WordPress Sécurité : votre site est également intéressant pour les pirates

Tobias Schüring Mis à jour le 23.01.2020
5 Min.
Hacker attacks on WordPress : Votre site est également intéressant pour les hackers

28,4 pour cent des plus grands sites web du monde fonctionnent sous WordPress . Cette forte distribution fait des sites WP une cible populaire pour les pirates informatiques. Les exploitants de petits sites, en particulier, pensent souvent qu'ils sont sûrs, car qui piraterait un blog avec une faible portée ou sans données sensibles ? Aujourd'hui, je vais vous montrer pourquoi il s'agit d'une dangereuse erreur en matière de WordPress sécurité.

WordPress est particulièrement intéressant pour les attaquants car il utiliser autant de pages. Car de nombreuses formes d'attaques ne dépendent pas de la "qualité" des cibles piratées, mais simplement de la possibilité d'infiltrer automatiquement le plus grand nombre de sites possible. L'exemple de l'exploitation systématique d'une vulnérabilité montre à quoi cela peut ressembler Vulnérabilité en matière de sécurité dans WordPress 4.7.1. D'innombrables pages ont été défigurées à cette époque sur la page d'accueil avec la mention "hacked by".

La société de sécurité Sucuri avait trouvé la faiblesse et l'avait transmise à WordPress Et bien que la question ait été abordée au point WordPress 4.7.2, après que l'exploitation ait été rendue publique Des millions de pages piratées lors de soi-disant attaques de défiguration.

L'exemple montre que chaque WordPress page est intéressante pour les attaquants. Dans la plupart des cas, les attaques se déroulent de manière totalement automatique. Aujourd'hui, je vais vous montrer, à quoi peut ressembler une telle attaque, quelle est la cible des hackers et les conséquences que cela peut avoir pour vous et vos sitesune fois que votre site a été piraté avec succès.

Les pirates informatiques veulent détourner vos WordPress sites

Comme je l'ai dit : la plupart du temps, il ne s'agit pas du tout de la taille du site ou de ce qui y est disponible. Un grand nombre de sites web qui n'ont pas comblé certaines failles de sécurité sont tout simplement attaqués automatiquement. Une fois que le site est infecté, il peut être utilisé à mauvais escient, par exemple pour envoyer du spam ou même distribuer des logiciels malveillants - c'est-à-dire des logiciels malveillants - aux visiteurs du site.

De cette manière, les pirates créent un réseau de fournisseurs de logiciels malveillants ou un botnet qu'ils peuvent ensuite utiliser pour les DDoS ou les Brute Force Attaques peut abuser. La page individuelle n'est donc souvent intéressante que dans le cadre d'un ensemble plus vaste. Et plus un attaquant détourne ou infecte de pages, plus sa machine à malware devient précieuse.

Le nombre d'attentats WordPress est en augmentation

Le nombre d'attaques sur les sites web tend actuellement à augmenter. Selon Google 2016 32 % de pages piratées en plus L'un des types d'attaque les plus courants était le soi-disant Brute Force Attaques. Ici, l'utilisateur essaie d'entrer la combinaison correcte de login et de mot de passe par simple devinette. Il se peut aussi que les agresseurs aient déjà des listes de mots de passe qu'ils essaient de trouver.

C'est ce que soulignent également les chiffres du fournisseur Wordfencede sécurité. Depuis des mois maintenant, la Américain une augmentation WordPress constante de ces attaques.

Attaques de hackers WordPress : Brute Force et attaques complexes sur les WordPress sites de décembre 2016 à janvier 2017.
Contrairement aux attaques complexes, le nombre d'Brute Force attaques est en constante augmentation. En effet, ces dernières ne dépendent pas de l'existence de lacunes spécifiques en matière de sécurité.

Reach est la capitale des hackers

L'exemple d'un botnet illustre très bien cette situation. Un botnet est un réseau de sites web détournés (qui peuvent également être des dispositifs terminaux ou des routeurs Internet) qui est utilisé pour lancer des attaques DDoS contre des sites web ou des serveurs, par exemple. Ce faisant, les éléments du botnet sont activés et bombardent la cible sur commande avec tant de requêtes que le site s'effondre ou que le serveur devient surchargé.

Plus un hacker peut ajouter de sites web à son botnet, plus celui-ci devient puissant et donc précieux. Mais cela signifie aussi que la capture des WordPress installations n'est souvent que la première étape pour les pirates informatiques. La deuxième étape consiste à créer quelque chose qui puisse être monétisé.

Les trois est : Informer, identifier, infiltrer

En gros, les piratages non WordPress spécifiques peuvent être divisés en trois phases :

Attaques de hackers WordPress : 3 phases d'un prototype d'attaque sur WP
Dès qu'un attaquant a connaissance d'une faille de sécurité, le vrai travail commence : il doit écrire un programme qui peut découvrir si la vulnérabilité existe et l'exploiter automatiquement.

