Attaque de pirate sur un site WordPress - moyens de prévenir

Q: Pourquoi WordPress est-il une cible populaire pour les pirates ?

WordPress est une plate-forme de création de sites Web qui permet à quiconque de créer des sites Web sans savoir coder. De plus, WordPress est gratuit. En conséquence, la plateforme dessert aujourd'hui plus de 1,4 milliard de sites actifs. Le revers de la médaille est que les sites Web WordPress sont plus ciblés que les sites Web construits sur toute autre plate-forme. Il existe maintenant plusieurs façons pour les pirates d'accéder à votre site. J'ai réduit la liste aux 5 plus courants. Je vais vous expliquer ce qui se passe et comment vous pouvez en protéger votre site WordPress.

Q: Comment protéger votre site des plugins et thèmes vulnérables

- N'utilisez que des thèmes et plugins vérifiés trouvés dans le référentiel WordPress ou sur ces marchés. - Vérifiez régulièrement la liste des plugins et enregistrez uniquement ceux que vous utilisez. Supprimez tout ce dont vous n'avez pas besoin ou qui est inactif. - Scannez votre sujet régulièrement. Idéalement, vous ne devriez conserver que le thème que vous utilisez activement. - N'utilisez jamais de thèmes et de plugins piratés. Ils contiennent généralement des logiciels malveillants qui infecteront votre site. - Assurez-vous de reconnaître tous les plugins et thèmes de votre site. Parfois, les pirates installent leurs propres plugins et thèmes sur lesquels des portes dérobées de sites Web sont installées. Cela leur donne un accès secret à votre site.

Q: Comment protéger votre site contre les attaques par force brute

- Par défaut, votre nom d'utilisateur WordPress est admin. Vous pouvez le changer d'administrateur en quelque chose de plus unique. Utilisez un mot de passe WordPress fort. Je suggère d'utiliser une phrase secrète en combinaison avec des chiffres et des symboles comme Birdgfydhfgyysr143%. - Utilisez des informations d'identification uniques que vous n'avez pas utilisées sur d'autres sites Web. - Limitez le nombre de tentatives de connexion à votre site. Cela signifie qu'un utilisateur WordPress n'aura qu'une chance limitée de saisir les informations d'identification correctes, par exemple 3 tentatives ou 5 tentatives. Après cela, ils devront utiliser l'option "Mot de passe oublié". Vous pouvez installer un plugin de sécurité et il sécurisera automatiquement votre connexion. - Utilisez l'authentification à deux facteurs, qui oblige l'utilisateur WordPress à saisir ses informations d'identification ainsi qu'un mot de passe à usage unique généré sur son smartphone ou envoyé à une adresse e-mail enregistrée.

Q: Comment protéger votre site Web contre le phishing et le vol de données

- Utilisez un certificat SSL. Cela cryptera les données qui sont transférées vers et depuis votre site. Même si un pirate l'intercepte, il ne pourra pas l'utiliser, puisqu'il ne pourra pas le déchiffrer. Cela supprimera également l'avertissement d'insécurité du site WordPress sur votre site. - Utilisez un plugin de sécurité WordPress pour recevoir des alertes sur les activités suspectes sur votre site. Le plugin bloque également les tentatives de piratage.

2 223

· Время на чтение: 11мин · par Nikolaï Alekseev · Publié 08.07.2022 · Mis à jour 29.04.2023

Écoutez cet article

Comment protéger votre site WordPress des pirates ?

Une attaque de hacker sur un site WordPress est possible? Craignez-vous que des pirates attaquent votre site WordPress ? J'aimerais que vous ne soyez pas inquiet, mais la vérité est que les sites Web WordPress sont constamment attaqués par des pirates. Cela est principalement dû à sa popularité, car WordPress alimente un tiers de tous les sites Web sur Internet.

Bien que WordPress lui-même soit une plate-forme de création de site Web sécurisée, il ne fonctionne pas seul. Vous avez besoin de plugins et de thèmes pour faire fonctionner un site WordPress. Les plugins et les thèmes contiennent souvent des vulnérabilités que les pirates utilisent pour pénétrer dans les sites Web.

