Pourquoi les sites Web WordPress sont-ils piratés ?

Pourquoi quelqu'un voudrait-il pirater le site Web de votre entreprise ? Les réalisateurs de films peuvent donner l'impression que c'est excitant, mais en réalité, il s'agit de prédire les habitudes humaines, de repérer une opportunité et de persévérer. Découvrez comment pensent les pirates et comment vous pouvez protéger votre entreprise.

WordPress est le leader du marché

WordPress est sans conteste le système de gestion de contenu (CMS) le plus populaire pour les sites Web, avec une part impressionnante de 59 % de la part de marché des CMS. C'est également l'un des frameworks les plus populaires pour créer votre site Web, avec près d'un tiers de tous les sites Web sur Internet construits à l'aide de celui-ci.

Source : https://w3techs.com/technologies/overview/content_management/allWordp

Cette popularité a également pour effet de faire de WordPress une plate-forme de choix pour cibler les pirates et autres utilisateurs malveillants. Une question courante que nous rencontrons quotidiennement est « Pourquoi quelqu'un voudrait-il accéder à mon site Web ? Je n'ai aucune donnée de valeur pour eux ». Bien que ce soit certainement une déclaration compréhensible, c'est une mauvaise mentalité d'aborder le Web avec.

Une statistique malheureuse est qu'Internet manque cruellement d'utilisateurs bien informés, avec seulement environ 25% des utilisateurs dans le monde capables d'accomplir des tâches de difficulté moyenne à élevée. Cela laisse un nombre inquiétant d'utilisateurs exposés aux abus de la part de la minorité d'utilisateurs techniquement compétents.

Dans cet article, nous passerons en revue certaines des méthodes les plus courantes par lesquelles un site Web peut être compromis, certaines des raisons pour lesquelles les sites Web sont piratés et les mesures que les utilisateurs peuvent prendre pour se protéger.

Comment les sites Web sont-ils piratés ?

Lorsque quelqu'un entend le mot "hacker", l'image la plus courante est probablement celle d'un homme encapuchonné dans une pièce sombre devant un moniteur avec une pléthore de lignes de code qui défilent sur son écran. Cependant, la (triste) vérité est que le piratage quotidien n'est pas si intéressant. En fait, les piratages les plus courants sont de nature assez simple et les personnes qui tentent de pirater n'ont même pas besoin d'être très compétentes.

Tous les types de piratage ne proviennent pas non plus du code. Les attaques d'ingénierie sociale – également appelée piratage social – sont encore parmi les plus menaçantes. Les pratiques d'escroquerie courantes s'appliquent toujours sur Internet et peuvent entraîner le piratage de votre site Web. Comme cela dépasse le cadre de cet article, vous pouvez en savoir plus sur les menaces d'ingénierie sociale dans cet article tripwire .

Mis à part l'ingénierie sociale, Internet reste un endroit hostile pour les sites Web. Wordfence, l'un des principaux développeurs de plugins de sécurité WordPress, publie des rapports mensuels sur les attaques WordPress . D'après le rapport de septembre, nous pouvons voir que la majorité (91 %) des attaques sont en fait des attaques par force brute.

Une attaque par force brute est un concept très simple. N'importe qui peut l'essayer, sans généralement aucune répercussion. Sur cette note, pourquoi ne pas lancer une attaque par force brute dès maintenant ? Recherchez simplement le site de votre concurrent sur Google et essayez de mettre /wp-admin à la fin de son URL. Si vous avez de la chance, ils utilisent un site WordPress. Tout ce que vous avez à faire maintenant est de mettre "admin" comme nom d'utilisateur ou une adresse e-mail que vous savez qu'ils utilisent couramment, c'est-à-dire "[email protected]". Pensez ensuite aux éléments qu'ils utiliseraient comme mot de passe : leurs noms, leurs produits, les dates importantes… et continuez à essayer des combinaisons. Vous commencez essentiellement une attaque par force brute. Imaginez maintenant que vous ayez accès à un vocabulaire de mots et à un script qui essaie automatiquement de se connecter en utilisant différentes combinaisons de noms d'utilisateur et de mots de passe. Il y a de fortes chances que les comptes non sécurisés soient craqués de cette façon.

La forme d'attaque la plus simple étant écartée, il est temps d'enquêter sur un type d'attaque plus élaboré qui tente d'exploiter les faiblesses courantes des fichiers de votre site Web. Comme beaucoup d'entre vous le savent peut-être déjà, un site WordPress possède un certain nombre de fichiers de thèmes et de plugins sur lesquels il s'appuie. Ceux-ci reposent également généralement sur des bibliothèques de code écrites par d'autres développeurs. Parfois – en partie à cause de la mauvaise qualité du code et en partie à cause des innovations dans le domaine du piratage – des exploits peuvent être trouvés.

