Le site web Blogbmw.fr a récemment été touché par un piratage de grande ampleur. Le site, leader sur sa thématique, a subit un défaçage dans les règles dans le courant du mois de juillet, de manière assez poussée d'ailleurs car l'intégralité du contenu du blog semble avoir été impactée.
Google a pris en compte le piratage, le moteur de recherche en garde encore des traces:
Le message d'alerte est clair:
Aujourd'hui, tout semble rentré dans l'ordre:
Mais voici ce qui était affiché sur le site (cache Google):
Le défaçage est resté en place plusieurs jours, on peut voir que toutes les pages du site ont été impactées:
Elles affichaient un texte en japonais mettant en avant un site de vente en ligne de mobilier et autres produits, voici la version traduite:
Le blog tourne sous WordPress, le système de gestion de blog le plus utilisé au monde:
WordPress est un outil extraordinaire, mais il nécessite d'effectuer régulièrement les mises à jour et d'utiliser des plugins surs, sans quoi le site sera piraté de façon certaine, la seule question étant de savoir au bout de combien de temps... Chaque jour, sur internet, des centaines de milliers de hackers ou de robots sont à la recherche de sites wordpress vulnérables afin de les hacker, soit pour du simple défaçage, soit pour diffuser des virus, soit pour voler des données ou encore pour réaliser des attaques par déni de service de grande ampleur.
C'est d'autant plus inquiétant que le site contient également un forum dont on ne sait pas si les données des utilisateurs ont pu etre dérobées par les pirates. Inutile de préciser que les hackers sont particulièrement friands de listes d'adresses emails d'utilisateur, particulièrement lorsqu'ils peuvent en plus récupérer les mots de passe (en clair ou sous forme de hash) qui y sont associés.
Le blog n'a visiblement pas communiqué sur ce piratage, pourtant il serait intéressant de préciser aux utilisateurs si leurs données sont en sécurité, et si ils peuvent à nouveau visiter le site de manière sure.
Le blog a été réalisé par conteurdevitesse.com:
Mais cela ne signifie pas forcément qu'ils gèrent l'administration et la maintenance du blog.
Pour conclure, administrer un blog automobile ainsi qu'un forum associé est un exercice difficile. Il faut constamment veiller à utiliser une version à jour de ses scripts, de son CMS et de ses plugins. Les problèmes peuvent arriver, malheureusement meme de très grands sites professionnels sont régulièrement victimes de piratages.
Par contre, lorsqu'on gère des données d'utilisateurs, il convient de communiquer à ses utilisateurs les informations relatives à la sécurité de leurs données en cas de piratage. Le fait de rester muet peut signifier que l'administrateur du site ne sait pas ce qui s'est passé, ou bien qu'il sait quelque chose et qu'il ne souhaite pas communiquer à ce sujet, ce qui est un réel problème lorsqu'il s'agit de la sécurité des données.
Leturgeon
Brou Philippe