Attaques WordPress courantes et comment les arrêter

WordPress est l’un des principaux systèmes de gestion de contenu (CMS) depuis plus d’une décennie. Beaucoup des plus grands blogs d’Internet, ainsi que de nombreux petits sites individuels, fonctionnent sur le framework WordPress pour publier du contenu texte, image et vidéo sur le World Wide Web.

Un site Web WordPress a à la fois une interface front-end et back-end. Le frontal fournit la vue que les visiteurs extérieurs verront lorsqu’ils chargeront la page Web. Le back-end est accessible aux administrateurs de site et aux contributeurs qui sont responsables de la rédaction, de la conception et de la publication du contenu.

Comme tous les autres systèmes basés sur Internet, WordPress est la cible de tentatives de piratage et d’autres formes de cybercriminalité. Ce qui est logique compte tenu maintenant de plus de 32% d’Internet fonctionne sur WordPress. Dans cet article, nous passerons en revue certaines des attaques WordPress les plus courantes contre le logiciel, puis nous proposerons des suggestions sur la façon de se défendre contre elles et de protéger votre site Web.

Méthodes d’attaques WordPress courantes

Voyons d’abord l’attaque courante que les propriétaires de sites WordPress pourraient rencontrer.

1. Injection SQL

Attaques WordPress courantes: injection SQL

La plate-forme WordPress CMS repose sur une couche de base de données qui stocke les informations de métadonnées ainsi que d’autres informations administratives. Par exemple, une base de données WordPress classique basée sur SQL contiendra des informations utilisateur, des informations de contenu et des données de configuration de site.

Lorsqu’un pirate informatique effectue une attaque par injection SQL, il utilise un paramètre de requête, soit via un champ de saisie, soit via une URL, pour exécuter une commande de base de données personnalisée. Une requête «SELECT» permettra au pirate de visualiser des informations supplémentaires de la base de données, tandis qu’une requête «UPDATE» lui permettra de modifier réellement les données.

En 2011, une société de sécurité réseau appelée Barracuda Networks a été victime d’un Attaque par injection SQL. Les pirates ont exécuté une série de commandes sur l’ensemble du site Web de Barracuda et ont finalement trouvé une page vulnérable qui pourrait être utilisée comme portail vers la base de données principale de l’entreprise.

2. Scripts intersites

Une attaque de script intersite, également connue sous le nom de XSS, est similaire à l’injection SQL. Acceptez qu’elle cible les éléments JavaScript sur une page Web au lieu de la base de données derrière l’application. Une attaque réussie peut entraîner la compromission des informations privées d’un visiteur extérieur.

Avec une attaque XSS, le pirate ajoute du code JavaScript à un site Web via un champ de commentaire ou une autre entrée de texte, puis ce script malveillant est exécuté lorsque d’autres utilisateurs visitent la page. Le JavaScript non autorisé redirigera généralement les utilisateurs vers un site Web frauduleux qui tentera de voler leur mot de passe ou d’autres données d’identification.

Même les sites Web populaires comme eBay peuvent être la cible d’attaques XSS. Dans le passé, les pirates ont ajouté avec succès code malveillant sur les pages produits et convaincu les clients de se connecter à une page Web falsifiée.

3. Injection de commandes

Les plates-formes comme WordPress fonctionnent sur trois couches principales: le serveur Web, le serveur d’applications et le serveur de base de données. Mais chacun de ces serveurs fonctionne sur du matériel avec un système d’exploitation spécifique, tel que Microsoft Windows ou Linux open-source, et cela représente une zone de vulnérabilité potentielle distincte.

Avec une attaque par injection de commande, un pirate va entrer des informations malveillantes dans un champ de texte ou une URL, semblable à une injection SQL. La différence est que le code contiendra une commande que seuls les systèmes d’exploitation reconnaîtront, comme la commande «ls». S’il est exécuté, cela affichera une liste de tous les fichiers et répertoires sur le serveur hôte.

Certaines caméras connectées à Internet se sont révélées particulièrement vulnérables aux attaques par injection de commande. Leur micrologiciel peut exposer de manière incorrecte la configuration du système à des utilisateurs extérieurs lorsqu’une commande non autorisée est émise.

4. Inclusion de fichiers

Attaques WordPress courantes: inclusion de fichiers

Les langages de codage Web courants tels que PHP et Java permettent aux programmeurs de se référer à des fichiers et scripts externes à partir de leur code. La commande «inclure» est le nom générique de ce type d’activité.

Dans certaines situations, un pirate informatique peut manipuler l’URL d’un site Web pour compromettre la section «inclure» du code et accéder à d’autres parties du serveur d’application. Certains plug-ins pour la plate-forme WordPress se sont avérés vulnérables contre attaques d’inclusion de fichiers. Lorsque de tels hacks se produisent, l’infiltrateur peut accéder à toutes les données sur le serveur d’applications principal.

Conseils de protection

Maintenant que vous savez ce qu’il faut rechercher, voici quelques moyens simples de renforcer votre sécurité WordPress. De toute évidence, il existe de nombreuses autres façons de sécuriser votre site que celles mentionnées ci-dessous, mais ce sont des méthodes relativement simples pour commencer qui peuvent générer des rendements impressionnants chez les pirates informatiques contrariés.