Espérons qu'un éthique, également connu sous le nom de hacker au chapeau blanc, soit celui qui a trouvé l'exploit. En règle générale, juste après qu'un pirate informatique a trouvé un exploit, le propriétaire du code est informé, il sensibilise le public pour atténuer tout dommage potentiel, puis le propriétaire du code publie un correctif pour corriger la vulnérabilité. Dans les cas où un pirate informatique malveillant rencontre un exploit, il peut s'écouler des mois ou des années avant qu'il ne soit porté à la connaissance du public. Dans tous les cas, une fois les exploits connus, ils sont ajoutés à des listes de vulnérabilités facilement accessibles sur Internet sur des sites comme celui-ci .

Il existe également des attaques visant directement le serveur. C'est une question très compliquée et vaste et cet article n'entrera pas dans les détails. Cependant, voici un article intéressant si vous souhaitez en savoir plus : Comment pirater un serveur Web .

Pourquoi les sites Web sont-ils piratés ?

Nous avons maintenant exploré certaines des façons dont un site Web peut être piraté, mais la question de savoir pourquoi il a été piraté reste largement sans réponse. Malheureusement, il existe de nombreuses raisons pour lesquelles un utilisateur malveillant ciblerait votre site Web et elles vont du pur ennui à la propagation de virus et de médias illégaux sur Internet.

Comme l'ennui pur, bien qu'étant une cause réelle, est assez simple, nous allons donc passer à une cause plus compliquée : la publicité. Il y a eu de nombreuses façons d'être victime d' attaques par injection d'annonces , comme on les appelle. Le concept est simple : vous diffusez vos publicités souvent malveillantes sur un véritable site pour générer plus de trafic vers le vôtre. Cela peut prendre la forme d'un simple affichage des publicités sur le site ou, dans des cas extrêmes, de rediriger tout le trafic vers le site du pirate. Ces publicités peuvent alors contenir du code malveillant qui conduit à prendre le contrôle de la machine ou des données sensibles d'un utilisateur.

Une autre cause courante de piratage d'un site Web peut être de simplement le dégrader dans le cadre d'un hacktivisme . Les causes de ce type d'attaques sont aussi diverses que les groupes qui les mènent. Nous avons eu de nombreux rapports de sites Web « anonymes » dégradants de personnes avec lesquelles ils ne sont pas d'accord, et même ISIS utilise la même technique.

Malheureusement, tous les hacks ne sont pas visibles et certains peuvent être assez subtils et difficiles à suivre. Par exemple, si vous utilisez votre site WordPress en tant que boutique en ligne, vous pouvez stocker les détails de la carte de crédit ou les informations personnelles de votre client. Ceci est très précieux pour tout pirate informatique et il y a de fortes chances qu'il ne fasse pas connaître sa présence afin qu'il puisse continuer à exploiter cette information. De plus, comme les gains monétaires du piratage d'un site Web peuvent être assez substantiels, nous rencontrons même des sites Web piratés uniquement pour exploiter des crypto-monnaies telles que le bitcoin.

Comment puis-je protéger mon site ?

Bien que tous les exploits utilisés par les utilisateurs malveillants puissent sembler écrasants, il existe quelques étapes de base que vous pouvez suivre en tant qu'utilisateur légitime pour protéger votre site Web. Voici une liste de contrôle de sécurité simple que vous pouvez utiliser :

• Gardez vos mots de passe en sécurité : utilisez toujours un mot de passe fort et conservez-le en lieu sûr. N'utilisez pas le même mot de passe sur plusieurs sites. Mettez à jour votre mot de passe tous les deux mois environ.

• N'utilisez jamais d'e-mails d'administrateur ou accessibles au public pour votre compte d'administrateur

• Gardez votre site Web à jour : comme mentionné ci-dessus, les exploits connus sont rendus publics. Si votre site Web utilise une version obsolète et vulnérable d'un plugin ou d'un thème, vous courez un risque.

• Utilisez une société d'hébergement réputée : l' hébergement partagé et l'hébergement fourni par une société irresponsable peuvent entraîner le piratage de votre site Web car un autre site Web sur le même serveur a été compromis.

• N'accordez l'accès qu'aux utilisateurs de confiance : ne donnez pas accès à votre site Web à des utilisateurs qui n'en ont pas besoin ou en qui vous n'avez pas entièrement confiance. Tout le monde n'a pas besoin d'être administrateur.

• Utilisez un plugin de sécurité : tout comme les programmes antivirus pour ordinateurs, il existe des plugins de sécurité pour WordPress. Deux des principaux sont Sucuri et Wordfence .

• Demandez : si vous avez un problème de sécurité ou une question concernant votre site Web, consultez votre développeur.

Dans cet article, nous avons étudié certaines des méthodes courantes et les raisons pour lesquelles un site Web peut être compromis. Espérons qu'avec ces informations, en plus de la liste de contrôle de sécurité, le piratage ne semblera plus être une menace toute-puissante omniprésente sur Internet.

Restez en sécurité, restez informé!

Si vous avez besoin d'aide pour votre conception et développement WordPress, n'hésitez pas à nous contacter.