Comment les sites Web sont-ils piratés ?

En tant que propriétaire de site Web WordPress, vous savez déjà que la sécurité joue un rôle important dans la protection de vos opérations contre les piratages et les attaques malveillantes. Mais comment les sites Web sont-ils piratés exactement ? Quel est le processus par lequel les pirates tentent, et réussissent souvent, de supprimer les sites WordPress avec leurs attaques ?

Même si le Web s'est développé à pas de géant au cours des dernières décennies, peu de choses ont changé dans la façon dont les sites Web sont piratés par de mauvais acteurs. Et la chose la plus importante que vous devriez faire pour assurer la sécurité de votre site et de vos visiteurs est de bien comprendre ce que sont ces fiducies immuables afin que vous puissiez garder une longueur d'avance sur elles.

Dans ce guide complet, nous vous montrerons exactement comment les sites Web sont piratés, quels sont les signes indiquant que votre site a été piraté, et bien plus encore. Nous allons jeter un coup d'oeil.

L'échelle massive des sites Web piratés

Plus de 1,2 milliard (avec un B) de sites Web constituent désormais la version actuelle du World Wide Web. Et si vous supposez un temps de chargement moyen d'un site Web de 3 secondes, il vous faudrait plus de 160 ans pour visiter tous les sites existants, sans prendre une seconde de repos.

Il s'agit d'un Web incroyablement massif qu'il est totalement impossible pour une entité individuelle de surveiller en toute sécurité. Bien que des services comme la navigation sécurisée de Google essaient d'avertir leurs utilisateurs des sites qui pourraient être dangereux. Actuellement, il délivre plus de 3 millions de ces avertissements aux utilisateurs chaque jour.

Et c'est à peu près la taille des populations de Los Angeles et de New York réunies.

En termes simples, les sites Web seront toujours des cibles énormes pour les personnes mal intentionnées. Et l'impact global de tout piratage sera dévastateur pour votre entreprise.

Mais il y a de bonnes nouvelles.

Bien qu'il existe une grande menace nuisible et persistante, notre connaissance de nous, combinée à l'utilisation des bons outils, contribuera grandement à garantir que nos sites restent à l'abri des attaques.

Comment les sites Web sont-ils piratés ? Les 3 voies principales

Au cours des trois dernières décennies d'Internet, nous constatons que les hacks atterrissent presque toujours dans trois catégories différentes :

1. Contrôle d'accès
2. Vulnérabilités logicielles
3. Intégrations tierces

La réalité est que peu importe si vous gérez un site pour un Fortune 500 ou votre magasin de chaussures local, la façon dont les pirates abordent leur métier sera presque identique.

Mais ce qui varie, c'est la façon dont chaque entreprise individuellement se laisse exploiter en premier lieu.

• Les grandes organisations utilisent souvent l'excuse de dire : "Nous pensions que quelqu'un d'autre s'occupait de la sécurité". Ce type de brouillard et de mauvaise communication est courant dans les grandes organisations complexes.
• Les petites entreprises pensent souvent qu'elles sont trop petites pour que des pirates informatiques veuillent les cibler. Ils sont souvent sous la fausse hypothèse que les pirates ne les toucheront pas. Cela permet de perdre facilement de vue la quantité d'informations privées qui peuvent réellement être extraites du plus petit site Web.

Dans ces deux cas, les pirates ont les incitations et les outils nécessaires pour atteindre leurs objectifs dans des domaines où il n'y a pas beaucoup de vigilance en matière de sécurité.

Les environnements de site Web ont beaucoup d'activité

Avant de plonger dans les spécifications de chaque type de piratage, définissons d'abord une base incroyablement importante pour le fonctionnement réel du Web.

Chaque site Web repose sur une série de systèmes qui sont interconnectés et fonctionnent ensemble. Il existe des composants tels que le DNS (Domain Name Servers), le serveur Web et l'infrastructure qui héberge vos différents serveurs et les connecte à Internet.

Même si cela semble relativement simple, l'écosystème sous-jacent est assez complexe.

Tant de composants individuels sont fournis par des fournisseurs de services spécialisés. Même si vous recevez un certain nombre de services différents d'un seul fournisseur de services, il existe encore d'innombrables éléments uniques de l'équation qui fonctionnent par eux-mêmes.

