Comme nous découvrons de meilleures façons de sécuriser les sites WordPress, il est facile de se sentir un peu plus détendu… ce qui est à la fois bon et mauvais.

Pour le dire franchement: les pirates cherchent à percer dans votre site WordPress. C’est un fait. Si vous pensez que votre site est trop petit ou trop récent pour attirer l’attention des pirates, détrompez-vous. Il y a 90 978 attaques de sécurité qui se produisent chaque minute de chaque jour, et les pirates ne montrent aucun préjugé quand il s’agit de la taille du site ou de l’entreprise qu’ils attaquent.

Les faiblesses abondent dans l’univers WordPress malheureusement et les pirates en sont bien conscients. Si vous voulez mettre en place une bonne défense autour de votre site WordPress, alors vous devez penser comme un hacker. Identifiez les points les plus faibles de votre site et considérez les différentes façons dont ils pourraient les exploiter. Alors seulement, vous serez en mesure de repousser correctement les attaques.


Où sont les points les plus faibles sur votre site WordPress?

Peut-être la chose la plus effrayante à propos de tout cela :  De nombreux hackers automatisent le processus de détection des vulnérabilités en utilisant des robots. Ces robots détectent l’entrée et les hackers sautent à l’intérieur. Donc, vraiment, n’importe quel site WordPress peut devenir la victime.

Pour garder les hackers et leurs bots à distance, il est important de vous familiariser avec les points faibles les plus communs dans WordPress.


Mots de passe

Tout emplacement sur le backend ou le frontend de votre site WordPress qui nécessite un identifiant et un mot de passe est une zone privilégiée pour le ciblage.

Cela inclut la zone de connexion WordPress principale:

Panneaux de commentaires:

Comptes de commerce électronique ou passerelles de paiement:

 

Les pirates savent que les utilisateurs ne sont pas toujours enclins à créer un mot de passe unique et fort pour chaque compte qu’ils ont en ligne (ce qui va à l’encontre des principes de base de la sécurité par mot de passe). C’est pourquoi ce sera l’une de leurs premières cibles sur votre site WordPress.


commentaires

Les commentaires ne sont pas seulement une responsabilité de sécurité en raison de l’élément de connexion (s’il en existe un). Les commentaires peuvent aussi être problématiques à cause du spam, c’est pourquoi certaines personnes choisissent de désactiver complètement les commentaires dans WordPress.

Voici un exemple du tableau de bord Clients from Hell:

Ce lien pourrait ne pas mener à quelque chose de malveillant, mais il n’appartient certainement pas à cette chaîne de commentaire sur les clients défectueux.


Formulaires de contact

Formulaires de contact, formulaires d’abonnement, formulaires de paiement: toute partie de votre site qui demande aux utilisateurs d’entrer leurs coordonnées est un endroit évident pour les pirates informatiques.

Bien sûr, il ya la rupture évidente dans les coulisses et ensuite saisir les données sensibles entrées dans ces champs d’approche. Il existe également une façon pour les pirates de voler des données en surveillant les frappes des utilisateurs, soit en piratant les claviers sans fil, soit en utilisant des logiciels malveillants de frappe installés sur leur ordinateur.


La base de donnée WordPress

Bien que WordPress ait simplifié le nommage des fichiers et des structures de bases de données sur tous les sites, c’est aussi un problème majeur car chacun d’entre nous (y compris les pirates) sait que le préfixe “wp-” est utilisé pour tout étiqueter. Cela laisse votre base de données WordPress entièrement exposée et vulnérable aux attaques si cela n’est pas changé.


Le core de WordPress

Saviez-vous que plus de 73% des installations précédentes de WordPress présentaient des vulnérabilités connues?

Bien que le noyau de WordPress ne soit pas de votre responsabilité, il est de votre responsabilité de veiller à ce que toutes les mises à jour de WordPress soient traitées immédiatement . Aussi diligent que l’équipe de sécurité de WordPress est de maintenir le noyau à jour, il est important que les développeurs WordPress fassent de même pour ne pas introduire ces insécurités sur leurs sites.


Plugins WordPress

Encore plus sensibles aux failles de sécurité que le noyau WordPress sont des plugins. En fait, les plugins WordPress représentent plus de 50% de toutes les attaques de sécurité sur les sites Web WordPress .

