publique est personnalisable grâce à des fichiers squelettes, et des plugins peuvent être développés. La communauté WordPress est très active, et propose un nombre croissant de ressources telles que des thèmes prêts à l’emploi, une documentation fournie et des traductions du logiciel.

 

Crédit photo © Platine

© Platine 15/04/2013