Une fois qu'ils accèdent à votre site Web, ils effectuent toutes sortes d'activités malveillantes telles que le vol d'informations confidentielles, l'escroquerie de clients et l'affichage de contenu illégal. Pendant ce temps, votre site peut être marqué d'un avertissement dans les résultats de recherche, mis sur liste noire par Google, banni de Yandex ou même bloqué par votre hébergeur. Tout cela entraîne une perte de visiteurs et de revenus.

Alors que les développeurs WordPress assurent la sécurité de la plate-forme, les propriétaires de sites WordPress doivent également prendre des mesures par eux-mêmes. Dans cet article, nous aborderons les attaques les plus courantes sur les sites WordPress et les mesures préventives que vous pouvez prendre contre elles.

Le contenu de l'article :

Pourquoi WordPress est-il une cible populaire pour les pirates ?
Les 5 attaques les plus courantes sur les sites WordPress
Comment protéger votre site WordPress des attaques ?

Pourquoi WordPress est-il une cible populaire pour les pirates ?

Pourquoi WordPress est-il une cible pour les pirates ?

Wordpress est une plate-forme de création de sites Web qui permet à quiconque de créer des sites Web sans savoir coder. De plus, WordPress est gratuit. En conséquence, la plateforme dessert aujourd'hui plus de 1,4 milliard de sites actifs.

Le revers de la médaille est que les sites Web WordPress sont plus ciblés que les sites Web construits sur toute autre plate-forme.

Il existe maintenant plusieurs façons pour les pirates d'accéder à votre site. J'ai réduit la liste aux 5 plus courants. Je vais vous expliquer ce qui se passe et comment vous pouvez en protéger votre site WordPress.

Les 5 attaques les plus courantes sur les sites WordPress

1. Plugins et thèmes vulnérables

Site Wordpress est créé à l'aide de trois éléments : l'installation principale, les thèmes et les plugins. Ces trois éléments peuvent rendre un site vulnérable au piratage.

Pendant de nombreuses années, il n'y avait pas de vulnérabilités majeures dans le cœur de WordPress. Il est soutenu par une équipe de développeurs hautement qualifiés et expérimentés. Ils travaillent dur pour s'assurer que la plateforme est complètement sécurisée, vous n'avez donc rien à craindre.

Cependant, les plugins et thèmes WordPress sont créés par des développeurs tiers et créent assez souvent des vulnérabilités WordPress. Lorsque les développeurs découvrent une vulnérabilité, ils la corrigent rapidement et publient une version mise à jour.

Vous, le propriétaire du site, devez mettre à jour la dernière version et votre site sera sécurisé. Il est important d'installer ces mises à jour de sécurité immédiatement. En effet, lorsque les développeurs publient une mise à jour, ils révèlent également les raisons de la mise à jour. Ainsi, la vulnérabilité est annoncée au public.

Cela signifie que les pirates savent désormais qu'il existe une vulnérabilité. Ils savent également que tous les propriétaires de sites ne mettent pas à jour leurs sites immédiatement. Ainsi, une fois qu'ils savent qu'un plugin ou un thème est vulnérable, ils programment des robots et des robots d'exploration pour explorer le Web et trouver des sites qui les utilisent. Savoir exactement ce qu'est une vulnérabilité leur permet d'exploiter, de pirater et d'injecter facilement des logiciels malveillants tels que les logiciels malveillants wp feed, etc.

Comment protéger votre site des plugins et thèmes vulnérables

Utilisez uniquement des thèmes et des plugins vérifiés trouvés dans le référentiel WordPress ou sur ces marchés.
Consultez régulièrement la liste des plugins et ne conservez que ceux que vous utilisez. Supprimez tout ce dont vous n'avez pas besoin ou qui est inactif.
Analysez votre sujet régulièrement. Idéalement, vous ne devriez conserver que le thème que vous utilisez activement.
N'utilisez jamais de thèmes et de plugins piratés. Ils contiennent généralement des logiciels malveillants qui infecteront votre site.
Assurez-vous de reconnaître tous les plugins et thèmes sur votre site. Parfois, les pirates installent leurs propres plugins et thèmes sur lesquels des portes dérobées de sites Web sont installées. Cela leur donne un accès secret à votre site.

