WordPress : Sa plus grande force est aussi sa plus grande faiblesse

Tobias Schüring Dernière mise à jour : 21.01.2020
8 Min.
Quelle est la sécurité WordPress

Quel est le degré de sécurité de WordPress ? Pas particulièrement, parce qu'elle s'accompagne d'un certain nombre de vulnérabilités graves. Et comme plus de 28 % de l'Internet fonctionne actuellement sur WordPress , il est une cible populaire pour les attaques. La bonne nouvelle : les vulnérabilités les plus importantes peuvent être très facilement éliminées.

La beauté de WordPress est que tout le monde peut l'utiliser. En fait, tout ce dont vous avez besoin, c'est d'une connexion Internet et vous êtes prêt à partir. La situation est tout autre avec la sécurité de WordPress . Peut-être aussi juste en raison de Tous les utilisateurs ne se préoccupent pas de la sécurité réelle de WordPress .

En tout cas, en raison de ses grands atouts - l'incroyable gamme de fonctions et la diversité des designs - WordPress a tendance à être très peu sûr. La structure modulaire offre des points d'attaque massifs. Et bien sûr, les pirates informatiques les exploitent également. Et ils le font automatiquement, 24 heures sur 24, 365 jours par an.

Mais ne vous inquiétez pas : ces faiblesses inhérentes à WordPress peuvent être très facilement éliminées. Et tout d'abord sans aucune sécurité supplémentairePlugin.

Bien sûr, je ne veux pas vous dissuader d'utiliser votre plugin de sécurité. Cela peut même avoir beaucoup de sens. Mais la sécurisation de votre site WordPress n'est pas terminée avec son installation. Et avant de vous lancer dans des combats de shadowboxing avec des pseudo-menaces, il est plus logique de compenser les faiblesses de base de WordPress .

En détail, nous traitons aujourd'hui

"Mais mon site n'est pas du tout intéressant pour les hackers".

Ne vous y trompez pas : cette hypothèse est tout simplement fausse. Chaque site WordPress est précieux pour les attaquants. Par exemple, en tant que filateur de spam, partie d'un botnet ou plate-forme publicitaire pour les sites de phishing.

Et en cas de doute, l'agresseur ne se soucie pas de savoir si votre site est petit, nouveau ou peu visité. Parce qu'en fin de compte, ce sont vous et votre entreprise qui en souffrez. Il peut donc arriver que votre newsletter soit classé comme spam, que les utilisateurs soient mis en garde contre la visite de votre site et que votre classement dans Google en souffre car votre site est sur liste noire.

Ce que je veux dire, c'est que simplement en raison de la popularité et de la prolifération des sites WordPress , WordPress est une cible reconnaissante. Quels que soient leur contenu et leur objectif.

Le secteur administratif du WP est particulièrement vulnérable

Par défaut, la page de connexion est accessible via le suffixe "wp-admin". C'est pourquoi il est souvent la cible d'attaques - par exemple les attaques dites " Brute Force ". Ces attaques font partie des piratages les plus courants contre les pages WordPress . C'est parce qu'ils sont très faciles à automatiser. Dans une attaque de type Brute Force , l'attaquant tente essentiellement de deviner la bonne combinaison de nom d'utilisateur et de mot de passe. Ainsi, si le mot de passe est faible, ou si la zone de connexion n'est pas protégée, une attaque sur Brute Force peut soit réussir - et l'attaquant peut se connecter avec succès à votre WP - soit la quantité massive de tentatives de connexion peut paralyser votre site.

Wordfence, le célèbre fabricant du système de sécurité éponymePlugins, a enregistré une moyenne de 34 millions d'attaques Brute Force pour le seul mois de mars - soit quotidien. En comparaison, les attaques dites "complexes", c'est-à-dire celles qui exploitent des vulnérabilités de sécurité spécifiques, se situent à un niveau de 3,8 millions d'attaques par jour.

