WordPress piraté et pillé de bas en haut

Source : ZDNet

 

 La société en charge de la maintenance de WordPress.com, a déclaré avoir été piratée. L’intrusion s’est faite au niveau le plus bas des serveurs de l’entreprise, touchant ainsi le code source de la plateforme blog et celui de ses utilisateurs.

« Security Incident » titre Matt Mullenweg sur son blog. Le fondateur de WordPress a annoncé ce mercredi 13 avril que sa plate-forme a été victime d’une attaque pirate majeure.

Une intrusion a eu lieu sur les serveurs de la société Automattic, chargé de la maintenance de WordPress.com. Même si ses responsables tentent encore de déterminer quelles données ont été volées, cela ne présage rien de bon pour cette entreprise qui dessert près de 18 millions d’éditeurs de site web, du plus simple ou plus pro.
« Automattic a subi une effraction au niveau root de ses serveurs, et toutes les données ont potentiellement pu être dévoilées, déclare Matt Mullenweg, nous présumons que notre code source a été consulté et copié ». Bien qu’une grande partie du code soit open-source, ce dernier contient également des données privées concernant les partenaires de WordPress, tels que New York Times, CBS ou encore la NASA.
Aucune information n’a été donnée quant aux moyens mis en oeuvre par les hackers. Mais dans cette situation, WordPress tient à rassurer ses utilisateurs (sic) en signalant avoir pris « les mesures nécessaires visant à éviter qu’un incident similaire ne se reproduise ». Encore heureux !

Sécurité insuffisante face aux hackers

Dans les commentaires de son article, Mullenweg explique qu’ « il n’y a aucune preuve que les mots de passe aient été exposés, et même si c’est le cas, ils seraient difficiles à craquer ».

Reste que la plateforme montre ainsi son impuissance face à cette attaque et rappelle juste quelques règles de bon sens : comme l’importance d’utiliser des mots de passe complexes composés de chiffres et de caractères spéciaux.
Historiquement, WordPress n’en est pas à sa première attaque. En 2009, un ver avait été introduit dans le système, causant la perte de 2 mois de données pour le blogueur Robert Scoble. Plus récemment, la plateforme avait plié sous le poids d’une attaque par dénis de service (DDOS), rendant temporairement les publications de contenus en ligne impossibles.
Après Comodo, RSA Security et Epsilon, Automattic expose ses clients au vol de données privées et rejoint le « club » des sociétés où les serveurs ressemblent à des passoires. Encore aujourd’hui, aucun indice ne permet de déterminer l’identité des pirates à l’origine de ces intrusions de plus en plus nombreuses.

 

WordPress a subi la pire attaque DDoS de son histoire

Source : ZDNet

 

 La plus populaire plateforme de CMS a été victime d’une attaque d’une ampleur sans précédent qui a touché 3 de ses datacenters et affecté certains de ses clients VIP tels que CBS et TechCrunch.

WordPress a connu jeudi  soir ce qu’il a qualifié de pire attaque DDoS (déni de service distribué) en 6 ans d’existence. Trois de ses datacenters (Chicago, Dallas et San Antonio) ont été touchés, perturbant fortement l’accès à certains sites et blogs – et notamment ceux des clients de son service VIP parmi lesquels figurent CBS, TechCrunch et TED.

D’après WordPress, la taille de l’attaque représentait de « multiples gigabits par seconde et des dizaines de millions de paquets par seconde » dirigés contre ses serveurs. Elle a pu être neutralisée en un peu moins de deux heures. L’enjeu était crucial pour WordPress qui compte quelques 30 millions d’éditeurs de sites et blogs et 300 millions de visiteurs uniques par mois.

Dans un courriel d’explication, Matt Mullenweg, le fondateur de la plateforme de publication, estime que cette attaque a été pilotée par des motivations politiques dirigées contre des blogs non anglophones. Mais il ne donne aucune autre précision sur ce qu’il avance.