Considérez votre site Web comme un véhicule de consommation moderne. À l'extérieur, il a l'air solide et profilé, mais en dessous, il y a d'innombrables pièces mobiles qui font que tout fonctionne.

Pour les besoins de ce guide, il n'est pas important que vous compreniez tous les détails du fonctionnement de votre site. Mais il est important de savoir que chacun de ces composants individuels aura un impact sur la sécurité globale de votre site WordPress.

Et ils ont chacun le potentiel de contribuer à la façon dont votre site est piraté.

1. Contrôle d'accès

Cela concerne spécifiquement le processus d'autorisation et d'authentification. En termes simples, le contrôle d'accès est la façon dont vous vous connectez à votre site Web WordPress.

Et cela va au-delà de la façon dont vous vous connectez au panneau d'administration de votre site Web. Comme nous l'avons déjà établi, il existe de nombreuses connexions interconnectées différentes qui fonctionnent ensemble dans les coulisses de votre site.

Lorsque vous pensez au contrôle d'accès, vous devez prendre en compte six domaines spécifiques.

Comment tu:

• Connectez-vous à votre panneau d'accueil ?
• Connectez-vous au serveur (SSH, SFTP, FTP) ?
• Connectez-vous à votre site ?
• Connectez-vous à votre ordinateur personnel ?
• Connectez-vous aux plateformes de médias sociaux ?
• Stockez vos informations d'identification de nom d'utilisateur et de mot de passe pour chacune de ces variables ?

Il est beaucoup trop facile de négliger le contrôle d'accès. Cependant, chaque point d'accès individuel peut offrir aux pirates un accès à l'ensemble de votre écosystème.

Un pirate utilisera également un certain nombre de tactiques différentes pour accéder à un seul point de connexion non sécurisé. Considérez-le comme un voleur de maison vérifiant chaque entrée potentielle, puis se faufilant (ou vous trompant) des copies de vos codes d'accès ou de vos clés.

• Les attaques par force brute sont les plus faciles à réaliser et peuvent être le moyen le plus efficace. Avec une attaque par force brute, le pirate essaie de deviner les combinaisons potentielles de nom d'utilisateur et de mot de passe dans le but de se connecter en tant qu'utilisateur crédible du site.
• Les attaques d'ingénierie sociale gagnent en popularité. Un pirate crée des pages de phishing conçues pour inciter un utilisateur à entrer volontairement sa combinaison d'identifiant et de mot de passe.
• Les attaques Cross-Site Scripting (XSS) et Cross-Site Request Forgery (CSRF) impliquent l'interception des identifiants de connexion d'un utilisateur via le navigateur de l'utilisateur.
• Les attaques Man in the Middle (MITM) sont également utilisées. Grâce à cela, le nom d'utilisateur et le mot de passe d'un utilisateur sont facilement interceptés lorsqu'un utilisateur travaille sur des réseaux qui ne sont pas entièrement sécurisés.
• Les enregistreurs de frappe et les logiciels malveillants supplémentaires qui surveillent les utilisateurs suivront les entrées, puis les signaleront au pirate qui a infecté l'utilisateur.

Mais quel que soit le type d'attaque perpétré, l'objectif du pirate informatique est toujours le même : obtenir un accès direct à votre site via des identifiants crédibles.

Quel que soit le style d'attaque, l'objectif est le même : obtenir un accès direct via les connexions.

Le plugin iThemes Security ajoute plus de protection pour la sécurité de votre utilisateur. La sécurité de votre site dépend du fait que vos utilisateurs disposent de connexions sécurisées avec des mots de passe forts. C'est pourquoi iThemes Security offre plusieurs couches de sécurité pour les utilisateurs, notamment une authentification à deux facteurs, des appareils de confiance avec protection contre le piratage de session, des connexions sans mot de passe pour vérifier l'identité d'un utilisateur et une protection par mot de passe violé. Vous pouvez même exécuter des contrôles de sécurité des utilisateurs pour auditer et modifier rapidement les éléments les plus critiques de la sécurité de vos utilisateurs.

La prochaine couche de sécurité ajoutée par iThemes Security est la protection de la partie la plus attaquée de votre site Web, l'écran de connexion WordPress. iThemes Security propose deux types de protection contre la force brute pour surveiller les tentatives de connexion non valides effectuées sur votre site Web. Une fois qu'un utilisateur ou un bot a fait trop de tentatives de connexion invalides consécutives, il sera verrouillé et ne pourra plus faire de tentatives pendant une période de temps définie.

