«TrafficTrade», un fichier javascript malveillant, redirige les visiteurs d’un site compromis vers un autre et les spamme avec de la pub.
Qu’est ce que TrafficTrade? et comment s’en protéger?
A l’origine de TrafficTrade se trouve une faille dans un site web. Un plugin ou un thème wordpress trop ancien. Un script laissant une porte dérobée sur un site… Les cyberattaquants profitent de trou dans la sécurité pour y glisser un javascript malveillant. Le site ainsi corrompu redirige ensuite les visiteurs vers des sites Web qui installent des plugins malveillants sur leur navigateur ou diffusent du spam publicitaire.
Si l’administrateur ne surveille pas de près son trafic, il ne verra pratiquement pas la différence. Bien que qu’un admin soucieux de son trafic sera aussi soucieux de la sécurité de son site selon moi. Les équipes de sécurité de Wordfence, un plugin de sécurité pour WordPress ont analysé les cyberattaques qui ont eu lieu ces dernières semaines. Leur constat est le suivant, les infections ne cessent de croître.
Comment les pirates du web arrivent-ils à infecter les sites web avec TrafficTrade? Wordfence relève 2 méthodes différentes. Bien que très rare, la première consiste à utiliser le fichier searchreplacedb2.php. Ce fichier est un script créé il y a quelques années Web Interconnect afin de trouver et remplacer facilement du texte dans la base de données d’un site Web. Au fil des ans, ce script est devenu une passoire est les quelques webmasters qui se risquent à laisser ce fichier dans le contenu de leur site s’exposent à TrafficTrade.
La seconde méthode pour infecter un site web par ce javascript malveillant, c’est d’utiliser le thème « newspaper ». Une faille présente dans ce thème leur permet d’injecter un code malveillant dans la table WordPress « wp_options », qui redirige ensuite votre trafic vers des sites Web malveillants ou des campagnes publicitaires. Les équipes de sécurité de Wordfence annoncent au passage que d’autres thèmes basé sur « newspaper » tels que « newspress » présentent cette même faille de sécurité.
Comment se protéger de TrafficTrade?
Tout d’abord, il faut vous assurez qu’aucun fichier nommé searchreplacedb2.php ne se trouve dans votre espace d’hébergement. Vous ne l’avez peut-être pas installé vous-même. Un plugin ou un thème l’utilise peut-être pour fonctionner. Il est donc recommandé d’agir très vite sir c’est le cas. Si vous n’avez pas besoin de ce fichier, vous pouvez le supprimer sans crainte. Dans le cas où il vous serait utile, vous pouvez le garder sur un coin de votre disque dur. Vous pouvez également le renommer pour que les pirates ne le trouvent pas facilement. Cela reste néanmoins à vos risques et périls.
Il est également recommandé de ne plus utiliser les thèmes « newspaper » et tout autre thème qui utiliserait un fichier en commun avec celui-ci. Il en va de la sécurité de vos visiteurs et de la bonne marche de votre site.
Enfin, inutile de le dire, mais il est aussi recommandé de mettre à jour tous vos thèmes et vos plugins WordPress. C’est une recommandation de base, mais elle est tout aussi importante, pensez à faire des sauvegardes régulières de votre site. Votre base de données mais également vos fichiers.
Si vous souhaitez en savoir plus sur TrafficTrade, je vous invite à lire l’article complet (en anglais) et très bien fait sur le blog de Wordfence