5 attaques WordPress les plus courantes et comment les prévenir

Publié: 2023-04-19

Craignez-vous que des pirates attaquent votre site Web WordPress ? Nous aurions aimé pouvoir vous dire de ne pas vous inquiéter, mais la vérité est que les sites Web WordPress sont constamment ciblés par les pirates. Ceci est principalement dû à sa popularité, car WordPress alimente un tiers de tous les sites Web sur Internet.

Bien que WordPress lui-même soit une plate-forme de création de site Web sécurisée, il ne fonctionne pas seul. Vous avez besoin de plugins et de thèmes pour faire fonctionner un site WordPress. Les plugins et les thèmes développent souvent des vulnérabilités que les pirates exploitent pour pirater un site Web.

Une fois qu'ils ont accès à votre site Web, ils exécutent toutes sortes d'activités malveillantes comme le vol d'informations sensibles, l'escroquerie de clients et l'affichage de contenu illégal. Pendant ce temps, votre site peut être signalé par un avertissement dans les résultats de recherche ou peut être mis sur liste noire par Google, ou même être suspendu par votre hébergeur. Tout cela entraîne une perte de visiteurs et de revenus.

Alors que les développeurs WordPress maintiennent la plate-forme sécurisée dans la mesure du possible, les propriétaires de sites WordPress doivent également prendre des mesures par eux-mêmes. Dans cet article, nous discutons des attaques les plus courantes sur les sites WordPress et des mesures préventives que vous pouvez prendre contre elles.

TL; DR : Si vous craignez que des pirates n'attaquent votre site Web WordPress, vous pouvez prendre immédiatement des mesures de protection du site Web. Vous pouvez installer notre plugin de sécurité WordPress MalCare. Il analysera et surveillera votre site tous les jours et empêchera les pirates d'essayer de s'introduire.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Réflexions finales”]

Pourquoi WordPress est-il une cible populaire pour les pirates ?

WordPress est une plate-forme de création de sites Web qui permet à quiconque de créer des sites Web sans savoir coder. De plus, WordPress est gratuit.

En conséquence, la plate-forme alimente aujourd'hui plus de 1,3 milliard de sites actifs.

L'inconvénient de tout cela est que les sites Web WordPress sont plus ciblés que les sites Web construits sur toute autre plate-forme.

Désormais, les pirates informatiques peuvent pénétrer dans votre site de plusieurs manières. Nous l'avons réduit aux 5 plus courants. Nous vous expliquerons ce qui se passe et comment vous pouvez protéger votre site WordPress contre cela.

5 attaques les plus courantes sur les sites Web WordPress

1. Plugins et thèmes vulnérables

Un site WordPress est créé à l'aide de trois éléments : l'installation principale, les thèmes et les plugins. Ces trois éléments ont le potentiel de rendre un site vulnérable aux piratages.

Depuis de nombreuses années, il n'y a pas eu de vulnérabilité majeure dans le noyau de WordPress. Il est maintenu par une équipe de développeurs hautement expérimentés et qualifiés. Ils travaillent dur pour s'assurer que la plate-forme est complètement sécurisée afin que vous n'ayez rien à craindre.

Cependant, les plugins et thèmes WordPress sont créés par des développeurs tiers et ils ont tendance à développer assez souvent des vulnérabilités WordPress.

Lorsque les développeurs découvrent une vulnérabilité, ils la corrigent rapidement et publient une version mise à jour.

mise à jour wordpress

Vous, le propriétaire du site, devez mettre à jour la dernière version et votre site sera sécurisé. Il est important d'installer ces mises à jour de sécurité immédiatement. En effet, lorsque les développeurs publient une mise à jour, ils publient également les raisons de la mise à jour. Ainsi, la vulnérabilité est annoncée au public.

Cela signifie que les pirates savent désormais qu'une vulnérabilité existe. Ils savent également que tous les propriétaires de sites ne mettent pas à jour leurs sites immédiatement. Ainsi, une fois qu'ils découvrent qu'un plugin ou un thème est vulnérable, ils programment des robots et des scanners pour explorer Internet et trouver des sites qui les utilisent. Savoir exactement quelle est la vulnérabilité leur permet d'exploiter, d'introduire et d'insérer facilement des logiciels malveillants tels que wp feed malware, etc.