2. Vulnérabilités logicielles

En réalité, la grande majorité des propriétaires de sites Web WordPress ne sont pas en mesure de résoudre les vulnérabilités de sécurité des logiciels actuels sans un correctif recommandé par le développeur du logiciel. Le problème est que de nombreux développeurs ne tiennent pas compte des menaces que le code qu'ils écrivent introduit sur votre site.

Un petit bogue qui n'affecte pas sensiblement l'UX (expérience utilisateur) prévue peut être exploité pour faire faire au logiciel des choses qu'il n'était pas prévu de faire. Et les pirates les plus expérimentés considèrent ces bogues comme des vulnérabilités potentielles.

L'une des façons les plus courantes d'y parvenir consiste à utiliser un en-tête POST malformé ou une URL (Uniform Resource Locator) malformée pour lancer un certain nombre d'attaques différentes.

Ceux-ci inclus:

• Remote Code Execution (RCE) qui permet une prise en charge totale à distance du site et du système ciblés
• Remote / Local File Inclusion (R/LFI) qui utilise l'entrée fournie par l'utilisateur dans les champs pour télécharger des fichiers malveillants dans un système
• Injection SQL (SQLi) qui manipule les champs de saisie de texte avec un code malveillant qui envoie des séquences d'attaque au serveur

De la même manière que le contrôle des actifs, les vulnérabilités des logiciels s'étendent au-delà de la portée du site Web. Ces vulnérabilités peuvent être trouvées et exploitées dans chaque technologie interconnectée sur laquelle repose un site Web.

Et la plupart des sites actuels utilisent un mélange d'extensions tierces, telles que des plugins et des thèmes WordPress, qui sont tous des points potentiels d'intrusion de piratage.

Étant donné que les plugins, les thèmes et les versions principales de WordPress vulnérables constituent le plus grand risque de sécurité de votre site Web, iThemes Security se met au travail pour analyser votre site Web. Avec iThemes Security Site Scan, vous saurez chaque fois qu'un plugin, un thème ou une version principale de WordPress sur votre site est vulnérable et doit être mis à jour. Et encore mieux… il exécutera automatiquement les mises à jour pour vous. Site Scan est alimenté par la base de données de vulnérabilités la plus complète disponible, vous aurez donc toujours la protection la plus récente. Site Scan s'intègre également à Google Safe Browsing pour vérifier l'état de la liste de blocage de votre site et pour tout logiciel malveillant connu ou fichier suspect.

Voici comment l'analyse de site d'iThemes Security fonctionne pour protéger votre site :

• Scanne votre site Web deux fois par jour à la recherche de vulnérabilités – Les plugins, thèmes et versions de base de WordPress de votre site Web sont vérifiés par rapport à la base de données de vulnérabilités WPScan pour les dernières divulgations de vulnérabilités.
• Mises à jour automatiques si un correctif de sécurité est disponible - Associé à la gestion des versions, iThemes Security mettra automatiquement à jour un plugin, un thème ou une version principale de WordPress s'il présente une vulnérabilité.
• Vous envoie un e-mail si l'analyse du site détecte une vulnérabilité - Vous pouvez recevoir un rapport par e-mail si votre site exécute des versions vulnérables d'un plugin, d'un thème ou du noyau WordPress. Personnalisez les adresses e-mail qui reçoivent les résultats de l'analyse.

3. Services tiers et intégrations

Enfin, il y a les exploits qui se produisent via des services et des intégrations tiers.

Le plus souvent, ceux-ci prendront la forme de publicités via un réseau publicitaire qui mène à des attaques de malvertising.

Ces hacks impliqueront des services que vous utilisez avec votre site et votre hébergement, y compris des variables telles que votre CDN (Content Distribution Network).

Les intégrations et services tiers fournissent une interconnexion suffisante entre les différentes parties de votre expérience de gestion de site. En fait, c'est une chose que les gens adorent dans les options de système de gestion de contenu extensibles telles que WordPress, Drupal et Joomla.

Mais l'interconnexion fournit également des points à exploiter pour les pirates.

