Les laboratoires Avast indiquent avoir constaté une " augmentation des malwares " au sein des sites propulsés par WordPress. Une attaque exploite une vulnérabilité dans un plugin d'image. Cette exploitation permet d'accéder à un site, utiliser la plateforme afin de distribuer des malwares, collecter des identifiants FTP pour utilisateurs et administrateurs.

La faille a été identifiée dans le plugin TimThumb qui permet de redimensionner automatiquement les images pour les thèmes WordPress. D'après Avast, l'infection a été menée grâce à une boîte à outils Black Hole disponible sur le marché noir. Le kit installe un iframe dans les sites infectés afin de rediriger les visiteurs vers des sites malveillants.

Fin août, Avast a bloqué les redirections de 3 500 sites uniques. Les débuts d'une infection qui s'est poursuivie en septembre ( 2 515 sites bloqués ) et Avast de s'attendre à des résultats similaires pour octobre.

Le problème est que ladite vulnérabilité a été comblée depuis plus de deux mois. Avast invite donc à ne pas garder de plugins obsolètes. Un conseil qui va bien au-delà du seul cas de WordPress. Autre conseil pour les serveurs FTP :  " utiliser une connexion et des mots de passe plus forts, seuls ou avec une authentification à deux facteurs lorsque l'administrateur système travaille avec des tiers ".