WordPress Sécurité : votre site est également intéressant pour les pirates

Tobias Schüring Dernière mise à jour le 23.01.2020
5 Min.
Attaques de pirates informatiques sur WordPress : votre site est également intéressant pour les pirates informatiques

28,4 % des plus grands sites web du monde fonctionnent sur WordPress . Cette forte distribution fait des sites WP une cible populaire pour les pirates informatiques. Les exploitants de petits sites, en particulier, se croient souvent en sécurité, car qui piraterait un blog de faible portée ou sans données sensibles ? Aujourd'hui, je vais vous montrer pourquoi il s'agit d'une dangereuse erreur en matière de sécurité sur WordPress .

WordPress est particulièrement intéressant pour les attaquants car de nombreux sites l'utilisent. Pour de nombreuses formes d'attaques, ce n'est pas la "qualité" des cibles piratées qui importe, mais simplement le fait de pouvoir infiltrer automatiquement le plus grand nombre de sites possible. L'exemple de l'Union européenne montre à quoi peut ressembler l'exploitation systématique d'une vulnérabilité faille de sécurité dans WordPress 4.7.1. D'innombrables pages ont ensuite été défigurées sur la page d'accueil avec l'avis "piraté par".

La société de sécurité Sucuri avait découvert la vulnérabilité et l'avait signalée à WordPress . Et bien que le problème ait été réglé dans WordPress 4.7.2, des millions de sites ont été piratés lors d'attaques dites de défiguration après que l'exploit ait été connu. Des millions de sites ont été piratés lors d'attaques dites de défiguration..

Cet exemple montre que chaque page de WordPress est intéressante pour les attaquants. Dans la plupart des cas, les attaques se déroulent de manière totalement automatique. Aujourd'hui, je vais vous montrer à quoi peut ressembler une telle attaque, quelle est la cible des pirates et quelles conséquences elle peut avoir pour vous et vos pages une fois que votre page a été piratée avec succès.

Les pirates informatiques veulent détourner vos pages WordPress

Comme je l'ai dit, la plupart du temps, la question n'est pas de savoir quelle est la taille du site ou ce qu'il y a à obtenir. Il s'agit simplement d'une attaque automatisée sur un grand nombre de sites web qui n'ont pas comblé certaines failles de sécurité. Une fois que le site est infecté, il peut être utilisé à mauvais escient pour envoyer du spam, par exemple, ou même distribuer des logiciels malveillants (malware) aux visiteurs du site.

De cette manière, les pirates créent un réseau de fournisseurs de logiciels malveillants ou un botnet dont ils peuvent ensuite abuser pour des attaqueBrute Force s DDoS ou . La page individuelle n'est donc souvent intéressante que dans le cadre d'un ensemble plus vaste. Et plus un attaquant détourne ou infecte de sites, plus sa machinerie malveillante devient précieuse.

Le nombre d'attaques sur WordPress est en hausse

Le nombre d'attaques sur les sites web est actuellement en augmentation. Selon Google, en 2016 32 % de sites supplémentaires ont été piratés L'un des types d'attaque les plus courants était les attaques dites " Brute Force ". Ici, les gens essaient d'entrer la combinaison correcte de login et de mot de passe en devinant simplement. Ou bien les agresseurs ont déjà des listes de mots de passe, qu'ils essaient.

C'est ce que soulignent également les chiffres du fournisseur de sécurité Wordfence. Pendant des mois, la Américains ont vu une augmentation constante de ces attaques sur WordPress .

Hacker Attacks WordPress : Brute Force et attaques complexes sur les sites WordPress  de décembre 2016 à janvier 2017.
Contrairement aux attaques complexes, le nombre d'attaques sur Brute Force est en constante augmentation. En effet, ces dernières ne dépendent pas de l'existence de vulnérabilités spécifiques en matière de sécurité.

Reach est la capitale des hackers

L'exemple d'un botnet illustre très bien cette situation. Un botnet est un réseau de sites web détournés (qui peuvent également être des terminaux ou des routeurs Internet) qui est utilisé, par exemple, pour lancer des attaques DDoS contre des sites web ou des serveurs. Les éléments du botnet sont activés et bombardent la cible sur commande avec tant de demandes que le site s'effondre ou le serveur est surchargé.

Plus un hacker peut inclure de sites web dans son botnet, plus celui-ci devient puissant et donc précieux. Toutefois, cela signifie également que le détournement des installations de WordPress n'est souvent que la première étape pour les pirates. La deuxième étape consiste à créer quelque chose qui puisse être monétisé.

Les trois est : Informer, Identifier, Infiltrer

En gros, les hacks non spécifiques de WordPress peuvent être divisés en trois phases :

Attaques de hackers WordPress : 3 phases d'une attaque prototype sur WP
Une fois qu'un attaquant connaît une vulnérabilité, le vrai travail commence : il doit écrire un programme qui peut découvrir si la vulnérabilité existe et l'exploiter automatiquement.