2. Attaques par force brute

Pour vous connecter à votre site WordPress, vous devez entrer vos identifiants de connexion, c'est-à-dire votre nom d'utilisateur et votre mot de passe.

Souvent, les propriétaires de sites WordPress utilisent des noms d'utilisateur et des mots de passe faciles à retenir. De nombreux utilisateurs de WordPress conservent le nom d'utilisateur par défaut "admin". Les mots de passe courants incluent "password123" ou "1234567". Les pirates en sont bien conscients et attaquent la page de connexion des sites WordPress.

Page de connexion de l'administrateur WordPress. (identifiant, email, mot de passe).

Ils créent une base de données de noms d'utilisateur et de mots de passe couramment utilisés. Ils programment ensuite des robots pour cibler les sites WordPress et essaient différentes combinaisons à partir de leur base de données.

Si vos identifiants de connexion ne sont pas sécurisés, il y a de fortes chances pour que les bots les devinent et détournent votre site. C'est ce qu'on appelle une "attaque par force brute" et on estime qu'ils ont un succès 10% !

Comment protéger votre site contre les attaques par force brute

Vous pouvez prendre plusieurs mesures pour protéger votre site contre une attaque par force brute :

Par défaut, votre nom d'utilisateur WordPress est admin. Vous pouvez le changer d'administrateur en quelque chose de plus unique. Utilisez un mot de passe WordPress fort. Je suggère d'utiliser une phrase secrète en combinaison avec des chiffres et des symboles comme Birdgfydhfgyysr143%.
Utilisez des informations d'identification uniques que vous n'avez pas utilisées sur d'autres sites Web.
Limitez le nombre de tentatives de connexion à votre site. Cela signifie qu'un utilisateur WordPress n'aura qu'une chance limitée de saisir les informations d'identification correctes, par exemple 3 tentatives ou 5 tentatives. Après cela, ils devront utiliser l'option "Mot de passe oublié". Vous pouvez installer un plugin de sécurité et il sécurisera automatiquement votre connexion.
Utilisez l'authentification à deux facteurs, qui oblige l'utilisateur WordPress à saisir ses informations d'identification ainsi qu'un mot de passe à usage unique généré sur son smartphone ou envoyé à une adresse e-mail enregistrée.

3. Attaques par injection

Presque tous les sites Web ont un champ de saisie tel qu'un formulaire de contact, une barre de recherche de site ou une section de commentaires qui permet aux visiteurs de saisir des données. Certains sites Web permettent également aux visiteurs de télécharger des documents et des fichiers image.

Généralement, ces données sont reçues et envoyées à votre base de données pour traitement et stockage. Ces champs doivent être correctement configurés pour valider et nettoyer les données avant qu'elles n'entrent dans votre base de données. Cela garantit que seules des données valides sont reçues. Si ces mesures manquent, les pirates en profitent et injectent du code malveillant.

Prenons l'exemple d'un site WordPress qui dispose d'un formulaire de contact. Idéalement, ce formulaire devrait accepter un nom, une adresse e-mail et un numéro de téléphone.

Formulaire de contact sur un site WordPress. Formulaire de contact sur la page.

Le champ de nom ne doit accepter que des caractères alphabétiques.
Le champ d'adresse e-mail doit accepter un format d'adresse e-mail valide, tel que exemple@monsite.com.
Le champ du numéro de téléphone ne doit contenir que des chiffres.

Désormais, si ces configurations ne sont pas présentes, un pirate peut insérer des scripts malveillants tels que :

String userLoginQuery = "SELECT user_id, username, password_hash FROM users WHERE username = '" + request.getParameter("user") + "'" ;

C'est le code qui indiquera à la base de données d'exécuter certaines fonctions. Ainsi, les pirates peuvent exécuter des scripts malveillants sur votre site qu'ils peuvent utiliser pour prendre le contrôle total de votre site. Les attaques par injection les plus populaires contre les sites WordPress incluent les attaques par injection SQL et les scripts intersites.

Comment protéger votre site contre les attaques par injection

De nombreuses attaques par injection impliquent des thèmes et des plugins qui permettent aux visiteurs de saisir des informations sur votre site. Je suggère d'utiliser uniquement des thèmes et des plugins éprouvés. Ensuite, mettez toujours à jour vos plugins et votre thème.
Gérez les champs de saisie et soumettez les données. Il s'agit d'un problème technique qui nécessitera l'assistance du développeur.
Utilisez un pare-feu WordPress.

4. Hameçonnage et vol de données

Les visiteurs interagissent avec votre site de différentes manières. Certains d'entre eux lisent simplement les articles de votre blog, d'autres vous contactent via votre contact, etc. Si vous avez un site e-commerce, de nombreux visiteurs achètent des produits sur votre site. Cela signifie qu'ils doivent se connecter à votre site Web et entrer les détails de leur carte bancaire.

Lorsqu'une personne saisit des informations de carte de crédit sur votre site, elle transmet et stocke les informations sur le serveur de votre site. Ces informations peuvent être interceptées lors de leur transmission. De plus, les coordonnées des cartes bancaires peuvent être volées.

Ils peuvent également infiltrer votre site et se faire passer pour vous. Ils envoient des e-mails ou redirigent les visiteurs vers d'autres sites Web et les incitent à divulguer des informations personnelles et de facturation.

Comment protéger votre site Web contre le phishing et le vol de données

Utilisez un certificat SSL. Cela cryptera les données qui sont transférées vers et depuis votre site. Même si un pirate l'intercepte, il ne pourra pas l'utiliser, puisqu'il ne pourra pas le déchiffrer. Cela supprimera également l'avertissement d'insécurité du site WordPress sur votre site.
Utilisez un plugin de sécurité WordPress pour recevoir des alertes sur les activités suspectes sur votre site. Le plugin bloque également les tentatives de piratage.

5. Vol de cookies

Avez-vous remarqué que lorsque vous visitez un site Web, votre navigateur vous demande de « se souvenir de moi » ou « enregistrer le mot de passe » ? Cela permet de s'assurer que vous n'avez pas à saisir vos informations d'identification chaque fois que vous souhaitez accéder à un site Web. Vous pouvez autoriser le navigateur à stocker les informations de connexion.

Les navigateurs peuvent enregistrer ces données grâce aux cookies. Les cookies sont de minuscules éléments de données qui enregistrent l'interaction d'un visiteur avec un site Web. Par exemple, si vous gérez une boutique en ligne, votre site peut suivre le parcours du client, comme le produit qu'il a recherché et ce qu'il a acheté. Ces données sont utilisées dans les analyses et les annonceurs ajustent les publicités aux préférences du visiteur. Désormais, les cookies peuvent également stocker des coordonnées bancaires et des informations personnelles.

Si un pirate peut voler les cookies de votre site Web, il peut accéder à des données sensibles sur votre entreprise et vos visiteurs. Ils peuvent utiliser ces données pour mener à bien leurs activités malveillantes, telles que frauder des clients en utilisant les détails de leur carte de crédit.

Comment protéger votre site contre le vol de cookies et le détournement de session

Changez régulièrement vos clés et sels WordPress. Les clés et les sels fournissent un cryptage sécurisé des informations stockées dans les cookies du navigateur. Cette mesure est de nature technique.
Il est également recommandé d'installer un certificat SSL pour protéger les données de votre site Web.

Ceci conclut les attaques les plus courantes sur WordPress. Avant de terminer, je voudrais vous montrer quelques mesures de sécurité WordPress qui rendront votre site plus sécurisé contre de telles attaques.

Comment protéger votre site WordPress des attaques ?

Bien que vous puissiez prendre certaines mesures pour protéger votre site Web contre certaines attaques, il existe des mesures de sécurité générales que vous pouvez mettre en place sur votre site Web pour mieux vous protéger. C'est ce qu'on appelle les mesures de resserrement de WordPress.

1. Désactiver l'éditeur de fichiers

WordPress a une fonctionnalité qui vous permet d'éditer les fichiers de thème et de plugin directement depuis le panneau de contrôle. De nombreux propriétaires de sites n'ont pas besoin de cette fonctionnalité, la plupart des développeurs l'utilisent. Mais si un pirate s'introduit dans votre panneau de configuration wp-admin, il peut insérer un code malveillant dans vos fichiers de thème et de plug-in. Ainsi, si vous n'avez pas besoin de cette fonctionnalité, vous pouvez la désactiver.

2. Désactiver l'installation de plugins ou de thèmes

Lorsque les pirates accèdent à votre site, ils installent leurs propres plugins ou thèmes. Ces plugins et thèmes sont généralement malveillants et contiennent des portes dérobées. Cela donne aux pirates un accès secret à votre site.

De plus, comme je l'ai mentionné, les thèmes et plugins vulnérables sont la principale cause de piratage de sites Web. S'il y a plusieurs utilisateurs sur votre site Web, ils peuvent installer un plugin ou un thème non sécurisé. Cela peut ouvrir votre site aux pirates. Si vous souhaitez éviter cela, vous pouvez désactiver l'installation de plugins et de thèmes sur votre site. Si vous n'installez pas régulièrement de plugins et de thèmes sur votre site, vous pouvez désactiver l'option d'installation.

3. Limitez les tentatives de connexion

Comme je l'ai mentionné plus tôt, vous pouvez limiter les chances qu'un utilisateur de WordPress saisisse les bons identifiants de connexion pour se connecter au site. Cela élimine le risque d'attaques par force brute.

4. Changer les clés de sécurité et les sels

clés et soli crypter les informations stockées dans votre navigateur. Ainsi, même si un pirate parvient à voler vos cookies, il ne pourra pas les décrypter. Cependant, si un pirate accède à ces clés et sels, il peut les utiliser pour décrypter les cookies. Changer régulièrement les clés et les sels peut aider à prévenir le vol de cookies.

5. Bloquer l'exécution de PHP dans des dossiers inconnus

Il n'y a que certains fichiers et dossiers sur votre site WordPress qui exécutent le code. D'autres dossiers ne stockent que des informations, comme le dossier Téléchargements, qui stocke des images et des vidéos. Cependant, lorsqu'un pirate accède à votre site, il colle le code php dans des dossiers aléatoires ou crée même ses propres dossiers. Vous pouvez bloquer une telle activité en désactivant l'exécution de PHP dans les dossiers inconnus.

La mise en œuvre de ces mesures nécessite des connaissances techniques. Je ne recommande pas de le faire manuellement. Il est beaucoup plus sûr et plus facile d'utiliser un plugin de sécurité WordPress qui vous permet de le faire en quelques clics.

Ce faisant, je m'assurerai que votre site WordPress est protégé contre les pirates.

Pour terminer

Il existe de nombreuses façons pour les pirates d'accéder à votre site WordPress, et ils en proposent souvent de nouvelles ! Vous devez prendre des mesures de sécurité pour sécuriser votre site Web et le protéger des attaques de pirates.

Lire cet article :

Merci d'avoir lu : SEO HELPER | NICOLA.TOP

À quel point ce message vous a-t-il été utile ?

Cliquez sur une étoile pour la noter !

Note moyenne 5 / 5. Décompte des voix : 103

Aucun vote pour l'instant ! Soyez le premier à noter ce post.

Attaque de pirate sur un site WordPress - moyens de prévenir

Pourquoi WordPress est-il une cible populaire pour les pirates ?