 

Bien sûr, cela ne devrait pas vous faire peur d’utiliser des plugins WordPress; Ils constituent un élément essentiel du travail que vous effectuez pour créer des sites Web interactifs et attrayants pour nos auditoires. Cependant, cela signifie que vous devez prêter une attention particulière à ce qui se passe avec votre ensemble actuel de plugins ainsi que garder vos yeux et vos oreilles ouverts lors de l’examen de nouveaux plugins pour votre site.

Il existe généralement deux façons dont les plugins WordPress peuvent créer des situations dangeureuse pour vous:

  • Quand ils sont mis à jour par le développeur, mais vous ne faites pas la mise à niveau sur votre site (ou le faire en temps opportun).
  • Lorsque vous ajoutez sans le savoir un faux plugin WordPress sur votre site.

Alors, assurez-vous de faire très attention à ceux-ci.


Thèmes WordPress

La même chose vaut pour les thèmes WordPress, il s’agit simplement de faire des mises à jour du développeur en temps opportun.


Serveur d’hébergement Web

Malheureusement, toutes les sociétés d’hébergement Web ne sont pas égales et cela peut souvent affecter le niveau et la qualité de la sécurité du serveur que vous recevez. Bien sûr, vous devriez être à l’affût des éléments suivants lorsque vous choisissez un plan d’hébergement Web:

  • Pare-feu et chiffrement côté serveur
  • Serveurs Web NGINX ou Apache
  • Logiciel antivirus et anti-malware
  • Systèmes de sécurité sur site
  • Disponibilité de certificats SSL et d’un CDN

Il existe également un risque de contamination entre sites lorsque plusieurs domaines partagent le même espace sur un serveur. Si ce scénario concerne directement votre site, vous devrez peut-être prendre des précautions de sécurité supplémentaires au niveau du serveur.


Que veulent les pirates de votre site WordPress?

Si vous avez déjà eu la pensée, “Mon site est trop petit / nouveau / local. Qu’est-ce que les hackers pourraient en vouloir? “, Il est temps de changer d’idée. Les hackers ne cherchent pas seulement à arnaquer les grandes entreprises. Non. Ils sont simplement à la recherche de toute vulnérabilité qu’ils peuvent exploiter.

Donc, la prochaine fois que vous pensez, “je n’ai rien qu’ils voudraient”, considérez les opportunités suivantes dont ils pourraient profiter:


1. Injecter du contenu malveillant

Dans certains cas, le piratage consiste simplement à obtenir du contenu ou du code malveillant sur la partie frontale de votre site WordPress dans l’espoir que vos visiteurs cliquent ensuite sur les liens errants. Cela peut se produire par le biais de spams de commentaire, en détournant l’adresse e-mail de votre site et en envoyant des messages de spam à vos abonnés ou via des soumissions de contenu.

À titre d’exemple de la dernière, jetez un oeil à la vulnérabilité du plugin NextGEN Gallery . Grâce à cela, les pirates avaient la possibilité de mettre à jour le PHP d’un site Web, puis d’attaquer un site via le plugin.


2. Diffuser les virus

Une autre façon dont les pirates visent à terroriser vos visiteurs est en utilisant votre site WordPress pour propager des virus et des logiciels malveillants. Ils peuvent le faire en utilisant un code malveillant qu’ils ont écrit dans le backend ou avec des fichiers qu’ils ont téléchargés pour le téléchargement sur le frontend. Lorsque les visiteurs interagissent avec eux, les pirates volent alors les informations des visiteurs ou utilisent leurs ordinateurs pour diffuser des virus sur d’autres sites.

La violation de plug-in de sauvegarde de BlogVault en est un bon exemple. Grâce à cette attaque, les pirates ont pu infecter les sites WordPress qui avaient le plugin avec des logiciels malveillants.


3. Voler les informations personnelles des visiteurs

C’est celui dont vos visiteurs sont de toute évidence les plus inquiets et celui que vous devriez espérer qui ne se produira jamais car il est très coûteux. Certes, toute violation de sécurité est mauvaise pour les affaires, mais celle-ci signifie également avoir à indemniser vos visiteurs et clients pour l’argent et la vie privée compromise dans l’attaque. Sans oublier leur perte de confiance dans votre marque.

Les pirates peuvent obtenir cette information de plusieurs façons et ils peuvent aussi faire un certain nombre de choses avec. Parfois, c’est pour leur propre gain personnel, mais parfois, c’est comme le hack Ashley Madison où ils essaient de faire une sorte de déclaration.