Comment protéger votre site contre les plugins et thèmes vulnérables

  1. Utilisez uniquement des thèmes et des plugins de confiance trouvés dans le référentiel WordPress ou des marchés comme ThemeForest et Code Canyon.
  2. Vérifiez régulièrement votre liste de plugins et ne conservez que ceux que vous utilisez. Supprimez ceux dont vous n'avez pas besoin ou qui sont inactifs.
  3. Scannez votre thème régulièrement et idéalement, vous ne devriez garder que le thème que vous utilisez activement.
  4. N'utilisez jamais de thèmes et de plugins piratés. Ils contiennent généralement des logiciels malveillants qui infecteront votre site Web.
  5. Assurez-vous de reconnaître tous les plugins et thèmes de votre site. Parfois, les pirates installent leurs propres plugins et thèmes sur lesquels des portes dérobées de sites Web sont installées. Cela leur donne un accès secret à votre site.

2. Attaques par force brute

Pour vous connecter à votre site WordPress, vous devez entrer vos identifiants de connexion, c'est-à-dire un nom d'utilisateur et un mot de passe.

Souvent, les propriétaires de sites WordPress utilisent des noms d'utilisateur et des mots de passe faciles à retenir. De nombreux utilisateurs de WordPress conservent le nom d'utilisateur par défaut "admin". Les mots de passe courants incluent 'password123' ou '1234567'.

Les pirates en sont bien conscients et attaquent la page de connexion des sites WordPress.

page de connexion wordpress

Ils créent une base de données de noms d'utilisateur et de mots de passe couramment utilisés. Ensuite, ils programment des robots pour cibler les sites WordPress et tentent différentes combinaisons présentes dans leur base de données.

Si vos identifiants de connexion sont faibles, les bots ont de fortes chances de les deviner et de s'introduire sur votre site. C'est ce qu'on appelle les « attaques par force brute » et on estime qu'elles ont un taux de réussite de 10 % !

Comment protéger votre site contre le forçage brutal

Il y a quelques étapes que vous pouvez suivre pour sécuriser votre site contre les attaques par force brute :

  1. Par défaut, votre nom d'utilisateur WordPress est admin. Vous pouvez le changer d'administrateur en quelque chose de plus unique.
  2. Utilisez un mot de passe WordPress fort. Nous suggérons d'utiliser une phrase de passe en combinaison avec des chiffres et des symboles tels que Birdsofafeather123$.
  3. Utilisez des informations d'identification uniques que vous n'avez pas utilisées sur d'autres sites Web.
  4. Limitez le nombre de tentatives de connexion sur votre site. Cela signifie qu'un utilisateur WordPress n'aura que des chances limitées d'entrer les bonnes informations d'identification, telles que 3 tentatives ou 5 tentatives. Après cela, ils devront utiliser l'option "Mot de passe oublié". Vous pouvez installer notre plugin de sécurité MalCare sur votre site et il mettra automatiquement en œuvre cette protection de connexion pour vous.
  5. Utilisez une authentification à deux facteurs dans laquelle un utilisateur WordPress doit saisir ses informations d'identification ainsi qu'un mot de passe à usage unique généré sur son smartphone ou envoyé à son adresse e-mail enregistrée.

3. Attaques par injection

Presque tous les sites Web ont un champ de saisie comme un formulaire de contact, une barre de recherche de site ou une section de commentaires qui permet aux visiteurs de saisir des données. Certains sites Web permettent également aux visiteurs de télécharger des documents et des fichiers image.

Habituellement, ces données sont acceptées et envoyées à votre base de données pour être traitées et stockées. Ces champs nécessitent une configuration appropriée pour valider et nettoyer les données avant qu'elles ne soient transmises à votre base de données. Cela garantira que seules les données valides sont acceptées. Si ces mesures font défaut, les pirates l'exploitent et entrent du code malveillant.

Prenons l'exemple d'un site WordPress qui contient un formulaire de contact. Idéalement, ce formulaire devrait accepter un nom, une adresse e-mail et un numéro de téléphone.

formulaire de contact
  1. Le champ du nom ne doit accepter que les lettres de l'alphabet.
  2. Le champ d'adresse e-mail doit accepter un format d'adresse e-mail valide tel que [email protected].
  3. Le champ du numéro de téléphone ne doit contenir que des chiffres.

