Depuis plusieurs années, une campagne d'attaques par vagues répétées chaque mois cible les sites web WordPress, compromettant ainsi plus d'un million d'entre eux, selon les chercheurs de la société de cybersécurité Sucuri. Les pirates utilisent le malware Balada Injector pour injecter des portes dérobées (backdoors) dans les plugins ou les thèmes installés par les utilisateurs. Une fois les failles exploitées, Balada permet aux pirates de rediriger les visiteurs vers de faux supports techniques, des pages de fausses loteries ou d'envoyer de fausses notifications accompagnées de captchas pour mener des escroqueries. Le problème avec Balada est qu'il utilise divers vecteurs d'attaque, allant du piratage d'URL à l'intégration de code HTML malveillant, en passant par la recherche d'outils tels qu'Adminer ou PhpMyAdmin. De plus, chaque attaque est réalisée avec des noms de domaine récents, ce qui permet aux pirates d'éviter les listes de blocage pendant un certain temps. La variété des méthodes d'injection est telle que certaines infections apparaissent en double et que des sites déjà compromis sont à nouveau ciblés, comme l'exemple d'un site WordPress attaqué 311 fois avec 11 versions différentes de Balada Injector cité par Sucuri. Bien que Balada soit détectable, sa dangerosité reste élevée, car les scripts du logiciel sont conçus pour extraire des données sensibles, notamment des informations d'identification. Cela signifie que même si un utilisateur repère la menace et la supprime, les pirates peuvent conserver temporairement l'accès au site. De plus, la liste des fichiers ciblés est régulièrement mise à jour, et si les chemins d'accès classiques sont bloqués, les attaquants peuvent toujours essayer de forcer le mot de passe administrateur avec un ensemble de 74 informations d'identification. Selon les chercheurs, le nombre d'attaques et l'absence de Balada sur certains sites compromis indiquent que les logiciels malveillants ciblent particulièrement les sites hébergés sur des serveurs privés ou virtuels montrant des signes de mauvaise gestion ou de négligence. Il n'existe pas de méthode spécifique pour prévenir une infection par Balada Injector, mais il est recommandé d'utiliser un mot de passe complexe et unique, une authentification à deux facteurs et de vérifier régulièrement les fichiers pour limiter les risques.