Wordfence, plugin de sécurité sous WordPress

Pour l’instant je suis en phase d’observation. Il est vrai que certains des conseils étaient bons, comme supprimer des fichiers de logs ou d’installation. Ensuite je trouve vraiment bien de tracer toutes les connexions à la page d’admin et d’envoyer un email à chaque connexion.

Maintenant il va falloir que j’analyse les attaques :

The Wordfence Web Application Firewall has blocked 253 attacks over the last 10 minutes. Below is a sample of these recent attacks:

décembre 14, 2016 7:22   185.5.53.22 (Lithuania)     Blocked for SQL Injection in query string: lang=en and(select 1 from(select count(*),concat((select (select (SELECT distinct concat(vErsion(),0x27,0
décembre 14, 2016 7:22   185.5.53.22 (Lithuania)     Blocked for SQL Injection in query string: lang=en99999″ union select unhex(hex(version())) — « x »= »x
décembre 14, 2016 7:22   185.5.53.22 (Lithuania)     Blocked for SQL Injection in query string: lang=en99999′ union select unhex(hex(version())) — ‘x’=’x
décembre 14, 2016 7:22   185.5.53.22 (Lithuania)     Blocked for SQL Injection in query string: lang=en » or (1,2)=(select*from(select name_const(CHAR(111,108,111,108,111,115,104,101,114),1),name_const(
décembre 14, 2016 7:22   185.5.53.22 (Lithuania)     Blocked for SQL Injection in query string: lang=en’ or (1,2)=(select*from(select name_const(CHAR(111,108,111,108,111,115,104,101,114),1),name_const(
décembre 14, 2016 7:22   185.5.53.22 (Lithuania)     Blocked for SQL Injection in query string: lang=en or (1,2)=(select*from(select name_const(CHAR(111,108,111,108,111,115,104,101,114),1),name_const(C
décembre 14, 2016 7:21   185.5.53.22 (Lithuania)     Blocked for SQL Injection in query string: lang=en’ And SLeep(3) UniON SEleCT 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 #
décembre 14, 2016 7:21   185.5.53.22 (Lithuania)     Blocked for SQL Injection in query string: lang=en1111111111111″ UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,81
décembre 14, 2016 7:21   185.5.53.22 (Lithuania)     Blocked for SQL Injection in query string: lang=en1111111111111″ UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,81
décembre 14, 2016 7:21   185.5.53.22 (Lithuania)     Blocked for SQL Injection in query string: lang=en1111111111111″ UNION SELECT CHAR(45,120,49,45,81,45),CHAR(45,120,50,45,81,45),CHAR(45,120,51,45,81

Maintenant il va falloir que je regarde les logs d’Apache afin de voir si je retrouve ses attaques. Et voir aussi si ce ne sont pas des « pompiers pyromanes », c’est à dire que les attaques ne soient pas nouvelles.

A noter aussi la méthode d’attaque, on fait de l’injection à partir de la variable lang. Pas bon de mettre la variable lang en php, ou alors il faut faire un traitement simple afin de bien vérifier que la taille de la valeur n’est pas supérieure à 2.

Deux jours après l’avertissement de Wordfence, j’ai donc un nouvel avertissement (Le 16/12/2016).

[WordPress Security] Huge Increase in Brute Force Attacks in December – What to Do

During the past three weeks, we have been monitoring a steady increase in brute force attacks. The last few days have seen a rapid increase in the number of attackers.
 
This morning we have published the charts showing these changes and we identify some of the attackers. We also share data on which hosting provider networks are the largest sources of attacks.

Quand on analyse les paramètres du leur SPAM : utm_source=list&utm_campaign=121616&utm_medium=email . En gros ils ont fait 121616 emails … On se demande presque si le remède n’est pas aussi mauvais que la maladie 😉 . J’ai donc du travail pour vérifier toute ses affirmations. Je vais donc partir sur les requêtes contenant les mots « UNION SELECT » sans faire attention à la casse. J’ai 3134 fichiers de logs qui vont du 14/03/2008 à aujourd’hui.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload CAPTCHA.