Comment réparer et prévenir les attaques XSS dans WordPress

Publié: 2022-06-14
How to fix and prevent xss attacks

Craignez-vous que des pirates informatiques attaquent votre site Web ?

Le cross-site scripting, également appelé XSS, est l'une des attaques les plus courantes sur les sites WordPress. Les pirates trouvent des vulnérabilités sur votre site et les utilisent pour voler des informations et abuser de votre site Web.

Le pire, c'est que si vous ne le corrigez pas immédiatement, ces piratages pourraient entraîner des dommages plus graves, du genre dont il est vraiment difficile de se remettre.

Vous pouvez empêcher ces piratages en installant un pare-feu sur votre site WordPress.

Si votre site Web est déjà attaqué, nous vous montrerons comment le réparer immédiatement dans un langage simple et convivial pour les débutants. Nous limiterons le jargon de la cybersécurité au strict minimum dans ce didacticiel. Nous vous montrerons également comment prévenir de futures attaques.

Tout d'abord, comprenons rapidement ce qui se passe lors d'une attaque XSS afin d'être mieux équipé pour y faire face.

Qu'est-ce qu'une attaque XSS dans WordPress ?

XSS signifie Cross Site Scripting qui est une sorte d'attaque par injection où les pirates injectent des scripts malveillants dans un site Web.

Ces scripts sont déguisés en bon code sur un site Web de confiance. Ensuite, lorsqu'un utilisateur arrive sur ce site Web, son navigateur exécute tout le code, y compris le script malveillant, car il pense que ce sont toutes des instructions fiables.

En termes plus simples, imaginez que vous êtes un espion et que vous venez de recevoir un e-mail officiel du gouvernement concernant une mission top secrète. Il contient toutes les instructions que vous devez suivre jusqu'au T.

Ce que vous ne savez pas, c'est que quelqu'un a intercepté cet e-mail et ajouté quelques instructions supplémentaires. Le gouvernement n'en a aucune idée et vous ne prenez pas la peine de vérifier parce que vous faites confiance à la source.

Certaines d'entre elles n'ont pas de sens, mais vous êtes entraîné à obéir à chaque ordre pour accomplir votre mission.

Dans ce scénario, le gouvernement est votre site Web et l'espion est le navigateur de l'utilisateur. Le navigateur suit les instructions de votre site Web et ne peut pas faire la différence entre les bons et les mauvais scripts.

Ces scripts sont généralement en Javascript, l'un des langages de programmation les plus populaires et les plus utilisés. Cependant, ces attaques peuvent avoir lieu en utilisant n'importe quel langage côté client.

Il existe maintenant de nombreuses façons de mener une attaque XSS. Une façon consiste à envoyer un lien aux utilisateurs peu méfiants pour les amener à cliquer dessus. Une fois qu'ils ont cliqué dessus, l'attaque peut éventuellement effectuer une ou plusieurs des actions suivantes :

  • Rediriger les utilisateurs vers un site malveillant
  • Capturez les frappes de l'utilisateur
  • Exécutez des exploits basés sur un navigateur Web
  • Voler les informations de cookie de l'utilisateur connecté à un compte

Si le pirate est capable de voler des informations sur les cookies, il peut complètement compromettre le compte de l'utilisateur. Par exemple, si vous êtes connecté au panneau wp-admin de votre site Web, le pirate peut voler vos informations d'identification et se connecter à votre site.

Ce que vous devez faire pour empêcher ces attaques, c'est de vous assurer que toutes les données des utilisateurs sont correctement validées et désinfectées avant qu'elles n'entrent sur votre site Web. De cette façon, aucune entrée utilisateur ne peut être un code Javascript malveillant. De plus, vous devez vous assurer qu'il n'y a pas de vulnérabilités XSS sur votre site qui pourraient permettre à un pirate d'attaquer.