4. Voler des informations privées de l’entreprise

Les entreprises travaillent très dur pour garder les détails secret- en particulier en ce qui concerne les finances et les détails du compte client – sous le boisseau. C’est pourquoi il est extrêmement important de ne pas synchroniser cette information avec le site d’entreprise correspondant.

La vulnérabilité de Heartbleed est un exemple récent de ce type d’attaque et elle provient d’un problème avec OpenSSL – quelque chose créé afin de mieux protéger les sites Web. Au lieu de cela, OpenSSL a fini par remettre les données sensibles aux pirates informatiques lorsqu’ils envoyaient de fausses requêtes aux serveurs des sites concernés.


5. Héberger des pages de phishing à partir de votre serveur

L’hameçonnage sur les sites Web fait essentiellement référence au moment où les pirates créent une fausse page sur votre site WordPress dans le but de recueillir des informations auprès des visiteurs désireux de le donner. Ils peuvent le faire en intégrant un formulaire de contact sur la page et en recueillant directement des informations ou ils peuvent rediriger les visiteurs vers un autre site Web où ces informations seront ensuite levées.

Google blacklists 50 000 sites Web chaque semaine en raison d’escroqueries par phishing. Assez fou, non?


6. Héberger des pages légitimes à partir de votre serveur

Certains hackers peuvent en effet prendre le temps de construire des pages légitimes sur des sites WordPress afin d’améliorer leur référencement. Ces pages parlent de leur propre entreprise et y renvoient afin de donner plus de poids à leur site dans la recherche. Ou ils peuvent choisir de passer la page d’atterrissage et à la place utiliser une approche plus subtile pour stimuler le référencement. Dans ce cas, ils utiliseraient un système de backlinks de votre site vers le leur.


7. Surchargez votre serveur Web

Lorsque les pirates surchargent votre serveur Web avec un afflux de hits, c’est ce qu’on appelle une attaque par déni de service distribué (ou DDoS). Une fois qu’ils atteignent ce seuil, votre site tombe en panne et ils gagnent. Pourquoi feraient-ils cela? Que pourraient-ils obtenir de prendre votre site hors ligne? Eh bien, ce pourrait être pour les droits de vantardise. C’est peut-être parce qu’ils ont une vendetta personnelle contre la marque derrière le site. Peut-être que le site est l’une des nombreuses victimes d’une attaque généralisée majeure. Ou peut-être qu’ils l’ont fait pour exiger une rançon.


8. Volez votre bande passante du serveur

J’ai déjà parlé de la façon dont les gens pourraient sciemment ou inconsciemment voler des images de votre site WordPress . L’un des moyens par lesquels cela se produit est le hotlinking, qui transforme efficacement votre site en un lieu d’hébergement pour le trafic d’autres sites à travers vos images liées.

Cependant, il existe d’autres façons pour les pirates informatiques de voler les ressources de votre serveur pour héberger leurs propres activités malveillantes, telles que l’extraction de bitcoins et les attaques par force brute sur d’autres sites Web. C’est exactement ce qui s’est passé dans le cas du hack minier de Monero dans lequel les sites piratés sont devenus des «esclaves» utilisés dans les activités minières des hackers.


9. Vandaliser votre site Web

Et, bien sûr, il y a du vandalisme sur le site Web. Pour la plupart, les pirates font cela pour établir une carte d’appel pour eux-mêmes tout en blessant simultanément votre marque. L’une de ces dégradations est survenue sur une grande partie des sites WordPress – et a continué à se produire même après que WordPress ait publié le correctif parce que les utilisateurs ne pouvaient pas mettre à jour à temps.


En conclusion :

Pour conclure sur une note positive, essayons de nous concentrer sur ce que nous savons:

Non, WordPress n’est pas invincible.

Mais oui, nous avons les moyens de mettre en place une bonne défense contre les intrus si nous savons ce que nous regardons.

Pour rappel, voici ce que vous pouvez faire:

  • Sauvegardez votre site régulièrement.
  • Sécurisez votre site à tous les niveaux: serveur, core, plugins, thèmes, même votre propre ordinateur et votre réseau.
  • Utilisez un plugin de sécurité .
  • Utilisez un CDN .
  • Utilisez un certificat SSL .
  • Sécurisez vos mots de passe

Et n’oubliez pas d’ effectuer régulièrement des analyses de vulnérabilité pour vous assurer que votre site n’est pas vulnérable!