1. Utilisez un hôte sécurisé et un pare-feu

La plate-forme WordPress peut être exécutée à partir d’un serveur local ou gérée via un environnement d’hébergement cloud. Dans le but de maintenir un système sécurisé, l’option hébergée est préférée. Les meilleurs hébergeurs WordPress du marché offriront le cryptage SSL et d’autres formes de protection de sécurité.

Attaques WordPress courantes: pare-feu

Lors de la configuration d’un environnement WordPress hébergé, il est essentiel d’activer un pare-feu interne qui protégera les connexions entre votre serveur d’applications et d’autres couches réseau. Un pare-feu vérifiera la validité de toutes les demandes entre les couches pour s’assurer que seules les demandes légitimes sont autorisées à être traitées.

2. Gardez les thèmes et les plugins à jour

La communauté WordPress est remplie de développeurs tiers qui travaillent constamment sur de nouveaux thèmes et plugins pour tirer parti de la puissance de la plate-forme CMS. Ces modules complémentaires peuvent être gratuits ou payants. Les plugins et les thèmes doivent toujours être téléchargés directement à partir du site Web WordPress.org.

Les plug-ins et thèmes externes peuvent être risqués, car ils incluent du code qui sera exécuté sur votre serveur d’applications. Ne faites confiance qu’aux modules complémentaires provenant d’une source et d’un développeur réputés. De plus, vous devez mettre à jour régulièrement les plugins et les thèmes, car les développeurs publieront des améliorations de sécurité.

Dans le Console d’administration WordPress, l’onglet «Mises à jour» se trouve tout en haut de la liste du menu «Tableau de bord».

3. Installez un antivirus et un VPN

Si vous exécutez WordPress dans un environnement local ou si vous disposez d’un accès complet au serveur via votre fournisseur d’hébergement, vous devez vous assurer de disposer d’un antivirus robuste fonctionnant sur votre système d’exploitation. Des outils gratuits pour analyser votre site WordPress comme Virus Total vérifieront toutes les ressources pour rechercher des vulnérabilités.

Lorsque vous vous connectez à votre environnement WordPress à partir d’un emplacement distant, vous devez toujours utiliser un client de réseau privé virtuel (VPN), qui garantira que toutes les communications de données entre votre ordinateur local et le serveur sont entièrement cryptées.

4. Verrouillage contre les attaques par force brute

L’une des attaques WordPress les plus populaires et les plus courantes prend la forme d’attaques dites par force brute. Ce n’est rien d’autre qu’un programme automatisé qu’un hacker lâche à la «porte d’entrée». Il se trouve là et a essayé des milliers de combinaisons de mots de passe différentes et tombe assez souvent sur le bon pour que cela en vaille la peine.

La bonne nouvelle est qu’il existe un moyen simple de déjouer la force brute. La mauvaise nouvelle est que trop de propriétaires de sites n’appliquent pas le correctif. Découvrez le tout en un WP Security and Firewall. C’est gratuit et vous permet de définir une limite stricte sur les tentatives de connexion. Par exemple, après trois tentatives, le plugin verrouille le site contre d’autres connexions par cette adresse IP pendant une durée prédéfinie. Vous recevrez également une notification par e-mail indiquant que la fonction de verrouillage a été déclenchée.

5. Authentification à deux facteurs

Cette méthode astucieuse de sécurisation de votre site repose sur le fait que le pirate informatique ne pourra probablement pas prendre le contrôle de deux de vos appareils simultanément. Par exemple, un ordinateur ET un téléphone portable. L’authentification à deux facteurs (2FA) transforme la connexion à votre site Web en un processus en deux étapes. Comme d’habitude, vous vous connectez de la manière habituelle, mais vous serez ensuite invité à entrer un code supplémentaire envoyé sur votre téléphone.

Intelligent, hein? Cette étape supplémentaire augmente la sécurité de votre site de manière exponentielle en séparant la connexion en différentes étapes. Vérifie ça liste des plugins gratuits cela vous aidera à configurer 2FA. Les pirates qui pensaient essayer de jouer avec votre site sont probablement déjà en train de changer d’avis.

Conclusion

Bien qu’il n’existe pas de site Web 100% sécurisé, vous pouvez prendre de nombreuses mesures pour protéger votre site Web. Utiliser un bon pare-feu, maintenir vos thèmes et plugins à jour et exécuter régulièrement une analyse antivirus peut faire une énorme différence.

Il pourrait être utile de considérer la sécurité du site Web comme un processus itératif éternel. Il ne devrait jamais arriver que vous preniez du recul et que vous pensiez qu’il est «terminé», car le jeu entre les pirates et les défenseurs de sites Web ne s’arrêtera jamais, même les joueurs en ligne officiellement sanctionnés surveillance en ligne affaires . Ce n’est qu’en vous tenant au courant des dernières menaces et de la façon de les repousser que vous serez en mesure de maintenir la cybersécurité et la confidentialité en ligne.

C’est dommage que le monde doive être ainsi, mais acceptez-le et passez à autre chose. Si vous ne l’avez jamais fait auparavant, ce serait le bon moment pour localiser quelques sites d’information respectés sur la cybersécurité. Soit vous vous abonnez à leur newsletter, soit au moins vous rendez régulièrement visite. Commencez par lancer une recherche Google (ou le moteur de recherche de votre choix) pour « actualités sur la cybersécurité ».

Vous avez une question ou d’autres conseils à ajouter? Laissez un commentaire et faites-le nous savoir.

Partager cet article

Vous aimerez aussi...