Nous avons à peine effleuré la surface des attaques XSS, mais nous espérons que vous avez une bonne compréhension du fonctionnement d'une attaque WordPress XSS. Maintenant, si vous pensez que votre site a été piraté, suivez notre tutoriel étape par étape ci-dessous.

Comment trouver et réparer une attaque XSS dans WordPress

Pour trouver tout type de malware ou de piratage sur votre site, vous devrez exécuter une analyse approfondie de l'ensemble de votre site Web, y compris ses fichiers et sa base de données.

Nous utiliserons Sucuri pour analyser et nettoyer votre site piraté. Sucuri vous offre une configuration de sécurité robuste comprenant un pare-feu, un scanner de logiciels malveillants et un nettoyeur de logiciels malveillants.

Sucuri propose un scanner de logiciels malveillants gratuit pour site Web que vous pouvez installer sur votre site WordPress en accédant à Plugins »Ajouter un nouvel onglet.

Nous vous recommandons d'utiliser le scanner premium côté serveur. Cela transformera votre site Web à l'envers pour trouver toute trace de malware.

En plus de cela, voici quelques-uns de ses points forts :

  • Surveille les spams et les scripts malveillants
  • Vérifie les portes dérobées cachées créées par des pirates
  • Détecte les modifications apportées au DNS (système de noms de domaine) et SSL
  • Vérifie les listes noires avec les moteurs de recherche et autres autorités
  • Surveille la disponibilité du site Web
  • Alertes instantanées par e-mail, SMS, Slack et RSS

Pour plus de détails, lisez notre revue Sucuri.

Sucuri a un prix de 199,99 $ par an. Si cela dépasse votre budget, vous pouvez essayer d'autres plugins de sécurité. Consultez notre liste : 9 meilleurs plugins de sécurité WordPress comparés.

Lors de la sélection d'un plugin de sécurité, assurez-vous qu'il vous offre toutes les fonctionnalités de cybersécurité dont vous avez besoin pour trouver et corriger les infections par des logiciels malveillants et protéger votre site Web.

Étape 1 : Analyser votre site Web

Pour commencer, vous devrez vous inscrire à un plan avec Sucuri. Ensuite, connectez-vous au tableau de bord Sucuri où vous pourrez ajouter votre site.

Add site in Sucuri

Ici, vous devrez connecter votre site Web en entrant vos informations d'identification FTP. Si vous ne connaissez pas vos informations d'identification FTP, vous pouvez les obtenir auprès de votre hébergeur.

Connect site to Sucuri

Lorsque votre site est connecté, Sucuri exécutera automatiquement une analyse approfondie de votre site Web. Une fois cela fait, il vous montrera un rapport détaillé sous l'onglet "Mes sites" .

Sucuri dashboard site infected

Vous pouvez maintenant cliquer sur le bouton "Détails" à côté du message d'avertissement. Cela ouvrira la page de surveillance où vous pourrez voir les détails du piratage ou de l'infection.

Étape 2 : Demander un nettoyage des logiciels malveillants

Sur la page Surveillance , vous pouvez voir quel type de logiciel malveillant a infecté votre site. Sucuri ajoute une note pour indiquer le niveau de risque. Donc, s'il s'agit d'un risque critique ou élevé, vous savez que vous devez y remédier immédiatement. En plus de cela, il vous montrera également si votre site a été mis sur liste noire par des moteurs de recherche.

Clean up site with Sucuri

Maintenant que vous savez que votre site est infecté, vous devez le nettoyer et Sucuri vous facilite la tâche. Pour commencer le processus, cliquez sur le bouton "Nettoyer mon site" .

Malware removal request in Sucuri

Sur la page suivante, cliquez sur le bouton Nouvelle demande de suppression de logiciels malveillants et un formulaire apparaîtra dans lequel vous pourrez entrer les détails de votre site.

