Sur une période de quelques jours à la fin du mois de mai, des acteurs malveillants ont tenté de voler les informations d’identification de base de données à des millions de sites Web WordPress en exploitant des vulnérabilités connues dans les thèmes et les plugins.

Selon la société de sécurité WordPress Defiant, son pare-feu a bloqué plus de 130 millions de tentatives de collecte des informations d’identification de la base de données de 1,3 million de sites entre le 29 mai et le 31 mai. Le nombre de demandes a culminé le 30 mai, lorsque 75% du total des tentatives d’exploitation ont été observées par l’entreprise. Après le 31 mai, le volume d’attaque est tombé à ce que la firme voit habituellement.

Defiant a dit SecurityWeek que ces attaques ont touché plus d’un tiers de ses clients et la société estime que le nombre total de sites Web ciblés dans cette campagne est probablement supérieur à 10 millions.

Les attaquants ont apparemment exploité des vulnérabilités de thème et de plugin qui leur permettaient de télécharger ou d’exporter des fichiers. Plus précisément, ils ont essayé de télécharger le fichier de configuration wp-config.php à partir des sites Web WordPress. Ce fichier contient, entre autres informations, le nom d’utilisateur et le mot de passe qui peuvent être utilisés pour accéder à la base de données d’un site WordPress, qui stocke du contenu et des informations sur les utilisateurs.

Une analyse de l’attaque a montré que les tentatives d’exploitation provenaient de plus de 20000 adresses IP, les mêmes IP qui étaient à l’origine d’une autre campagne à grande échelle récente qui ciblait 1,3 million de sites Web WordPress protégés par la solution Wordfence de Defiant. Le but de cette attaque était d’injecter du code JavaScript malveillant dans des sites Web vulnérables afin de rediriger leurs visiteurs vers des sites malveillants.

Defiant pense que les deux campagnes ont été lancées par le même acteur de la menace car elles utilisaient principalement les mêmes IP et exploitaient toutes deux des vulnérabilités connues dans les thèmes et les plugins. Cependant, l’attaque la plus récente a ciblé près d’un million de sites Web qui n’avaient pas été ciblés lors de l’opération précédente.

La société a publié