Nous parlons beaucoup, sur ce blog des anciens dumaciens, des risques dû à la sécurité informatique. Principalement des risques encourus suite à des installations de plugins (greffons) destinés à améliorer ou ajouter des fonctionnalités natives d’un logiciel, comme par exemple un moteur de blog ou cms.
Sur internet, l’un des moteurs les plus utilisés est WordPress, est le nombre de plugins disponible pour ce logiciel cms est impressionnant et ne cesse de croître.
Mais comme nous le signalons régulièrement, à l’instar de cet article sur un malware wordpress qui dit popularité dit avidité car gain à la clé. C’est à dire qu’avec tous ces utilisateurs qui installent WordPress, il est idéal pour un individu mal intentionné de prendre le contrôle d’un blog à l’insu de son webmaster.
Et pour ce faire, une des solutions préférées des hackers / pirates est la mise à disposition d’un plugin piégé.
En installant ce plugin, l’administrateur WordPress est signalé au pirate (via l’activation d’une fonction d’envoi de mail par exemple) et un nouveau compte est créé automatiquement, auquel tous les droits administrateurs sont transférés.
L’attaquant alerté par mail n’a plus alors qu’à s’identifier avec le login/mot de passe qu’il a choisi lors du piégeage du plugin, et peut alors prendre le contrôle du blog...
Tout est expliqué en détail dans ce billet très intéressant : http://blog.sucuri.net/2014/03/unmasking-free-premium-wordpress-plugins.html
Donc, le réseau dumac le répète et continuera de le répéter à l’envi : méfiez-vous des plugins gratuits, et ne téléchargez les plugins que depuis les sites accrédités ou mieux encore, les sites des développeurs !