Attention aux htaccess piégés

Cela s’est passé sur le site PCLinuxOS Fr, que j’administre, et qui est sous WordPress. C’était aujourd’hui. Il pleuvait à verse presque toute la journée, et une fête médiévale avait lieu non loin de chez moi. Je ne manquais pas d’y faire un tour, afin d’admirer les commerçants costumés derrière leurs stands en forme d’échoppes, regardant défiler les passants armés de parapluies, puis je me dis que je ferais aussi bien un tour sur un de «mes» blogs entre autres choses.

Un petit aparté, ne manquez pas de lire comment l’on bloguait au Moyen Âge, sur le blog de C’est bon pour ton poil… Oncques ne vit céans poindre la bobinette

Pour en revenir à mon mouton noir, la mésaventure que je viens de vivre n’a pas duré bien longtemps, grâce à une recherche sur le web et à ce fil sur le forum wordpress.org anglophone : brend-store.ru hijacked my site via a plugin. Le problème venait d’un .htaccess piégé.

Cependant, je ne me suis rendue compte du forfait que à l’occasion de mises à jour à faire, parce que quand je voulais accéder à l’administration de la section extensions, je me retrouvais immanquablement sur un site vers lequel mon navigateur était redirigé (mais qui a dû fermer depuis car une page blanche m’accueillait, au lieu de la page de mes «plugins»). De même, la page du Tableau de bord était redirigée vers ce site.

Un plugin défectueux, détecté quelques temps plus tôt grâce à l’aide des administrateurs de Tuxfamily, avait ouvert une faille et permis la mise en place de scripts divers, détectés depuis et supprimés, sauf un : le .htaccess utilisé à la racine du site comportait des redirections. L’astuce de l’attaquant avait été simple, il avait placé ses commandes à plusieurs dizaines de lignes du haut du fichier, quasiment en bas, et à droite. Il fallait simplement penser à regarder plus loin que les premières lignes.

Conclusion, si votre site internet se comporte d’une manière anormale, s’il vous envoie vers des pages de sites que vous n’avez à priori pas demandé, et que votre site emploie les .htaccess, pensez à les vérifier !

 

 

One comment

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *