Que sont les attaques de piratage WordPress ciblées et non ciblées
Publié: 2014-07-08Si vous avez lu sur la sécurité de WordPress et recherché des hacks et des ajustements de sécurité WordPress à appliquer à votre WordPress ou à vos plugins de sécurité WordPress pour le protéger des attaques de pirates, vous remarquerez qu'il existe deux types d'attaques, le hack WordPress ciblé et non ciblé. attaques.
Quelle est la différence entre une attaque WordPress ciblée et non ciblée et comment pouvez-vous protéger votre WordPress de ces deux attaques ? Cet article explique la différence entre ces deux types d'attaques de piratage et explique pourquoi certains ajustements et hacks de WordPress peuvent vous protéger d'un type d'attaque et pas de l'autre, et vice versa.
Attaque de piratage WordPress non ciblée
Les attaques de pirates WordPress non ciblées sont des attaques automatisées et ne sont pas spécifiquement lancées contre les sites Web WordPress uniquement. Par exemple, si des pirates tentent d'exploiter une vulnérabilité connue dans une ancienne version de WordPress, ils ne recherchent pas manuellement les sites Web WordPress, vérifient leur version et voient s'ils sont vulnérables à une telle vulnérabilité ou non.
Au lieu de cela, ils utilisent des outils automatisés pour envoyer des requêtes HTTP spécifiques qui sont utilisées pour exploiter la vulnérabilité à un certain nombre de sites, généralement une plage d'adresses IP. En fonction des réponses HTTP reçues, l'outil détermine si le site Web cible est une installation WordPress vulnérable ou non.
Protégez WordPress des attaques non ciblées
Par conséquent, si vous cachez votre version de WordPress, ou même cachez le fait que vous utilisez WordPress pour vos sites, vous ne protégerez pas votre site contre les attaques de piratage WordPress non ciblées. Pour protéger WordPress des attaques de piratage non ciblées, suivez les recommandations ci-dessous :
- Gardez tous vos logiciels à jour; utilisez toujours la version la plus récente et la plus sécurisée de WordPress, des plugins et des thèmes que vous utilisez. Cela s'applique également à MySQL, Apache et à tout autre logiciel exécuté sur votre environnement Web.
- Désinstallez et supprimez toujours tous les plugins, thèmes et autres composants et fichiers inutiles qui ne sont pas utilisés.
- N'utilisez pas de noms d'utilisateur typiques tels que admin, administrateur et root pour votre compte administrateur WordPress. Si vous renommez le compte administrateur WordPress.
- Protégez les pages de connexion et d'administration de WordPress en ajoutant une couche d'authentification supplémentaire. Lisez Protéger la page de connexion WordPress avec l'authentification HTTP pour plus d'informations.
- Utilisez des mots de passe forts ; cela ne s'applique pas seulement à WordPress mais à tout autre service ou site Web que vous utilisez en ligne. Si plusieurs utilisateurs utilisent WordPress, utilisez un plugin pour créer des politiques de mot de passe WordPress afin de vous assurer que les utilisateurs utilisent des mots de passe forts.
Attaque de piratage WordPress ciblée
Les attaques de piratage ciblées ciblent spécifiquement vos sites Web et vos blogs. Il existe plusieurs raisons pour lesquelles votre site WordPress pourrait être victime d'une attaque ciblée et la raison pour laquelle votre WordPress est victime d'une attaque ciblée n'a pas d'importance. Ce qui est important, c'est de comprendre ce qui se passe lors d'une attaque ciblée afin de mieux protéger vos sites Web et blogs WordPress.
Les attaques ciblées sont plus dangereuses que les non ciblées simplement parce que plutôt que d'avoir un certain nombre d'outils automatisés qui analysent les sites Web au hasard, il y a un être humain qui analyse chaque détail de votre site Web dans l'espoir de trouver quelque chose qui pourrait être exploité.
Anatomie d'une attaque WordPress ciblée
Dans un premier temps, l'attaquant utilisera des outils automatisés pour vérifier si votre version de WordPress est vulnérable à des vulnérabilités connues. Étant donné que des outils automatisés sont utilisés, masquer la version de votre WordPress n'aide pas dans de tels scénarios.
L'attaquant essaiera également de déterminer quels plugins sont en cours d'exécution sur votre WordPress et si l'un d'entre eux est vulnérable à une vulnérabilité particulière. Encore une fois, la plupart de ces tâches sont effectuées à l'aide d'outils automatisés.
Les maillons les plus faibles de la sécurité de WordPress sont généralement les informations d'identification. Par conséquent, en utilisant des outils automatisés, l'attaquant essaiera d'énumérer tous les utilisateurs de WordPress et même de lancer une attaque par dictionnaire de mots de passe contre WordPress.
Il existe de nombreuses autres façons de pirater un blog ou un site Web WordPress et les attaques ciblées ne profitent pas spécifiquement d'une faille de sécurité dans WordPress ou l'un de ses composants. Il peut également s'agir d'une faille de sécurité dans le logiciel ou la configuration du serveur Web, etc., mais les trois éléments ci-dessus sont les points d'entrée les plus courants des attaques de piratage.
Protégez WordPress des attaques ciblées
Il existe de nombreux hacks et ajustements WordPress que vous pouvez appliquer pour protéger votre WordPress contre une attaque de piratage ciblée, comme indiqué dans la liste ci-dessous :
- Pour commencer, tout ce qui s'applique pour protéger votre WordPress des attaques WordPress non ciblées s'applique également aux attaques ciblées
- Sécurisez et protégez votre compte administrateur WordPress
- Activez WordPress SSL pour accéder à votre page de connexion WordPress et à vos pages d'administration via une couche de communication cryptée pour éviter que vos noms d'utilisateur et mot de passe WordPress ne soient piratés
- Utilisez un plugin de surveillance et d'audit de sécurité WordPress pour suivre tout ce qui se passe sur votre WordPress et identifier toute activité suspecte avant qu'elle ne devienne un problème de sécurité
- Utilisez les rôles d'utilisateur WordPress pour améliorer la sécurité de WordPress en vous assurant que chaque utilisateur ne dispose que des privilèges minimum requis pour faire le travail
- Utilisez le scanner de boîte noire de sécurité WPScan WordPress et d'autres outils pour analyser et auditer fréquemment votre site Web WordPress.
Protéger WordPress de tous les types d'attaques de pirates
De temps en temps, vous pourriez lire sur un réglage de sécurité WordPress particulier que certaines personnes disent qu'il fonctionne tandis que d'autres disent qu'il ne fonctionne pas, comme le masquage de votre version de WordPress. Dans ce cas, nous savons que cacher la version de WordPress n'améliore pas sa sécurité, alors pourquoi implémenter un tel ajustement en premier lieu ? Si vous avez des doutes sur un réglage particulier, si le réglage n'a pas d'impact sur les performances de votre WordPress et est facile à mettre en œuvre, allez-y et mettez-le en œuvre. Il vaut mieux être prudent que désolé!
Outre les conseils ci-dessus, il existe de nombreuses autres façons d'améliorer la sécurité de vos blogs et sites Web WordPress et de les protéger contre les attaques de piratage WordPress ciblées et non ciblées. Idéalement, vous devriez vous tenir au courant en vous abonnant à un blog de sécurité WordPress où de fréquents conseils, hacks et ajustements de sécurité WordPress sont publiés.