Phase 1 : Obtenir des informations

Dans un premier temps, l'agresseur cherche à connaître les vulnérabilités connues ou inconnues de WordPress . Cela est possible, par exemple, via des plateformes telles que le Base de données WPScan sur la vulnérabilité possible.

Avec les attaques de défiguration, que j'ai mentionnées au début de ce post, un simple regard sur WordPress .org était suffisant.

Phase 2 : Identifier les vecteurs d'attaque

Maintenant, un attaquant sait par où commencer et, dans la phase 2, il doit écrire un script qui lui permet de repérer dans la masse des pages celles qui ont la faiblesse. Avec les attaques de défiguration sur les versions WordPress 4.7. et 4.7.1, cela a été facilement fait en lisant la WordPress version.

Phase 3 : Attaques automatisées

Une fois trouvé, l'attaquant peut - à nouveau automatiquement - pirater la page et y apporter les modifications (non) souhaitées. Voici quelques exemples typiques :

  • Vol de données : Un attaquant tente de voler des données sensibles sur votre site ou les visiteurs de votre site. Il peut s'agir d'adresses électroniques ou même de coordonnées bancaires - mais en principe, tout ce qui peut être vendu ou réutilisé est intéressant. Par exemple, un pirate informatique peut placer sur votre site un faux formulaire qui vole toutes les données que vous saisissez. Et tout cela dans un environnement totalement digne de confiance et également crypté par SSL.
  • Enlèvement du site : Un attaquant peut intégrer votre WordPress site dans un botnet. Cela permet au pirate de prendre le contrôle de votre site et de lancer des attaques DoS ou DDoS sur commande.
  • Imiter un code malveillant : Ici, un code malveillant est placé sur votre page. Par exemple, un agresseur peut abuser de votre espace publicitaire à ses propres fins ou placer sur votre site des formulaires qui volent les données personnelles de vos utilisateurs.

Dans la plupart des cas, les WordPress piratages coûtent du temps et de l'argent

Il n'est pas possible de dire en termes généraux quels sont les coûts encourus par les WordPress pirates informatiques et quelles sont les conséquences directes ou indirectes d'une attaque. Mais les exploitants de sites piratés doivent en fait toujours être prêts à faire face à ces trois conséquences :

1) Coût de la restauration

Des millions d'attaques sur les WordPress sites web ont lieu chaque jour. Le Pluginfabricant mesure à lui seul Wordfence une moyenne de 35 millions Brute Force Attaques et 4,8 millions d'attentats à l'explosif quotidien. En d'autres termes, il n'y a pas de certitude absolue. Tout ce que vous pouvez faire est de minimiser les risques de piratage et de créer des mécanismes qui vous permettront de restaurer rapidement votre site en cas de piratage.

Au mieux, vous avez un Backup de la page et vous pouvez simplement l'importer à nouveau. Si les sauvegardes sont également infectées ou si une récupération n'est pas possible, la situation devient plus complexe. Ensuite, il y a le temps et le coût de la suppression manuelle des logiciels malveillants.

2) Perte de ventes

Selon le type de code malveillant qui a été introduit et la durée de maintenance de votre site, vous pouvez également encourir des coûts sous forme de perte de revenus de la publicité et des ventes.

3) Perte de confiance

Google voit tout : une page piratée contient souvent un code malveillant qui diffuse des logiciels malveillants. Si Google le reconnaît - et que vous ne faites rien pour y remédier - votre page se retrouvera sur une liste noire. Lors de l'appel du site web, un avis de sécurité apparaîtra alors pour le visiteur avec un avertissement contre les logiciels malveillants ou le phishing. Cela peut également nuire à votre position dans les moteurs de recherche (SERP) et vous faire perdre beaucoup de portée.

Conclusion : les attaques sur les WordPress sites sont tout à fait normales

Bien entendu, cet article n'a pas pour but de créer une panique infondée. Mais ce qu'il est censé illustrer : Ce n'est pas parce que vous avez un "petit" site que vous ne devez pas vous occuper activement de la question de la sécurité du site.

Par exemple, il est important de savoir que la majorité des vulnérabilités sont causées par une mise à jour régulière peuvent être éliminés. Et qu'un Certificat SSL ne protège pas votre site contre les attaques de pirates informatiques.

Au début, j'ai mentionné que la taille même WordPress d'un CMS fait de chaque page une cible potentielle. Mais cette taille apporte également un avantage crucial : une communauté mondiale de bénévoles et WordPress d'employés d'entreprises travaille 24 heures sur 24 pour rendre le pays plus WordPress sûr. Ainsi, tôt ou tard, il y aura une solution adéquate pour chaque vulnérabilité et chaque problème.

En tant qu'administrateur système, Tobias veille sur notre infrastructure et trouve tous les moyens possibles pour optimiser les performances de nos serveurs. Grâce à ses efforts inlassables, il est souvent Slack retrouvé la nuit.

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .