Dix-neuf ans après sa création, WordPress reste l'un des systèmes de gestion de contenu (CMS) les plus populaires et les plus utilisés sur le World Wide Web. En chiffres, plus de 60 % des sites Web sur Internet sont construits sur WordPress !
Cette popularité apporte de nombreux avantages, comme une large communauté de développeurs, une large gamme d'outils et un grand nombre de tutoriels et de guides. Mais cela présente aussi certains inconvénients. L’un d’eux est la susceptibilité accrue aux attaques de pirates informatiques.
Les pirates adorent attaquer WordPress. En fait, 83 % de tous les sites Web piratés basés sur un CMS ont été créés sur WordPress. Ils adorent trouver des failles à exploiter, et malheureusement, WordPress en possède quelques-unes.
Dans cet article, je couvrirai huit vulnérabilités WordPress courantes et expliquerai comment atténuer chacune d’elles. N'hésitez pas à utiliser les liens ci-dessous pour accéder à chaque section de vulnérabilité.
1.Mauvais environnement d'hébergement
Un hôte est un ordinateur serveur sur Internet qui stocke les fichiers qui alimentent votre site Web. Si vous souhaitez que votre site WordPress soit accessible sur Internet, vous devez l'héberger chez un hébergeur.
L’une des principales raisons pour lesquelles les sites WordPress sont piratés est un mauvais environnement d’hébergement. Selon Kinsta, ce chiffre est d'environ 41 %. En conséquence, près de la moitié de tous les piratages de sites Web WordPress sont dus à de mauvais environnements d’hébergement.
D'après les statistiques ci-dessus, vous pouvez conclure que l'utilisation d'un fournisseur d'hébergement réputé et sécurisé réduit automatiquement considérablement les risques de piratage de votre site Web.
Certains des principaux fournisseurs d'hébergement pour les sites Web WordPress incluent SiteGround, WP Engine, Hostinger et Bluehost. Avant de choisir un fournisseur d’hébergement pour votre site Web, assurez-vous d’effectuer des recherches approfondies pour comprendre la qualité de sa prestation de services ainsi que le niveau de satisfaction de ses clients.
2.Thèmes et plugins aléatoires
Les thèmes WordPress déterminent l'apparence de votre site Web, tandis que les plugins sont utilisés pour ajouter des fonctionnalités supplémentaires à votre site Web. Les deux sont des collections de fichiers, y compris des scripts PHP.
Étant donné que les thèmes et les plugins sont constitués de code, ils peuvent être remplis de bugs. Il s’agit d’une méthode très populaire utilisée par les pirates pour accéder illégalement aux sites WordPress concernés.
En effet, selon Kinsta, 52% des vulnérabilités sont liées aux plugins et 11% sont provoquées par des thèmes.
Les pirates peuvent insérer du code malveillant dans des thèmes ou des plugins et les publier sur les marchés sur Internet. S’il est installé sur un site WordPress par un utilisateur sans méfiance, le site est automatiquement compromis, souvent à l’insu du propriétaire.
La meilleure façon d'éviter ces problèmes est d'installer uniquement des thèmes et des plugins provenant de sources fiables et fiables.
3.Plugins et thèmes obsolètes
En plus d'éviter les plugins et les thèmes aléatoires, vous devez également maintenir à jour les plugins et les thèmes installés sur votre site WordPress.
En effet, les pirates recherchent souvent des thèmes ou des plugins spécifiques (ou des versions spécifiques) connus pour présenter des vulnérabilités. Ils recherchent ensuite des sites Web qui utilisent de tels thèmes ou plugins et tentent de les pirater. En cas de succès, ils peuvent effectuer des actions nuisibles sur le site Web, telles que rechercher des données dans des bases de données ou même injecter du contenu malveillant dans le site Web.
Pour accéder à vos thèmes installés depuis le panneau d'administration, accédez à Apparence > Thèmes dans la barre latérale. Pour accéder aux plugins, accédez à Plugins > Plugins installés.
Normalement, vous recevrez une notification d'alerte dans votre tableau de bord WordPress lorsqu'il sera temps de mettre à jour un thème ou un plugin utilisé sur votre site Web. N'ignorez jamais ces alertes à moins d'avoir une bonne raison.
4.Mot de passe faible
Les identifiants de connexion faibles et faciles à deviner sont l’un des moyens les plus simples pour les pirates informatiques d’accéder à votre backend WordPress. Environ 8 % des sites Web WordPress ont été piratés en raison de combinaisons de mots de passe faibles ou de mots de passe volés
Les pirates utilisent souvent des scripts de force brute pour tester de manière itérative les combinaisons courantes de nom d'utilisateur et de mot de passe sur autant de sites WordPress que possible. Ils le font jusqu'à ce qu'ils trouvent une correspondance, puis se connectent au site cible et revendent les informations d'identification à d'autres pirates.
Par conséquent, vous devez toujours éviter d'utiliser des termes tels que user, admin, administrator et user1 comme nom d'utilisateur de connexion. Créez plutôt un nom d’utilisateur moins générique et plus personnel.
Pour créer des mots de passe forts et sécurisés, voici quelques règles à retenir :
- N'utilisez jamais d'informations personnelles (nom, date de naissance, email, etc.).
- Créez des mots de passe plus longs.
- Rendez vos mots de passe aussi obscurs et dénués de sens que possible.
- N’utilisez pas de mots courants.
- Contient des chiffres et des caractères spéciaux.
- Ne répétez jamais votre mot de passe.
Pour protéger votre site Web, vous devez spécifier une combinaison solide de nom d’utilisateur et de mot de passe lors de la première configuration de WordPress.
