WordPress est l’un des principaux gestionnaires de contenu (CMS) depuis plus d’une décennie. La plupart des plus grands blogs d’Internet, ainsi que de nombreux sites, fonctionnent sur WordPress pour publier du texte, des images et du contenu vidéo sur le World Wide Web.
Un site WordPress dispose d’une interface front-end et back-end. Le front-end fournit la vue que les visiteurs extérieurs verront quand ils chargeront la page Web. Le back-end est accessible aux administrateurs du site et aux contributeurs qui sont responsables de la rédaction, de la conception et de la publication du contenu.
Comme tout autre système basé sur Internet, WordPress est la cible de tentatives de piratage et d’autres formes de cybercriminalité. Ce qui est logique si l’on considère maintenant que plus de 32% de l’Internet fonctionne sur WordPress. Dans cet article, nous passerons en revue quelques-unes des attaques WordPress les plus courantes, puis nous vous proposerons des moyens de vous défendre contre elles et de protéger votre site Web.
Méthodes d’attaques WordPress communes
Voyons d’abord l’attaque commune que les propriétaires de sites WordPress peuvent rencontrer.
1. Injection SQL
La plate-forme WordPress repose sur une couche de base de données qui stocke les métadonnées ainsi que d’autres informations administratives. Par exemple, une base de données WordPress basée sur SQL contient des informations sur les utilisateurs, le contenu et la configuration du site.
Lorsqu’un pirate exécute une attaque par injection SQL, il utilise un paramètre de requête, soit par un champ de saisie, soit par une URL, pour exécuter une commande de base de données personnalisée. Une requête « SELECT » permettra au pirate de voir des informations supplémentaires de la base de données, tandis qu’une requête « UPDATE » lui permettra de modifier les données.
En 2011, une société de sécurité réseau appelée Barracuda Networks a été victime d’une attaque par injection SQL. Les pirates ont exécuté une série de commandes sur l’ensemble du site Web de Barracuda et ont finalement trouvé une page vulnérable qui pourrait être utilisée comme un portail vers la base de données principale de l’entreprise.
2. Scripts cross-site
Une attaque de script cross-site, aussi connue sous le nom de XSS, est similaire à l’injection SQL : elle cible les éléments JavaScript sur une page web au lieu de la base de données derrière l’application. Une attaque réussie peut compromettre les renseignements personnels d’un visiteur de l’extérieur.
Lors d’une attaque XSS, le pirate ajoute du code JavaScript à un site Web par le biais d’un champ de commentaire ou d’une autre entrée de texte, puis ce script malveillant est exécuté lorsque d’autres utilisateurs visitent la page. Le JavaScript malveillant redirige généralement les utilisateurs vers un site Web frauduleux qui tentera de voler leur mot de passe ou d’autres données d’identification.
Même les sites Web populaires comme eBay peuvent être la cible d’attaques XSS. Par le passé, les pirates informatiques ont réussi à ajouter du code malveillant aux pages de produits et à convaincre les clients de se connecter à une page Web usurpée.
3. Injection en ligne de commande
Les plates-formes comme WordPress fonctionnent sur trois couches primaires : le serveur Web, le serveur d’application et le serveur de base de données. Mais chacun de ces serveurs fonctionne sur du matériel avec un système d’exploitation spécifique, tel que Microsoft Windows ou Linux open-source, et cela représente un domaine potentiel de vulnérabilité distinct.
Lors d’une attaque par injection de commande, un pirate informatique saisit des informations malveillantes dans un champ de texte ou une URL, comme dans le cas d’une injection SQL. La différence est que le code contiendra une commande que seuls les systèmes d’exploitation reconnaîtront, comme la commande « ls ». S’il est exécuté, cela affichera une liste de tous les fichiers et répertoires sur le serveur hôte.
Certaines caméras connectées à Internet se sont révélées particulièrement vulnérables aux attaques par injection en ligne de commande. Leur firmware peut exposer incorrectement la configuration du système à des utilisateurs externes lorsqu’une commande malhonnête est émise.
4. Inclusion du fichier
Les langages de programmation Web courants comme PHP et Java permettent aux programmeurs de se référer à des fichiers et scripts externes à partir de leur code. La commande « include » est le nom générique de ce type d’activité.
Dans certaines situations, un pirate peut manipuler l’URL d’un site Web pour compromettre la section « include » du code et accéder à d’autres parties du serveur d’application. Certains plug-ins de la plate-forme WordPress se sont avérés vulnérables aux attaques d’inclusion de fichiers. Lorsque de tels piratages se produisent, l’infiltrateur peut avoir accès à toutes les données sur le serveur d’application principal.
Conseils pour la protection
Maintenant que vous savez ce que vous devez surveiller, voici quelques moyens simples de renforcer votre sécurité WordPress. Évidemment, il y a beaucoup plus de façons de sécuriser votre site que ce qui est mentionné ci-dessous, mais ce sont des méthodes relativement simples pour commencer qui peuvent rapporter des retours impressionnants chez les pirates contrecarrés.