Maintenant, si ces configurations ne sont pas en place, un pirate peut insérer des scripts malveillants tels que :

 String userLoginQuery = "SELECT user_id, username, password_hash FROM users WHERE username = '" + request.getParameter("user") + "'";

Il s'agit d'un code qui commandera à la base de données d'exécuter certaines fonctions. De cette façon, les pirates peuvent exécuter des scripts malveillants sur votre site qu'ils peuvent utiliser pour obtenir le contrôle total de votre site.

Les attaques par injection les plus populaires sur les sites WordPress incluent les attaques par injection SQL et les scripts intersites.

Comment protéger votre site Web contre les attaques par injection

  1. De nombreuses attaques par injection proviennent de thèmes et de plugins qui permettent la saisie des visiteurs sur votre site. Nous vous suggérons d'utiliser uniquement des thèmes et des plugins de confiance. Ensuite, gardez toujours vos plugins et votre thème à jour.
  2. Contrôlez les saisies sur le terrain et les soumissions de données. Ceci est technique et nécessiterait l'assistance d'un développeur.
  3. Utilisez un pare-feu WordPress. Si vous avez installé MalCare sur votre site, il met automatiquement en place un pare-feu robuste pour défendre votre site contre les pirates.

4. Hameçonnage et vol de données

Les visiteurs interagissent avec votre site Web de différentes manières. Certains d'entre eux lisent simplement les articles de votre blog, d'autres vous contactent via votre contact, etc. Si vous exploitez un site de commerce électronique, de nombreux visiteurs achètent des articles sur votre site Web. Cela signifie qu'ils doivent se connecter à votre site Web et saisir les informations de leur carte de crédit.

Lorsque quelqu'un entre des informations de carte de crédit sur votre site, il transfère et stocke les informations sur le serveur de votre site. Ces informations peuvent être interceptées pendant leur transfert. De plus, les données de la carte de crédit peuvent être volées.

Ils peuvent également pénétrer dans votre site Web et se faire passer pour vous. Ils envoient des e-mails ou redirigent les visiteurs vers d'autres sites Web et les incitent à révéler des données personnelles et des informations de paiement.

Comment protéger votre site contre le phishing et le vol de données

  1. Utilisez un certificat SSL. Cela chiffrera les données transférées depuis et vers votre site. Même si un pirate l'intercepte, il ne peut pas l'utiliser car il ne pourra pas le déchiffrer. Consultez notre guide sur l'utilisation de SSL et HTTPS. Il supprimera également l'avertissement de site WordPress non sécurisé sur votre site.
  2. Utilisez un plugin de sécurité WordPress pour recevoir des alertes en cas d'activité suspecte sur votre site Web. Le plugin bloquera également les tentatives de piratage.

5. Vol de biscuits

Avez-vous remarqué que lorsque vous vous connectez à un site, votre navigateur vous demande de « se souvenir de moi » ou de « sauvegarder le mot de passe » ? Ceci est fait pour que vous n'ayez pas à entrer vos identifiants de connexion chaque fois que vous souhaitez accéder à un site Web. Vous pouvez choisir d'autoriser le navigateur à enregistrer vos informations de connexion.

nom d'utilisateur et mot de passe

Les navigateurs peuvent enregistrer ces données grâce aux cookies. Les cookies sont de minuscules bits de données qui enregistrent l'interaction d'un visiteur avec un site Web. Par exemple, si vous gérez une boutique en ligne, votre site peut suivre le parcours d'un client, par exemple le produit qu'il a recherché et ce qu'il a acheté. Ces données sont utilisées dans les analyses et les annonceurs adaptent également les annonces aux préférences du visiteur. Désormais, les cookies peuvent également stocker des coordonnées bancaires et des informations personnelles.

Si un pirate est capable de voler les cookies de votre site Web, il peut accéder aux données sensibles de votre entreprise et de vos visiteurs. Ils peuvent exploiter ces données pour mener à bien leurs actes malveillants tels que frauder les clients en utilisant leurs informations de carte de crédit.

Vous pouvez en savoir plus à ce sujet dans notre guide simple sur le vol de cookies et le détournement de session.

Comment protéger votre site contre le vol de cookies et le détournement de session

  • Changez régulièrement vos clés et sels WordPress. Les clés et les sels fournissent un cryptage sécurisé des informations stockées dans les cookies du navigateur. Cette mesure est de nature technique. Nous vous recommandons d'utiliser la fonctionnalité de durcissement WordPress de MalCare pour modifier vos clés et sels. Depuis le tableau de bord MalCare, accédez à Sécurité > Renforcement de WordPress > Modifier les clés de sécurité et les sels WordPress.
durcissement du site malcare
  • Ici aussi, nous vous recommandons d'installer un certificat SSL pour protéger les données de votre site Web.

