Faille de sécurité Yuzo : votre site wordpress redirigé depuis chaque page vers un site malveillant

web hacking

web hackingLe plugin wordpress Yuzo : related posts plugin est vulnérable. Des centaines de sites ont déjà été attaqués.

Des hackers exploitent cette faille et injectent du code javascript dans la base de données MySQL du site wordpress, causant des redirections vers d’autres sites malveillant comme:

hellofromhony[.]com
hellofromhony[.]org
destinywall[.]org
clevertrafficincome[.]com
notifymepush[.]info
pushmeandtouchme[.]info
click.newsfeed[.]support
visnu[.]icu
premium-mobile[.]info
plutonium[.]icu
monitornotifyfriends[.]info
notifymepush[.]info

et plein d’autres … Ainsi plus aucune page de votre site web n’est accessible, elles sont toutes redirigées en une fraction de seconde après l’ouverture vers l’un de ces sites malveillants. Rageant !

pour retirer le code malveillant, rien de plus simple! : connectez vous sur votre outil web de gestion de base de données pour MySQL PHPMyAdmin, et rendez vous sur la table wp_options :

table wpoptions montrant la ligne de l'option yuzo verolée

trouvez la ligne de la table avec la valeur yuzo_related_post_options dans la colonne option_name. Puis cliquez sur le lien Editer. Dans le texte de la valeur vous trouvez un bloc de script javascript qui n’a rien à faire ici. Il ressemble a quelque chose comme ça:


<script>document.location = ...</script>

effacez tout le texte depuis la balise script inclue jusqu’a la balise de fermeture (/script) inclue.
Sauvez en cliquant sur le bouton exécuter.
et voilà !!! plus de redirection, votre précieux site est sauvé. Pas besoin de restauration complète

on trouve sur internet des sites « louches » qui proposent moyennant rémunération de fournir un correctif pour cette attaque… Inutile de se laisser plumer par des personnes qui sont peut être elles même à l’origine de ce type d’attaques. La correction proposée ici est gratuite et fonctionne.

A faire plus tard :
mettre à jour Yuzo vers un correctif de sécurité, si les auteurs du module en fournissent un ou bien désactiver ou désinstaller le module pour éviter une nouvelle attaque.

😉

Laisser un commentaire