Aujourd’hui WordPress est l’un des CMS (Content Manager Système) les plus utilisés. Il permet de mettre en ligne rapidement des sites web et de les personnaliser. Reposant sur des technologies Web et des langages de développement très populaires, il est peut aussi être vulnérable à différents types d’attaques. Celles-ci seraient capables de nuire à votre visibilité (référencement naturel), infecter vos visiteurs ou encore permettre aux hackers d’héberger, directement sur votre site des pages promouvant des produits illicites ou dangereux. La sécurité d’un site WordPress n’est donc pas une chose à prendre à la légère et cet article à pour but de vous expliquer les différents types d’attaques que vous pouvez subir et comment vous en prémunir.
Directory Traversal ou traversée de répertoire
Ce type d’attaque consiste à placer sur le serveur qui héberge votre site des fichiers à des endroits précis. Les attaquants passent la plupart du temps par un fichier zip, qui lorsqu’il est décompressé va venir écraser un fichier de configuration de WordPress ou pire, des fichiers critiques sur le serveur. L’attaquant pourra alors se connecter sur la machine et exécuter du code malicieux. C’est une attaque très courante pour laquelle la meilleure parade est de mettre à jour votre version de WordPress (la faille est présente sur les versions 3.0 à 4.8.1). Attention aussi aux thèmes et plugins “nulled” qui pourraient contenir des codes additionnels vérolés.
Injection SQL
Ce type d’attaque permet à celui qui l’exploite de modifier le comportement d’une requête telle que le développeur l’avait initialement prévu. Ainsi, en trouvant une injection SQL adaptée, l’attaquant pourrait se connecter au dashboard sans avoir le mot de passe, modifier des données dans la base et donc compromettre complètement toute votre installation. Bien qu’assez technique, cette faille est la deuxième en termes de popularité et est donc très convoitée. Pour pouvoir l’exploiter, les pirates visent des installations de WordPress qui ne sont pas à jour, donc encore une fois veillez à maintenir la dernière version en installant régulièrement les mises à jour proposées.
Brute Force
L’attaque Brute Force est très connue et a pour but de tenter de rentrer dans votre interface d’administration par la force. Les mots de passe étant cryptés et sécurisés, la technique consiste à tenter de deviner le votre en multipliant les tentatives de connexion avec des combinaisons de logins et de mots de passe issus d’un dictionnaire de données. En plus de la possibilité de s’offrir l’accès à votre administration, ce type d’attaque peut considérablement ralentir votre site car il va occuper grandement les ressources serveurs. Plusieurs méthodes s’avèrent efficaces pour contrer ce genre d’attaques. La première est de “cacher” l’accès à votre interface de connexion. Pour ce faire, il suffit de ne pas utiliser l’url par défaut proposée par WordPress. Via un plugin, vous pouvez en effet la rendre accessible par l’url de votre choix. Une première sécurité, mais cela ne sera pas suffisant pour être complètement tranquille. En second, nous vous conseillons de limiter le nombre de tentatives de connexions échouées autorisées. Ainsi, si un robot tente de se connecter à votre backoffice et qu’il enchaîne 3 combinaisons de login et mot de passe erronés, il sera banni pour une période de quelques minutes à plusieurs heures. Enfin, la double authentification peut aussi s’avérer utile pour ce genre de situation. Retrouvez des informations complémentaires à ce sujet ici.
XSS
L’attaque XSS ou cross site scripting est aussi très répandue et malheureusement, comme tous les sites Web, les sites WordPress n’en sont pas épargnés.
Ce type de faille va faire exécuter du code malveillant à un utilisateur de votre site, sans qu’il ne s’en rende compte. Un utilisateur visitant une page pourrait ainsi envoyer ses identifiants de connexion à un pirate sans même s’en rendre compte. L’attaquant pourrait donc récupérer des informations confidentielles de votre base de données. Une faille qu’il faut absolument bloquer. Comme pour la plupart des autres failles, la solution consiste en premier lieu à maintenir votre site et vos plugins à jour. En complément, vous pouvez installer des firewalls applicatifs, Wordfence est par exemple un bon outil pour détecter ce genre de comportement anormal sur WordPress.