Statistiques sur les attaques de Brute Force comptées par Wordfence en mars 2017
Le rapport de mars de Wordfence montre : Le fabricant de plugins a pu enregistrer une moyenne d'environ 34 millions d'attaques Brute Force par jour. Ils étaient particulièrement nombreux au milieu du mois.

Cependant, comme Wordfence ne compte que les attaques qui ont été bloquées par son propre logiciel, le nombre de cas non signalés est encore plus élevé.

Mais la bonne nouvelle est la suivante : bien que l'attaque de la zone d'administration du WP soit très facile et puisse être automatisée rapidement, les mesures de protection contre elle sont très simples. Pour sécuriser votre zone d'administration du WP, vous pouvez installer des murs de protection à trois endroits :

  1. Au niveau du WP, grâce à des mots de passe forts
  2. Au niveau de la connexion elle-même, en limitant le nombre de tentatives de connexion
  3. Avant de se connecter, par le biais d'une liste noire

1) Le vieux marron : des mots de passe forts

Les attaques deBrute Force sont des attaques très stupides. Ils ne font que deviner. C'est pourquoi un mot de passe fort ici peut en fait suffire pour que les attaques ne mènent nulle part. Soyons bref : le mot de passe fort est obligatoire. Cela inclut : Lettres, chiffres, caractères spéciaux, majuscules et minuscules. Et bien sûr, l'authentification bidirectionnelle a également un sens.

TIP : D'ailleurs, les gestionnaires de mots de passe permettent non seulement de créer facilement des mots de passe sûrs, mais aussi de les gérer. Les ordinateurs Apple offrent avec le programme "gestion du porte-clés" par exemple un moyen pratique de gérer vos mots de passe hors ligne. Vous ne devez vous souvenir que d'un seul mot de passe principal (qui doit être aussi complexe que possible, bien sûr). Les programmes de gestion des mots de passe basés sur le cloud, tels que 1Password, LastPass ou X-Key Pass, fonctionnent de la même manière.

2) Limiter le nombre de connexions

Les chiffres de Wordfence sont impressionnants : les attaques de Brute Force sont les plus fréquentes sur les pages de WordPress . La probabilité que votre site soit victime d'une telle attaque est donc très élevée. Et pour que le nombre élevé de tentatives de connexion n'alourdisse pas inutilement votre site, il est possible de les limiter.

Par exemple, une adresse IP est bloquée pendant un certain temps après trois tentatives infructueuses. Si elle dépasse à nouveau la limite, la période de blocage augmente successivement. De cette façon, vous limitez très rapidement le nombre de tentatives possibles, à tel point que l'attaque devient inutile.

En fonction du seuil de blocage fixé, cette procédure peut également protéger contre une attaque avec des IP changeantes. Le moyen le plus simple de protéger votre zone de connexion est d'utiliser Plugins . Vous trouverez ici par exemple les tentatives de connexion à la limite du WP, Verrouillage de la connexion ou l'un des grands plugins de sécurité comme Sucuri, Wordfence ou Sécurité du WP tout en un. Les pages des clients de RAIDBOXES sont déjà dotées d'une protection Brute Force côté serveur. Un Plugin supplémentaire n'est pas nécessaire ici.

3) Liste noire

Les employés de sociétés de sécurité telles que Sucuri ou Wordfence passent une grande partie de leur temps de travail à analyser des attaques. Ils publient également ces analyses à intervalles réguliers. L'un des aspects les plus importants de ces rapports est régulièrement l'origine d'une PI. En effet, certains pays abritent des serveurs qui sont particulièrement exposés aux attaques.

Il est donc tout à fait logique d'inscrire les PA correspondants sur une liste noire. Surtout si la région n'est pas pertinente pour votre groupe cible. Vous pouvez ainsi lutter efficacement contre les attaques avant qu'elles n'atteignent votre site.

