Que retenir du hack de GoDaddy de novembre 2021

Le 6 septembre 2021, des acteurs encore inconnus ont piraté et obtenu l'accès aux données de 1 200 000 clients GoDaddy. GoDaddy a remarqué la brèche le 17 novembre, quelque 36 jours plus tard. La violation a été signalée à la SEC environ cinq jours plus tard et 41 jours après les faits.

Bien que les enquêtes soient toujours en cours, nous savons que les e-mails et les numéros de clients ont été exposés. Les clients Active Managed WordPress ont également vu leurs informations d'identification exposées, y compris celles des bases de données sFTP et WordPress. Certains clients ont également vu leur clé privée SSL exposée.

Avant d'aller plus loin, si vous pensez que l'un de vos comptes a été exposé, assurez-vous de changer immédiatement tous vos mots de passe.

Vous devrez peut-être également informer vos clients de la violation. Comme il s'agit d'une exigence réglementaire, vous devrez vérifier quelles lois et réglementations de votre juridiction vous obligent à le faire.

Si GoDaddy est en faute, nous ne le savons pas encore – les enquêtes sont toujours en cours. Ceci, cependant, est quelque chose d'un point discutable pour plusieurs raisons.

La sécurité de WordPress, comme toutes les autres formes de sécurité, consiste avant tout à gérer les risques

Les pirates et les logiciels/spécialistes de la sécurité sont enfermés dans un bras de fer sans fin. Pour la plupart, le nœud reste bang au milieu. Cependant, les vulnérabilités, les nouvelles technologies et une myriade d'autres choses peuvent perturber cet équilibre délicat à tout moment. Cet équilibre est généralement restauré assez rapidement. Cependant, cela laisse encore une fenêtre d'opportunité, même infime, pour que des dommages, parfois irréparables, soient causés.

Pour cette raison, aucun système n'est jamais complètement à l'abri des attaques. Bien sûr, les fournisseurs de services sont responsables de s'assurer que tout est mis à jour et sécurisé - et une grande partie de la responsabilité leur incombe. Cela ne signifie pas que nous sommes à leur merci. Les administrateurs et les propriétaires de WordPress peuvent toujours prendre des mesures pour se sécuriser autant que possible afin de minimiser les risques.

WordPress, en particulier, dépend de plusieurs sous-systèmes pour fonctionner, chacun pouvant être vulnérable aux vulnérabilités et aux attaques. Une bonne politique de sécurité WordPress adopte une approche à 360 degrés et garantit également un processus de sécurité WordPress itératif qui traite les risques et les problèmes de sécurité au fur et à mesure qu'ils surviennent.

Les violations peuvent prendre énormément de temps à être remarquées

GoDaddy, l'une des plus grandes sociétés d'hébergement au monde, a mis 36 jours à remarquer qu'elle avait été piratée. Trente-six jours peuvent sembler beaucoup, mais un rapport d'IBM a montré qu'en moyenne, les entreprises mettent près de 200 jours pour remarquer une violation. Cela fait que 36 jours semblent tout à fait raisonnables, mais tout de même, beaucoup de choses peuvent se produire en 36 jours.

La vérité est que les pirates ont transformé le processus de couverture de leurs traces en une forme d'art, ce qui rend assez difficile, même pour les plus grandes entreprises, de réaliser qu'elles ont été piratées. Cette situation est exacerbée par le fait que de nombreux pirates sont soutenus par des budgets importants, qui dans certains cas sont financés par les États.

Vous pourriez penser qu'un État dirigé par une dictature pourrait ne pas être intéressé par votre site Web WordPress, mais ce n'est pas nécessairement vrai. Bien qu'ils ne soient peut-être pas intéressés par votre site Web, en particulier, il peut toujours être pris entre deux feux. Le résultat final est tout aussi dommageable.

Bien qu'il soit de plus en plus difficile de découvrir des hacks, tout se résume à la gestion des risques, notamment en s'assurant que vous disposez des systèmes nécessaires pour enregistrer l'accès aux ressources.

Sur WordPress, un plugin de journal d'activité peut faire toute la différence. Plus la portée du journal d'activité est large, plus le champ de vision que vous aurez sur votre système sera large, ce qui vous aidera à vous assurer que rien n'échappe à l'examen.

Notre plugin WP Activity Log couvre une large gamme d'activités utilisateur et système et comprend de nombreuses extensions de journal d'activité pour la prise en charge de plugins WordPress tiers tels que WooCommerce. Cela peut rassurer les administrateurs sur le fait que chaque facette de leur site Web est surveillée, ce qui réduit considérablement le risque que des activités illicites passent inaperçues.

Un autre plugin essentiel à mentionner est le plugin Website File Changes Monitor pour WordPress. Ce plugin prend essentiellement une empreinte digitale des fichiers de votre site Web WordPress chaque fois qu'il l'analyse et compare le résultat aux analyses précédentes pour signaler la plus petite minute de modifications.

Les mots de passe sont littéralement la clé de toute votre infrastructure

Les premières enquêtes ont montré que tout le piratage de GoDaddy a été rendu possible grâce à un mot de passe compromis. Voir comment un mot de passe peut faire tomber toute la maison nous fait réaliser à quel point chaque mot de passe est important.

Bien sûr, nous ne spéculons pas sur le cas GoDaddy, car tous les détails n'ont pas encore été rendus disponibles. Pourtant, nous savons une chose ou deux sur les mots de passe WordPress et comment les transformer en une responsabilité potentielle pour devenir votre point fort.

Une politique de sécurité de mot de passe WordPress solide qui inclut la complexité obligatoire et l'expiration automatique est un bon point de départ. Vous devez également bloquer les utilisateurs inactifs et bloquer les comptes d'utilisateurs après un certain nombre de tentatives de connexion infructueuses. Tous ces éléments sont facilement configurables via WPassword, un plugin qui ajoute un coup de poing sérieux à vos mots de passe.

Bien sûr, l'authentification à deux facteurs sur WordPress, qui devient rapidement aussi omniprésente que les mots de passe eux-mêmes, est essentielle pour assurer la sécurité des comptes. WP 2FA offre une approche entièrement personnalisable de l'authentification à deux facteurs WordPress - vous aidant à protéger vos utilisateurs et votre WordPress sans avoir à réinventer la roue.

Avancer

Il est indéniable que les hébergeurs sont responsables de la sécurité de leur côté - et ils devraient être tenus responsables de toute défaillance si celle-ci est détectée. Cependant, rien ne garantit que des violations ne se produiront pas. Pour cette raison, nous devons considérer la sécurité comme une responsabilité partagée.

Aujourd'hui, les propriétaires de WordPress ont d'excellentes ressources à leur disposition - des informations aux produits et services conçus pour les aider à rester en sécurité. En fin de compte, nous devons à nos utilisateurs et clients de les protéger et nous devons faire tout notre possible pour nous assurer que leurs données sont en sécurité avec nous.