De plus, vous devez configurer une authentification à deux facteurs (2FA) pour ajouter une autre couche de sécurité à votre site Web WordPress.
Enfin, pensez à utiliser un plugin de sécurité comme Wordfence ou Sucuri Security pour empêcher les attaques par force brute (et autres attaques malveillantes) d'accéder à votre site WordPress.
5.Injection de logiciels malveillants
Les logiciels malveillants sont un type de logiciel malveillant que les pirates peuvent insérer dans votre site Web et exécuter lorsqu'ils souhaitent réaliser leurs plans.
Les logiciels malveillants peuvent être insérés de plusieurs manières. Il peut être injecté via quelque chose d'aussi simple qu'un commentaire bien formaté sur un site WordPress, ou d'aussi complexe que le téléchargement d'un fichier exécutable sur le serveur.
Dans le meilleur des cas, le malware ne posera aucun problème et pourra faire quelque chose d'inoffensif, comme diffuser des publicités de produits aux clients. Dans ce cas, vous pouvez utiliser un plugin d'analyse de logiciels malveillants tel que Wordfence Security pour supprimer le logiciel malveillant.
Mais dans des cas extrêmes, les logiciels malveillants peuvent effectuer des actions dangereuses sur le serveur, ce qui peut entraîner une perte de données dans la base de données ou des conséquences similaires, comme la création de comptes sur un site WordPress.
Résoudre ce pire scénario nécessite généralement de restaurer votre site Web à partir d'une sauvegarde propre, puis de déterminer comment le pirate informatique a pénétré dans votre système et de corriger la vulnérabilité. C’est pourquoi il est important de sauvegarder régulièrement votre site Web.
6.Phishing
Lors d'une attaque de phishing, un attaquant envoie un e-mail en utilisant une adresse qui semble provenir de votre serveur. Les attaquants demandent souvent aux utilisateurs ou aux clients de votre site Web de cliquer sur un lien pour effectuer une action, ce que l'utilisateur peut effectuer sans savoir qu'elle ne provient pas réellement de votre serveur.
Les attaques de phishing se présentent sous de nombreux styles différents, avec des noms tels que cat phishing, spear phishing, etc. Quel que soit le type, le phishing implique toujours de fausses adresses e-mail (mais d’apparence originale) et des liens vers des pages malveillantes.
Un attaquant affichera généralement un faux formulaire qui semble identique au véritable formulaire de connexion de votre site Web. Si l'utilisateur ne donne pas suite rapidement, il peut soumettre un ou plusieurs identifiants de connexion différents au site Web malveillant.
Le résultat est que les pirates disposent désormais de noms d'utilisateur et de mots de passe différents pour effectuer des attaques par force brute sur d'autres sites Web, ainsi que d'identifiants de connexion précis pour accéder au backend de l'utilisateur.
En raison de la façon dont les e-mails sont conçus à l'origine, il est facile d'usurper l'adresse « de » d'un e-mail, ce qui rend les attaques de phishing plus difficiles à arrêter.
Cependant, aujourd'hui, des technologies telles que SPF, DKIM et DMARC permettent toutes aux serveurs de messagerie de vérifier l'origine d'un e-mail et de vérifier le domaine source. Tant que ces paramètres sont corrects, tous les e-mails de phishing seront détectés par le serveur destinataire et marqués comme spam ou entièrement supprimés de la boîte de réception de l'utilisateur.
Si vous n'êtes pas sûr que SPF, DKIM et DMARC soient correctement configurés, demandez à votre hébergeur. La plupart des meilleurs hébergeurs Web ont des instructions simples sur la façon de les configurer.
7.Attaques par déni de service (DoS et DDoS)
Une attaque par déni de service se produit lorsqu'un criminel envoie un grand nombre de requêtes erronées à un serveur de site Web, empêchant le serveur de traiter les requêtes normales des utilisateurs légitimes.
Dans WordPress, les services de mise en cache aident à atténuer les attaques DDoS. Vous pouvez utiliser un plugin WordPress comme WP Fastest Cache sur votre site Web pour vérifier les attaques DDoS. De plus, la plupart des principaux hôtes disposent de systèmes d’atténuation DDoS intégrés à leur infrastructure.
8. Scripts intersites (XSS)
L'attaque par script intersite est un autre type d'attaque par injection de code, similaire à l'injection de logiciels malveillants dont nous avons entendu parler précédemment.
Cependant, lors d'une attaque XSS, l'attaquant injecte un script côté client malveillant (JavaScript) dans la page Web située sur le front-end du site Web pour que le navigateur l'exécute.
Un attaquant pourrait profiter de cette opportunité pour tromper les utilisateurs en usurpant l'identité des visiteurs de votre site (en utilisant leurs données) ou en les envoyant vers un autre site malveillant qu'ils créent.
L'un des moyens les plus efficaces de bloquer les attaques XSS sur votre site WordPress consiste à installer un puissant plugin de pare-feu tel que Sucuri, que vous pouvez également utiliser pour analyser votre site à la recherche de vulnérabilités XSS.
Conclusion
Pour assurer la sécurité de votre site Web WordPress, vous devez prendre des mesures proactives pour découvrir les vulnérabilités que les attaquants peuvent exploiter. Dans cet article, nous présentons huit vulnérabilités et proposons des solutions pour chaque vulnérabilité.
N'oubliez pas que la meilleure façon d'atténuer les vulnérabilités d'un site Web WordPress est de maintenir tous les composants de votre site Web à jour. Cela inclut les plugins, les thèmes et même WordPress lui-même. N'oubliez pas de mettre également à niveau votre version PHP.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
