D’accord, votre site WordPress a été piraté. C’est nul. Sans aucun doute, des questions telles que : « Pourquoi les pirates informatiques restent-ils toujours dans le noir avec un masque derrière leur propre ordinateur ? » courir dans ta tête. Mais vous pourriez être encore plus curieux de savoir : comment font-ils ? Dans cet article, nous expliquons en « langage normal » comment fonctionnent les pirates (et leurs bots).

Au fait, vous l’avez peut-être déjà résolu et vous êtes simplement curieux de savoir comment fonctionnent les pirates. Mais si votre site Web est toujours inaccessible, rempli de courrier indésirable (SEO Spam) ou si vous n’êtes pas sûr de l’avoir nettoyé correctement : Feel free to contact us.

 

1. Brute force wp-login.php form

Le forçage brutal d’un formulaire est le moyen le plus simple de casser la sécurité de votre WordPress. Cette « force brute » va littéralement avec la force brute et n’est pas particulièrement intelligente. Après avoir trouvé vos noms d’utilisateur, les pirates – utilisant des robots et des outils – jettent simplement une énorme liste de mots de passe fréquemment utilisés contre votre formulaire de connexion dans l’espoir que 1 restera. Les noms d’utilisateur peuvent souvent être trouvés via http://example.com/?author=1 ou https://example.com/wp-json/wp/v2/users ou même simplement parce qu’ils sont mentionnés dans un article de blog.
 

Les mots de passe sont collectés à partir de violations de données importantes. Curieux de savoir ce qu’il y a sur une telle liste ? Consultez ici le top 100 des mots de passe couramment utilisés. Vous voulez savoir si votre mot de passe pourrait figurer sur une telle liste ? Entrez votre adresse e-mail sur : haveibeenpwned.com pour voir si vos données ont déjà été divulguées. Ne vous inquiétez pas, mais si vous êtes actif sur Linkedin depuis un certain temps, il y a de fortes chances que votre mot de passe ait été divulgué.
 

Conseils:

– Utilisez de préférence l’un des mots de passe que WordPress génère pour vous. Ils sont impossibles à retenir, mais vous savez avec certitude qu’ils ne sont pas sur une liste.

– Laissez le souvenir à un gestionnaire de mots de passe ou au système de mot de passe intégré de votre navigateur. Un tel gestionnaire de mots de passe vous avertit même si le mot de passe que vous utilisez a été divulgué de manière inattendue en cas de violation de données.
 

2. Exploit WordPress Plugin

Les plugins, les thèmes et le noyau de WordPress contiennent de nombreuses lignes de code, écrites par de nombreux développeurs du monde entier. La disponibilité de ces plugins est quelque chose qui rend WordPress génial, mais offre également – ​​si vous êtes trop laconique – une opportunité pour les pirates. Malheureusement, il arrive parfois que les développeurs ne se concentrent pas tellement sur la sécurité de leur plugin.

Bien sûr, cela dépend entièrement du nombre de plugins que vous avez installés sur votre site Web, mais aussi de l’endroit et de qui vous les avez téléchargés. L’impact d’une vulnérabilité dans un plugin varie, mais peut avoir des conséquences de grande envergure.

 

Pour savoir si vous utilisez un plugin avec une vulnérabilité :

Dès qu’une vulnérabilité est trouvée dans un plugin ou un thème, le développeur est (généralement) averti et invité à publier une mise à jour. Peu de temps après, un message apparaît dans une base de données comme celle deWPScan ou alors ExploitDB pour informer les utilisateurs de la vulnérabilité. Bien, parce qu’alors nous savons que quelque chose ne va pas. Mais cela offre immédiatement aux pirates une belle liste de vulnérabilités à rechercher activement. Cette recherche peut se faire via des scans, mais parfois aussi très facilement via Google.
 

Exemple:
Le plugin WP DB Manager a une fuite dans 2 anciennes versions selon la base de données WPScan. Les sites Web avec ce plugin sont assez faciles à trouver via un Google Dork comme :inurl:wp-content/plugins/wp-dbmanager/.
 

Conseils:

– Assurez-vous de mettre à jour régulièrement votre code wordpress, vos plugins et vos thèmes.
– Il vous manque un code de licence ? Assurez-vous de l’acheter pour pouvoir à nouveau mettre à jour.
– Vous avez un plugin qui n’est plus maintenu ? Cherchez une alternative.
– Utilisez-vous un plugin avec une version de cette liste https://wpscan.com/plugins? Arrêtez de lire et supprimez cette chose!
 

Comment nous veillons à ce que les sites Web soient et restent sûrs

 

Plugins et mises à jour
Lorsque développer des sites WordPress, nous aimons utiliser le moins de plugins possible et les plugins que nous utilisons sont souvent premium et donc sous licence d’un développeur fiable. De cette façon, nous savons avec certitude que le plugin est maintenu et mis à jour. De plus, nous proposons toujours aux clients un contrat de maintenance dans lequel nous effectuons des sauvegardes et implémentons toutes les mises à jour. De cette façon, nos clients savent avec certitude que leur site Web est à jour. Saviez-vous qu’en vertu du RGPD, vous êtes obligé de maintenir votre logiciel à jour si votre site Web traite des données personnelles ?
 

Un pare-feu
Il existe divers plug-ins de pare-feu qui peut détecter très tôt si votre site Web est visité – ou plutôt attaqué – par des visiteurs/bots qui ont l’intention de nuire. Un tel pare-feu protège les fichiers où personne n’a rien à rechercher et bloque les visiteurs qui effectuent des actions suspectes.

 

Besoin d’aide?

Cet article donne un aperçu de 2 des méthodes préférées des pirates, mais ce ne sont certainement pas les 2 seules options. Vous voulez savoir si votre site wordpress utilise des plugins avec des vulnérabilités connues ? N’hésitez pas à nous contacter pour un scan de votre site internet. Vous pouvez également utiliser le formulaire de contact ci-dessous pour obtenir de l’aide sur la configuration d’un pare-feu ou le nettoyage/vérification de votre site Web wordpress piraté.
 

    Comments are closed.