Phase 1 : Obtenir des informations

Dans un premier temps, l'agresseur recherche des informations sur des vulnérabilités connues ou inconnues sur le site WordPress . Cela peut se faire, par exemple, via des plateformes comme le Base de données WPScan sur la vulnérabilité est possible.

Avec les attaques de défiguration que j'ai mentionnées au début du poste, il suffit de regarder WordPress .org aurait suffi.

Phase 2 : Identifier les vecteurs d'attaque

Maintenant, un attaquant sait par où commencer et doit écrire un script en phase 2 qui lui permet de choisir les pages de la masse des pages qui présentent la vulnérabilité. Dans le cas des attaques de défiguration sur WordPress 4.7. et 4.7.1, cela a été facilement possible en lisant la version WordPress .

Phase 3 : Attaques automatisées

Une fois trouvé, l'attaquant peut - à nouveau automatiquement - pirater le site et y apporter les modifications (non) souhaitées. Voici quelques exemples typiques :

  • Vol de données : un attaquant tente de voler des données sensibles sur votre site ou sur les visiteurs de votre site. Il peut s'agir d'adresses électroniques ou de données bancaires - mais en principe, tout ce qui peut être vendu ou réutilisé est intéressant. Par exemple, un pirate informatique peut placer sur votre site un faux formulaire qui vole toutes les données saisies. Et ce, dans un environnement totalement fiable et même crypté par SSL.
  • Détournement du site : Un attaquant peut intégrer votre site WordPress dans un botnet. Cela donne au pirate le contrôle de votre site et lui permet, par exemple, de lancer des attaques DoS ou DDoS sur commande.
  • Injecter un code malveillant : C'est le moment où un code malveillant est placé sur votre site. Par exemple, un agresseur peut utiliser votre espace publicitaire à ses propres fins ou placer sur votre site des formulaires qui volent les données personnelles de vos utilisateurs.

Dans la plupart des cas, les piratages de WordPress coûtent du temps et de l'argent.

Les coûts encourus par les pirates de WordPress et les conséquences exactes, directes ou indirectes, d'une attaque ne peuvent être énoncés en termes généraux. Cependant, les opérateurs de sites web piratés doivent toujours être prêts à faire face à ces trois conséquences :

1) Frais de recouvrement

Des millions d'attaques ont lieu chaque jour sur les sites WordPress . Le fabricant Plugin Wordfence a mesuré à lui seul une moyenne de 35 millions d'attaquesBrute Force et 4,8 millions d'attaques d'exploitation pour avril 2017. quotidien. En d'autres termes : il n'y a pas de sécurité absolue. Vous ne pouvez que maintenir la probabilité d'être piraté aussi faible que possible et créer des mécanismes appropriés qui vous permettent de restaurer rapidement votre site si le pire se produit.

Dans le meilleur des cas, vous disposez d'une sauvegarde du site et pouvez simplement le restaurer. Si les sauvegardes sont également infectées ou si une restauration n'est pas possible, la situation se complique. Ensuite, il faut consacrer du temps et de l'argent à la suppression manuelle du logiciel malveillant.

2) Perte de chiffre d'affaires

En fonction du type de code malveillant injecté et de la durée de maintenance de votre site, vous pouvez également encourir des coûts sous forme de perte de recettes publicitaires et commerciales.

3) Perte de confiance

Google voit tout : un site piraté contient souvent un code malveillant qui diffuse des logiciels malveillants. Si Google le détecte - et que vous ne faites rien pour y remédier - votre page se retrouvera sur une liste noire. Lorsque le site web est appelé, les visiteurs voient alors un avis de sécurité les avertissant de la présence de logiciels malveillants ou de phishing. Cela peut également entraîner une détérioration de votre position dans les moteurs de recherche (SERP) et une perte de portée importante.

Conclusion : les attaques sur les pages WordPress sont tout à fait normales

Bien entendu, cet article n'a pas pour but d'inciter à une panique non fondée. Il devrait cependant préciser ceci : Ce n'est pas parce que vous avez un "petit" site que vous ne devez pas vous occuper activement de la question de la sécurité du site.

Par exemple, il est important de savoir que la majorité des vulnérabilités peuvent être éliminées grâce à des mises à jour régulières. Et qu'un certificat SSL ne protège pas votre site contre les attaques de pirates.

J'ai mentionné au début que la taille même de WordPress en tant que CMS fait de chaque site une cible potentielle. Mais cette taille apporte également un avantage décisif : une communauté mondiale de bénévoles et les employés des entreprises du site WordPress travaillent 24 heures sur 24 pour rendre WordPress plus sûr. Ainsi, tôt ou tard, il existe une solution adéquate pour chaque vulnérabilité et pour chaque problème.

En tant qu'administrateur système, Tobias veille sur notre infrastructure et trouve chaque vis pour optimiser les performances de nos serveurs. Grâce à ses efforts inlassables, on peut souvent le trouver la nuit sur le site Slack .

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.