Malware removal request form in Sucuri

Remplissez simplement le formulaire et soumettez-le. Une fois cela fait, les experts en sécurité de Sucuri nettoieront votre site pour vous. Si vous ne connaissez pas les détails dont vous avez besoin pour remplir le formulaire, vous pouvez les demander à votre hébergeur.

Maintenant, vous vous demandez peut-être combien de temps faudrait-il pour nettoyer votre site.

Sucuri donne la priorité aux utilisateurs du plan Business. Ils assurent un délai d'exécution de 6 heures. Pour les autres plans, cela dépend de la complexité de l'infection de votre site et du volume de requêtes en file d'attente.

Immédiatement après une attaque, nous vous recommandons fortement de déconnecter tous les utilisateurs de votre site et de modifier vos identifiants de connexion par mesure de sécurité.

Comment prévenir les attaques XSS sur votre site WordPress

Il est toujours préférable de protéger votre site Web et d'empêcher ces types d'attaques de logiciels malveillants sur votre site. C'est beaucoup plus facile et moins cher que d'essayer de réparer un site Web piraté. Voici nos principales étapes recommandées pour prévenir les attaques XSS sur votre site.

1. Activer un pare-feu d'application Web (WAF)

Sucuri possède l'un des meilleurs pare-feu pour les sites WordPress. Il bloque non seulement les attaques XSS, mais toutes sortes d'autres attaques de logiciels malveillants comme les injections DDoS, Brute Force, Phishing et SQL.

Le pare-feu se placera devant votre site Web et analysera chaque utilisateur qui passe. Il identifiera et bloquera les mauvais bots avant qu'ils n'atteignent votre site.

Pour activer le pare-feu Sucuri, accédez à l'onglet Pare -feu de votre tableau de bord Sucuri.

Sélectionnez votre site et vous verrez des instructions de configuration que vous pourrez suivre. Sucuri vous propose 2 options pour configurer le pare-feu :

1. Intégration automatique : saisissez simplement vos informations d'identification d'hébergement à l'aide de cPanel ou de Plesk. Cette méthode nécessite que vous donniez à Sucuri l'accès au serveur de votre site Web pour configurer automatiquement le pare-feu sur votre site.

Sucuri firewall waf

2. Intégration manuelle : vous pouvez configurer vous-même le pare-feu sans accorder d'accès interne à Sucuri. Pour commencer, cliquez sur le lien du domaine interne et assurez-vous qu'il se charge.

check internal domain link

Ensuite, vous pouvez configurer votre DNS pour diriger votre trafic Web vers le pare-feu Sucuri. Pour cela, vous devrez accéder aux enregistrements DNS de votre compte d'hébergement. Ici, vous pouvez modifier l' enregistrement "A" de votre site et saisir les adresses IP fournies par Sucuri.

sucuri dns ip addresses

Si vous pensez que tout cela est trop compliqué, vous pouvez demander de l'aide à votre hébergeur et il vous guidera tout au long du processus. De plus, vous pouvez également créer un ticket d'assistance auprès de Sucuri et leur équipe d'assistance vous aidera à modifier les enregistrements DNS.

Pour ouvrir un ticket, vous trouverez un lien dans les instructions du manuel sur la même page.

open a ticket sucuri

Une fois que vous avez terminé de configurer le pare-feu, il faut généralement quelques heures pour que les modifications soient prises en compte. Vous pouvez vous attendre à un temps d'attente maximum de 48 heures.

Lorsque vous activez le pare-feu, il ajoute automatiquement des en-têtes de sécurité à votre site pour le protéger des attaques XSS.

S'il y a une tentative d'attaque XSS, Sucuri la bloquera et vous la signalera dans l'onglet Rapports .

Maintenant, ce que nous aimons du pare-feu Sucuri, c'est qu'il est si facile à utiliser pour tout le monde, y compris les débutants. Vous n'avez pas besoin d'être un expert en cybersécurité ou de connaître le codage.

Vous pouvez activer toutes sortes de fonctionnalités de protection en un seul clic dans l'onglet Paramètres » Sécurité .