Vous pouvez soit créer vous-même de telles listes noires en les implémentant au niveau du serveur, soit utiliser une sécuritéPlugin avec une fonction correspondante.

Déclassé WordPress

WordPress est un système modulaire. Il se compose du noyau, c'est-à-dire du logiciel de base, du Plugins et du Themes. L'un des plus grands dangers pour les installations de WP provient du fait que de nombreux utilisateurs ne mettent pas régulièrement à jour leur système WordPress .

Les raisons sont les plus diverses. Ces problèmes vont des incompatibilités sur Plugins et Themes à l'ignorance ou au manque de temps pour une mise à jour.

le degré de sécurité WordPress- plus de 70 % des WordPress pages ne fonctionnent pas sous la version actuelle
Cette statistique de WordPress .org montre que 72,5 % de toutes les installations de WordPress ne fonctionnent pas actuellement avec la dernière version de WP. Près de 40 % d'entre eux utilisent des versions encore plus anciennes que la version 4.7.

Les conséquences d'un retard dans les mises à jour de base ont été démontrées de manière assez impressionnante au début de l'année : en février 2017, une faille de sécurité dans la version 4.7.1 de WordPress a été connue, et les utilisateurs de WordPress ont été invités à passer à la version 4.7.2 le plus rapidement possible.

En très peu de temps, le rapport a provoqué des attaques massives sur les sites WordPress (car la lacune n'était pas encore connue avant l'annonce officielle). Les fabricants des logiciels de sécurité correspondants fournissent à nouveau des chiffres à ce sujet : en quelques jours seulement, un total d'un million et demi à deux millions de sites ont été piratés. deux millions de pages ont été piratées. Auparavant, un employé de Wordfence avait découvert la faille de sécurité.

Si l'on se souvient qu'actuellement plus de 28 pour cent de l'ensemble de l'Internet est basé sur WordPress , vous pouvez avoir une assez bonne idée de ce qui pourrait arriver si une telle vulnérabilité passait inaperçue. Il est donc conseillé d'automatiser ou de faire automatiser les mises à jour du noyau WordPress .

Au fait, cela concerne principalement les mises à jour dites mineures, c'est-à-dire les numéros de version à trois chiffres, par exemple 4.7.4. Il s'agit des "versions de sécurité et de maintenance", qui doivent toujours être installées le plus rapidement possible. Pour les versions plus importantes, par exemple de 4.7 à 4.8, la situation est quelque peu différente : ici, les mises à jour se concentrent sur les fonctions et le guidage de l'utilisateur.

Obsolète Plugins et Themes

Ce qui est vrai pour le noyau de WordPress l'est bien sûr aussi pour les versions Plugins et Themes: les versions obsolètes de Plugin contiennent presque toujours des vulnérabilités de sécurité - et même des vulnérabilités évitables.

Selon une étude sur la sécurité des systèmes de gestion de contenu, l'Office fédéral allemand pour la sécurité de l'information (BSI) a une opinion similaire. Les données du BSI se rapportent à la période de 2010 à 2012. 80 % des vulnérabilités officiellement signalées peuvent être attribuées à des extensions, c'est-à-dire, dans la plupart des cas, à Plugins.

Une recherche d'exploits à l'aide de ExploitsDatabase a permis de trouver plus de 250 exploits pour WordPress . La majorité des exploits pour WordPress Plugins ont été saisis ici.

- BSI (2013) : "Security Study Content Management Systems (CMS)".

En pratique, Plugins est un point d'attaque favori des pirates informatiques. Et avec plus de 50 000 extensions dans le répertoire officiel des plugins de WordPress , c'est aussi un site très productif. Le point de départ de ces attaques est alors les lacunes dans le code de Plugins.

Il est ici important de comprendre : De telles lacunes existeront toujours. Un système 100 % sécurisé n'existe tout simplement pas. Et : les mises à jour manquantes sur Plugin ou Theme ne signifient pas automatiquement qu'il n'est pas sûr. Même si la fréquence de mise à jour est un bon indicateur de la qualité du support d'un fabricant. Mais il se pourrait tout aussi bien qu'aucune faille de sécurité n'ait été découverte jusqu'à présent.