1. Utilisez un hôte et un pare-feu sécurisés
La plate-forme WordPress peut être exécutée à partir d’un serveur local ou gérée dans un environnement d’hébergement en nuage. Dans le but de maintenir un système sécurisé, l’option hébergée est préférable. Les meilleurs hébergeurs WordPress sur le marché offriront le cryptage SSL et d’autres formes de protection de sécurité.
Lors de la configuration d’un environnement WordPress hébergé, il est essentiel d’activer un pare-feu interne qui protégera les connexions entre votre serveur d’application et les autres couches réseau. Un pare-feu vérifiera la validité de toutes les requêtes entre les couches pour s’assurer que seules les requêtes légitimes peuvent être traitées.
2. Tenir à jour les thèmes et les plugins
La communauté WordPress est remplie de développeurs tiers qui travaillent constamment sur de nouveaux thèmes et plugins pour exploiter la puissance de la plate-forme. Ces compléments peuvent être gratuits ou payants. Les plugins et les thèmes doivent toujours être téléchargés directement depuis le site WordPress.org.
Les plugins et thèmes externes peuvent être risqués, car ils incluent du code qui sera exécuté sur votre serveur d’application. Ne faites confiance qu’aux plugins provenant d’une source et d’un développeur réputés. De plus, vous devriez mettre à jour les plugins et les thèmes régulièrement, car les développeurs publieront des améliorations de sécurité.
Dans la console d’administration de WordPress, l’onglet « Mises à jour » se trouve tout en haut de la liste du menu « Dashboard ».
3. Installer un scanner de virus et un VPN
Si vous utilisez WordPress dans un environnement local ou si vous disposez d’un accès complet au serveur par l’intermédiaire de votre hébergeur, vous devez vous assurer d’avoir un antivirus robuste sur votre système d’exploitation. Des outils gratuits pour analyser votre site WordPress comme Virus Total vérifieront toutes les ressources à la recherche de vulnérabilités.
Lorsque vous vous connectez à votre environnement WordPress à partir d’un emplacement distant, vous devez toujours utiliser un client de réseau privé virtuel (VPN), qui garantit que toutes les communications de données entre votre ordinateur local et le serveur sont entièrement cryptées.
4. Verrouillage contre les attaques par « brute force »
L’une des attaques WordPress les plus populaires et les plus courantes prend la forme d’attaques dites de « brute force ». Ce n’est rien de plus qu’un programme automatisé qu’un hacker lâche à la « porte d’entrée ». Il se trouve là et a essayé des milliers de combinaisons de mots de passe différentes et trébuche sur la bonne, assez souvent pour que cela en vaille la peine.
La bonne nouvelle, c’est qu’il existe un moyen facile de déjouer la « brute force ». La mauvaise nouvelle, c’est que trop de propriétaires de sites n’appliquent pas la correction. Jetez un coup d’œil au plugin « All in One WP Security and Firewall ». C’est gratuit et vous permet de fixer une limite stricte aux tentatives de connexion. Par exemple, après trois tentatives, le plugin verrouille le site contre d’autres connexions par cette adresse IP pendant une durée prédéfinie. Vous recevrez également un courriel vous avisant que la fonction de verrouillage a été déclenchée.
5. Authentification à deux facteurs
Cette méthode astucieuse de sécurisation de votre site repose sur le fait que le pirate ne sera probablement pas en mesure d’assumer le contrôle de deux de vos appareils simultanément. Par exemple, un ordinateur ET un téléphone cellulaire. L’authentification à deux facteurs (2FA) transforme la connexion à votre site Web en un processus en deux étapes. Vous vous connectez comme d’habitude, mais vous serez invité à entrer un code supplémentaire envoyé à votre téléphone.
Malin, hein ? Cette étape supplémentaire augmente la sécurité de votre site de manière exponentielle en séparant la connexion en différentes étapes. Consultez cette liste de plugins gratuits qui vous aideront à configurer 2FA. Ces pirates qui pensaient à essayer de pirater votre site sont probablement déjà en train de changer d’avis.
Conclusion
Bien qu’il n’existe pas de site Web sûr à 100 %, il existe de nombreuses mesures que vous pouvez prendre pour protéger votre site Web. L’utilisation d’un bon pare-feu, la mise à jour de vos thèmes et plugins et l’exécution périodique d’une analyse antivirus peuvent faire une énorme différence.
Il pourrait être utile de considérer la sécurité des sites Web comme un processus itératif éternel. Il ne devrait jamais arriver un moment où vous prenez du recul et pensez qu’il est « complet » parce que le jeu entre les pirates et les défenseurs de sites Web ne s’arrêtera jamais. Ce n’est qu’en vous tenant au courant des dernières menaces et des moyens de les repousser que vous serez en mesure de maintenir la cybersécurité et la confidentialité en ligne.
C’est dommage que le monde doive en être ainsi, mais il faut l’accepter et passer à autre chose. Si vous ne l’avez jamais fait auparavant, c’est le bon moment pour trouver quelques sites d’information respectés sur la cybersécurité. Soit s’abonner à leur infolettre, soit au moins effectuer des visites régulières. Commencez par lancer une recherche sur Google (ou sur le moteur de recherche de votre choix) pour trouver des « nouvelles sur la cybersécurité ».