Ainsi, par exemple, vous pouvez activer la protection DDoS et le géoblocage pour empêcher les pirates d'attaquer votre site.

Emergency ddos protection

Pour activer une fonction de sécurité ici, il vous suffit de cocher la case et d'enregistrer vos paramètres. Lorsque vous avez besoin de le désactiver, il vous suffit de décocher la case.

En dehors de cela, le plugin Sucuri va :

  • Analysez et surveillez régulièrement les spams et les codes malveillants
  • Vous alerter de toute vulnérabilité de cross-site scripting
  • Bloquer les mauvais robots et les pirates
  • Vérifiez les listes noires avec les moteurs de recherche et d'autres autorités
  • Surveiller la disponibilité du site Web
  • Détecter les modifications apportées au DNS (système de noms de domaine) et SSL
  • Vous envoyer des alertes de sécurité instantanées par e-mail, SMS, Slack et RSS

Ainsi, votre site sera protégé à tout moment.

2. Utilisez des formulaires sécurisés

Sur un site Web vulnérable, les formulaires sont l'une des cibles les plus courantes des pirates. Si votre formulaire n'est pas sécurisé, cela signifie que n'importe qui peut simplement saisir un code malveillant dans les champs de votre formulaire.

Notre recommandation pour sécuriser les formulaires de votre site Web est WPForms. C'est le constructeur de formulaires WordPress #1 qui a une sécurité intégrée afin que vos formulaires soient protégés dès le début.

anti spam protection in WPForms

Par défaut, les formulaires ont une protection anti-spam activée. De plus, vous pouvez même ajouter CAPTCHA à vos formulaires pour bloquer les spambots.

Advanced noCaptcha and Invisible Captcha

Vous pouvez activer un captcha invisible ou le type où un utilisateur devra résoudre un petit puzzle ou cocher une case pour prouver qu'il est humain.

3. Définir les autorisations de rôle d'utilisateur

Lorsque plusieurs personnes travaillent sur votre site Web, il n'est pas judicieux de donner à tout le monde un accès administrateur. Il est préférable de leur attribuer des rôles en fonction des autorisations dont ils ont besoin.

WordPress vous permet de créer des rôles pour :

  • Super administrateur
  • Administrateur
  • Éditeur
  • Auteur
  • Donateur
  • Abonné

Désormais, si un pirate prend le contrôle du compte d'un utilisateur, il sera limité dans ce qu'il peut faire sur votre site.

4. Déconnexion automatique des utilisateurs inactifs

Les pirates peuvent accéder aux comptes d'utilisateurs en détournant leurs sessions de navigation et en volant des cookies.

Vous pouvez minimiser ce risque en déconnectant les utilisateurs inactifs de WordPress.

De nombreux plugins de sécurité ont une fonction de déconnexion de session inactive ou vous pouvez utiliser le plugin de déconnexion inactive.

5. Mettez régulièrement à jour votre site Web

Les plugins WordPress, les thèmes et même votre installation WordPress sont régulièrement mis à jour. Vous les verrez dans votre tableau de bord WordPress lorsqu'ils seront disponibles :

updates in wordpress

De nombreux propriétaires de sites Web ignorent les mises à jour pendant longtemps, mais cela peut exposer votre site Web aux pirates. Les mises à jour contiennent généralement des corrections de bogues, de nouvelles fonctionnalités et des améliorations du logiciel. Ils peuvent également avoir des correctifs de sécurité. Vous pouvez voir si une mise à jour comporte un correctif de sécurité en affichant les détails de la mise à jour.

view version details of update

Cela signifie qu'une vulnérabilité a été trouvée dans le logiciel que les pirates peuvent utiliser pour attaquer votre site. Lorsque les développeurs trouvent des problèmes de sécurité, ils les corrigent et publient une nouvelle version du logiciel.

Tout ce que vous avez à faire est de mettre à jour le logiciel sur votre site.