Cela nous amène à la fin des attaques WordPress les plus courantes. Avant de conclure, nous aimerions vous montrer quelques mesures de renforcement de WordPress qui rendront votre site plus fort contre de telles attaques.

Comment Renforcer Votre Site WordPress Contre Les Attaques ?

Bien que vous puissiez prendre des mesures spécifiques pour protéger votre site Web contre certaines attaques, il existe des mesures de sécurité globales que vous pouvez mettre en œuvre sur votre site pour une meilleure protection. Celles-ci sont appelées mesures de durcissement de WordPress. Nous l'avons expliqué brièvement ici, mais vous pouvez lire notre guide détaillé sur le durcissement de WordPress pour des explications plus détaillées.

1. Désactivation de l'éditeur de fichiers

WordPress a une fonctionnalité qui vous permet de modifier les fichiers de thème et de plug-in directement à partir du tableau de bord. De nombreux propriétaires de sites Web n'ont pas besoin de cette fonctionnalité, elle est principalement utilisée par les développeurs. Mais si un pirate s'introduit dans votre tableau de bord wp-admin, il peut insérer du code malveillant dans vos fichiers de thème et de plug-in. Ainsi, si vous n'avez pas besoin de cette fonctionnalité, vous pouvez la désactiver.

2. Désactivation des installations de plugins ou de thèmes

Lorsque les pirates peuvent accéder à votre site, ils installent leurs propres plugins ou thèmes. Ces plugins et thèmes sont généralement malveillants et contiennent des portes dérobées. Cela donne aux pirates une entrée secrète dans votre site.

De plus, comme nous l'avons mentionné, les thèmes et plugins vulnérables sont l'une des principales causes de sites piratés. Si vous avez plusieurs utilisateurs sur votre site Web, ils peuvent installer un plugin ou un thème qui n'est pas sécurisé. Cela peut ouvrir votre site aux pirates. Si vous voulez éviter cela, vous pouvez désactiver les installations de plugins et de thèmes sur votre site.

Si vous n'installez pas régulièrement des plugins et des thèmes sur votre site, vous pouvez désactiver l'option d'installation.

3. Limiter les tentatives de connexion

Comme nous l'avons mentionné précédemment, vous pouvez limiter le nombre de chances qu'un utilisateur WordPress ait à saisir les informations de connexion correctes pour accéder au site. Cela élimine le risque d'attaques par force brute.

4. Changer les clés de sécurité et les sels

Les clés et les sels cryptent les informations stockées dans votre navigateur. Ainsi, même si un pirate parvient à voler vos cookies, il ne peut pas les déchiffrer. Cependant, si un pirate accède à ces clés et sels, il peut les utiliser pour décrypter les cookies. Changer régulièrement vos clés et vos sels peut aider à éviter le vol de cookies.

5. Bloquer l'exécution de PHP dans des dossiers inconnus

Seuls certains fichiers et dossiers de votre site WordPress exécutent du code. D'autres dossiers ne stockent que des informations telles que votre dossier Uploads qui stocke des images et des vidéos.

Cependant, lorsqu'un pirate accède à votre site Web, il insère du code php dans des dossiers aléatoires ou crée même ses propres dossiers.

Vous pouvez bloquer une telle activité en désactivant les exécutions PHP dans des dossiers inconnus.

La mise en œuvre de ces mesures nécessite une expertise technique. Nous vous déconseillons de le faire manuellement. Il est beaucoup plus sûr et plus facile d'utiliser un plugin comme MalCare qui vous permet de le faire en quelques clics.

durcissement du site malcare

Avec cela, nous sommes convaincus que votre site Web WordPress est sécurisé et protégé contre les pirates.

Dernières pensées

Les pirates ont une multitude de façons de s'introduire dans votre site WordPress et ils en proposent de nouvelles très souvent !

Vous devez prendre vos mesures de sécurité pour protéger votre site Web et vous assurer qu'il est à l'abri des attaques de piratage.

Nous vous recommandons d'utiliser notre plugin de sécurité MalCare pour sécuriser votre site WordPress. Il empêchera les pirates et les robots malveillants d'accéder à votre site. Vous pouvez être assuré que votre site est surveillé et protégé.

Empêchez les piratages avec notre plugin de sécurité MalCare !