Mais si l'on en découvre, le fournisseur de plugin fournira (espérons-le) également une mise à jour qui comblera le vide. Dans le cas contraire, des injections SQL ou un cross site scripting (XSS) sont possibles. Dans le premier cas, les pirates informatiques manipulent la base de données de votre site. Par exemple, ils peuvent créer des utilisateurs complètement nouveaux avec des droits d'administrateur et ensuite infecter votre site avec un code malveillant ou même le transformer en spam.

Les attaques XSS consistent essentiellement à placer du JavaScript sur votre page. Ainsi, un attaquant peut, par exemple, injecter sur votre page des formulaires qui volent les données de l'utilisateur. Entièrement discret, crypté par SSL et dans un environnement de confiance.

Et parce que Plugins et Themes offrent tant de points d'attaque, vous devriez toujours faire attention au nombre de Plugins et vous assurer de ne pas les laisser dans un état désactivé, mais de les désinstaller réellement lorsque vous n'en avez plus besoin.

hébergement partagé

Ces inconvénients sont déjà inhérents à WordPress . Mais comme votre site doit être mis en ligne d'une manière ou d'une autre, l'hébergement est également un aspect important de la sécurité. La sécurité et l'hébergement étant un sujet très complexe et à multiples facettes, je voudrais seulement parler à ce stade du grand inconvénient de l'hébergement partagé. Encore une fois, cela ne signifie pas que je vous dissuade de recourir à l'hébergement partagé. Cela a beaucoup de sens, surtout du point de vue des prix. Mais l'hébergement partagé présente un inconvénient majeur dont vous devez être conscient.

Car avec l'hébergement partagé, plusieurs pages sont situées sur un seul et même serveur. Les pages partagent également l'adresse IP. Cela signifie que l'état et le comportement d'une page peuvent également avoir un effet négatif sur toutes les autres pages du serveur. Cet effet est appelé l'effet de mauvais voisinage et fait référence au spamming, par exemple. Si une page de votre serveur entraîne l'inscription de l'IP sur une liste noire, cela peut également affecter votre offre.

En outre, elle peut entraîner une surutilisation des ressources, par exemple si l'une des pages du serveur est impliquée dans une attaque DDoS ou est affectée par une attaque massive. La stabilité de votre propre offre est donc, dans une certaine mesure, toujours dépendante de la sécurité des autres sites de votre serveur.

Pour les projets WP-WordPress gérés par des professionnels, un serveur virtuel ou dédié est tout à fait logique. Bien sûr, les concepts de sécurité des hébergeurs comprennent également les solutions de sauvegarde, les pare-feu et les scanners de logiciels malveillants, mais nous en parlerons en détail ailleurs.

Conclusion

WordPress n'est pas sûr. Et cela est dû à sa structure modulaire. Sa plus grande force peut donc devenir sa plus grande faiblesse. La bonne nouvelle, c'est que vous pouvez facilement contourner cette faiblesse. Il n'est pas nécessaire de faire plus que de gérer les utilisateurs, de créer des mots de passe et de procéder à des mises à jour.

Bien entendu, ces mesures ne transforment pas votre site en Fort Knox. Mais ils sont la pierre angulaire de votre concept de sécurité. Car si vous n'en tenez pas compte, ils peuvent saper toutes les autres mesures de sécurité. Et chaque utilisateur de WordPress peut influencer ces aspects de manière indépendante. C'est pourquoi il est si important que vous en soyez toujours conscient.

En tant qu'administrateur système, Tobias veille sur notre infrastructure et trouve chaque vis pour optimiser les performances de nos serveurs. Grâce à ses efforts inlassables, on peut souvent le trouver la nuit sur le site Slack .

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.