Donc, si vous voyez qu'il s'agit d'un correctif de sécurité, mettez-le à jour immédiatement pour éviter tout risque de piratage.

security update

L'une des principales raisons pour lesquelles les propriétaires de sites ignorent les mises à jour est qu'elles peuvent parfois casser votre site ou causer des problèmes d'incompatibilité. Nous vous recommandons de tester la mise à jour sur un site intermédiaire, puis de l'exécuter sur votre site en ligne.

Avec cela, vous avez appris à réparer et à prévenir les attaques XSS sur votre site WordPress.

Avant de conclure, nous allons vous donner un autre conseil de sécurité. Effectuez toujours des sauvegardes régulières de votre site Web.

Même avec les mesures de sécurité les plus strictes sur votre site, de nombreux problèmes peuvent survenir. Par exemple, un utilisateur peut commettre une simple erreur humaine qui plante votre site Web.

Vous pouvez configurer des sauvegardes automatisées à l'aide d'un plugin de sauvegarde comme UpdraftPlus. Pour plus d'options, consultez notre liste des meilleurs plugins de sauvegarde WordPress.

FAQ

1. WordPress est-il vulnérable aux attaques de script intersite ?

Le logiciel de base de WordPress est développé et maintenu par certains des meilleurs experts au monde. Leur logiciel est assez solide, mais gardez à l'esprit qu'aucun logiciel n'est exempt de vulnérabilités.

La raison pour laquelle les sites Web WordPress sont souvent attaqués est que la plate-forme est si populaire. Et la plupart des utilisateurs installent des tonnes de thèmes et de plugins tiers. Des vulnérabilités peuvent se développer dans chacun de ces éléments et les pirates peuvent les exploiter pour pirater votre site.

2. Existe-t-il différents types d'attaques par cross site scripting ?

Oui. Il existe 3 principaux types d'attaques XSS :

  • XSS stocké (également connu sous le nom de XSS persistant) : les attaquants stockent leur charge utile sur un serveur compromis, ce qui oblige le site Web à fournir un code malveillant aux autres visiteurs.
  • XSS réfléchi : la charge utile est stockée dans les données envoyées du navigateur au serveur.
  • DOM XSS : Ici, le serveur lui-même n'est pas celui qui est vulnérable à XSS, mais plutôt le JavaScript sur la page.
  • Script auto-intersite : les attaquants peuvent exploiter une vulnérabilité qui nécessite des changements de contexte et manuels vraiment spécifiques. La victime ici ne peut être que vous-même.
  • Script intersite aveugle : dans ces attaques, la vulnérabilité se situe généralement sur une page à laquelle seuls les utilisateurs autorisés peuvent accéder. L'attaquant ne peut pas voir le résultat d'une attaque.

3. Comment puis-je m'assurer qu'il n'y a pas d'autres problèmes de sécurité sur mon site ?

Assurez-vous qu'un plugin de sécurité est toujours installé sur votre site Web. C'est un must pour tous les types de sites Web, y compris WooCommerce, les blogs et les sites de petites entreprises. Nous recommandons Sucuri, mais vous pouvez également consulter Wordfence, MalCare et SiteLock. Voir plus de nos meilleures recommandations ici : Comparaison des 9 meilleurs plugins de sécurité WordPress.

C'est tout ce que nous avons pour vous aujourd'hui. Nous espérons que cet article vous a donné tout ce dont vous avez besoin pour sécuriser votre site Web.

Pour en savoir plus sur la sécurité des sites Web, consultez nos ressources sur :

  • Le guide complet de sécurité WordPress (convivial pour les débutants)
  • 5 meilleurs scanners de vulnérabilité WordPress pour trouver les menaces
  • 9 meilleurs plugins de journal d'activité pour suivre et auditer votre site WordPress

Ces articles vous donneront plus de moyens de sceller les vulnérabilités et de protéger votre site Web de tous les risques.