Hack on policespiesoutoflives.org.uk and Wordpress upgrade 6.8.1 → 7.0 - Webowners

23 Jun 2026


      [fr]
Salut !
Tu reçois ce mail car tu as un site hébergé par nous sur Potager.org.
Si ton site utilise Wordpress, vérifie que tout marche encore.
Aujourd'hui les camarades du site https://policespiesoutoflives.org.uk/ 
ont retrouvé leur site effacé et remplacé par de la pub pour des casinos 
en ligne... Des hackeurs ou hackeuses avaient réussi à se créer des 
comptes admins frauduleux et à remplacer tout les contenus.
Lors de notre analyse de la situation, nous n'avons trouvé qu'un seul 
fichier frauduleux, un "upload" en PHP. Nous l'avons supprimé.
Dans notre setup Wordpress, tous les sites Wordpress partagent la même 
base de code pour Wordpress que l'on installe avec le paquet Debian 
correspondant:
https://tracker.debian.org/pkg/wordpress
En principe, les sites ne peuvent pas modifier le code de Wordpress mais 
seulement l'utiliser. Pour être un peu plus technique, le code Wordpress 
n'est modifiable que pas l'user "root" alors que les sites tournent 
chacun avec un user Linux séparé.
Étant données les symptômes du hack et les traces que nous en avons 
retrouvé, nous pensons que les hackeurs ou hackeuses ont profité d'une 
faille dans Wordpress ou l'un des plugins pour créer des comptes admins 
frauduleux mais que ni le serveur ni les autres sites n'ont été affectés 
en profondeur.
Nous avons:
1. Restauré la base de donnée et les fichiers de
    policespiesoutoflives.org.uk depuis un backup datant du 11 juin,
    avant la création des premiers comptes frauduleux.
2. Changé les mots de passe de tout les comptes sur
    policespiesoutoflives.org.uk.
3. Effacé des plugins installés mais utilisés par aucun site:
- beautiful-and-responsive-cookie-consent
    - elementor
    - google-site-kit
    - header-footer-elementor
    - jetpack-social
    - limit-login-attempts-reloaded
    - wordfence
    - wordpress-seo
    - link-manager
4. Appliqué toutes les mises à jour disponibles de Wordpress et ses
    plugins.
Nous voici donc à la version 7.0!
https://wordpress.org/news/2026/05/armstrong/
Normalement, tout fonctionne comme avant, et il vous suffit de te
connecter dans ton panneau d'administration et de cliquer pour mettre à
jour la base de données.
Reste quand même aux aguets et préviens-nous si ton site à des soucis!
x x x
[en]
Hi!
You're receiving this email because you have a site hosted by us on 
Potager.org.
If your site uses WordPress, check that everything still works.
Today, the folks at https://policespiesoutoflives.org.uk/ found their 
site wiped and replaced with ads for online casinos... Hackers had 
managed to create fraudulent admin accounts for themselves and replace 
all the content.
During our analysis of the situation, we only found one fraudulent file, 
a PHP "upload". We deleted it.
In our WordPress setup, all WordPress sites share the same WordPress 
codebase, which we install via the corresponding Debian package:
https://tracker.debian.org/pkg/wordpress
In principle, sites cannot modify the WordPress code, only use it. To be 
a bit more technical, the WordPress code can only be modified by the 
"root" user, while each site runs under its own separate Linux user.
Given the symptoms of the hack and the traces we found, we believe the 
hack took advantage of a stolen password or a vulnerability — probably a 
known one — in WordPress or one of the installed plugins, in order to 
create fraudulent admin accounts, but that neither the server nor the 
other sites were affected in depth.
So, we have:
1. Restored the database and files of policespiesoutoflives.org.uk from
    a backup dating from June 11, before the first fraudulent accounts
    were created.
2. Reset the password of all accounts on policespiesoutoflives.org.uk.
3. Deleted a bunch of plugins that weren't being used by any site:
- beautiful-and-responsive-cookie-consent
    - elementor
    - google-site-kit
    - header-footer-elementor
    - jetpack-social
    - limit-login-attempts-reloaded
    - wordfence
    - wordpress-seo
    - link-manager
4. Applied all available updates to WordPress and its plugins.
We're now running version 7.0!
https://wordpress.org/news/2026/05/armstrong/
Everything should work as before, and all you need to do is log into 
your admin panel and click to update the database.
Still, stay alert and let us know if your site has any issues!
x x x
[ca]
Hola!
Reps aquest email perquè tens una web allotjada en Potager.org.
Si la teva web fa servir Wordpress, comprova que tot funcioni bé.
Avui, la gent de https://policespiesoutoflives.org.uk/ s'ha trobat la 
seva web esborrada i substituïda per publicitat de casinos en línia... 
Hackers havien aconseguit crear-se comptes d'administrador fraudulents i 
substituir tot el contingut.
Durant la nostra anàlisi de la situació, només vam trobar un fitxer 
fraudulent, un "upload" en PHP. L'hem suprimit.
En la nostra configuració de WordPress, tots els WordPress comparteixen 
la mateixa base de codi de WordPress, que instal·lem mitjançant el 
paquet corresponent de Debian:
https://tracker.debian.org/pkg/wordpress
En principi, les diferentes webs no poden modificar el codi de 
WordPress, només utilitzar-lo. Per ser una mica més tècnics, el codi de 
WordPress només el pot modificar l'usuari "root", mentre que cada web 
funciona amb el seu propi usuari Linux separat.
Donats els símptomes de l'atac i els rastres que hem trobat, creiem que 
els hackers es van aprofitar d'una contrasenya robada o d'una 
vulnerabilitat — probablement coneguda — de WordPress o d'algun dels 
plugins instal·lats, per crear comptes d'administrador fraudulents, però 
que ni el servidor ni la resta de llocs s'han vist afectats en profunditat.
Així doncs, hem:
1. Restaurat la base de dades i els fitxers de
    policespiesoutoflives.org.uk a partir d'una còpia de seguretat de
    l'11 de juny, abans de la creació dels primers comptes fraudulents
2. Canviat la contrasenya de tots els comptes de
    policespiesoutoflives.org.uk.
3. Eliminat uns plugins instal·lats però que cap web utilitzava:
- beautiful-and-responsive-cookie-consent
    - elementor
    - google-site-kit
    - header-footer-elementor
    - jetpack-social
    - limit-login-attempts-reloaded
    - wordfence
    - wordpress-seo
    - link-manager
4. Aplicat totes les actualitzacions disponibles de WordPress i dels
    seus plugins.
Ara tenim la versió 7.0!
https://wordpress.org/news/2026/05/armstrong/
En principi, tot funciona com abans, i només cal que entris al teu 
panell d'administració i cliquis per actualitzar la base de dades.
Tot i així, estigues alerta i avisa'ns si la teva web té algun problema!
-- 
ricola pour Potager.org