L'un des plus gros problèmes est de savoir comment les pirates exploitent ces services et intégrations d'une manière qui dépasse la capacité du propriétaire d'un site Web à les contrôler. En tant que constructeur ou gestionnaire de site, vous avez accordé une tonne de confiance aux fournisseurs tiers lorsque vous choisissez d'utiliser l'une de leurs intégrations.

Et, bien sûr, beaucoup font preuve de diligence pour sécuriser leurs intégrations.

Mais comme pour d'autres choses, il y a un risque inhérent. Et c'est celui sur lequel les pirates ont toujours les yeux rivés.

L'une des façons dont iThemes Security fonctionne pour protéger l'accès des tiers consiste à utiliser des mots de passe d'application sécurisés pour l'API XML-RPC et REST. Cette mise à jour permet d'utiliser l'authentification par nom d'utilisateur/mot de passe pour les demandes d'API REST afin que vous puissiez verrouiller l'API REST (selon notre recommandation) tout en permettant aux outils externes qui utilisent l'API REST de se connecter.

Protéger votre site Web contre le piratage

La sécurité du site Web WordPress est importante. Une grande partie de la sécurité du site Web WordPress est l'éducation et la sensibilisation. Et la simple lecture de ce guide vous a mis dans une meilleure position pour sécuriser votre site.

Pour aller de l'avant, il y a des étapes spécifiques que vous devez suivre. Et notre objectif est de vous aider à les atteindre. Malheureusement, ce n'est qu'après que quelque chose a déjà mal tourné que tant de propriétaires de sites Web prennent enfin au sérieux la sécurité.

Au lieu de cela, pourquoi ne pas prendre de l'avance sur la douleur et suivre ces étapes pour vous en tenir à l'écart :

1. Utilisez les principes de la défense en profondeur. Cela implique de construire des couches de sécurité comme un oignon. Chaque pratique rend plus difficile pour les pirates de pénétrer dans votre écosystème.
2. Tirez parti des meilleures pratiques les moins privilégiées. Assurez-vous de limiter ce que la connexion de chaque utilisateur du site leur permet de faire.
3. Créez une authentification à deux facteurs et une authentification multifacteur partout où vous le pouvez. Cela sécurisera davantage ces points d'accès utilisateur particuliers.
4. Utilisez un pare-feu de site Web. Cela fera des merveilles pour limiter la façon dont les pirates tentent d'exploiter les vulnérabilités des logiciels.
5. Planifiez régulièrement des sauvegardes. Téléchargez et installez le plugin de sauvegarde BackupBuddy WordPress comme solution pour cela. Ainsi, si jamais votre site est piraté, vous pourrez le récupérer en quelques clics.
6. Obtenez la perspective des principaux moteurs de recherche. Bing Webmaster Tools et Google Search Console fournissent tous deux des rapports utiles sur la façon dont ils perçoivent la sécurité de votre site.

La meilleure façon de couvrir ces bases de sécurité en tant que propriétaire de site WordPress est d'utiliser le plugin iThemes Security Pro.

Alors comprenez qu'il n'y a pas de moyen infaillible de rester en sécurité à 100 % à tout moment. Les outils que vous utilisez dans l'environnement de votre site Web réduiront considérablement votre risque global. Mais la sécurité n'est pas une action ou un événement unique. C'est une série d'actions.

Et tout commence par un excellent outil comme iThemes Security Pro qui vous guidera pour sécuriser au mieux votre site.

Maintenant que vous savez quoi faire et ce que vous recherchez, vous rencontrerez sans doute l'un des scénarios de sécurité que nous avons abordés dans ce guide. Mais maintenant, vous saurez mieux quoi faire pour résoudre le problème.

Le meilleur plugin de sécurité WordPress pour sécuriser et protéger WordPress

WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. Le plugin iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C'est comme avoir un expert en sécurité à plein temps dans le personnel qui surveille et protège constamment votre site WordPress pour vous.

Obtenez iThemes Security Pro

Kristen Wright

Kristen écrit des tutoriels pour aider les utilisateurs de WordPress depuis 2011. En tant que directrice marketing chez iThemes, elle se consacre à vous aider à trouver les meilleurs moyens de créer, gérer et maintenir des sites Web WordPress efficaces. Kristen aime également tenir un journal (consultez son projet parallèle, The Transformation Year !), faire de la randonnée et du camping, faire du step, cuisiner et vivre des aventures quotidiennes avec sa famille, dans l'espoir de vivre une vie plus présente.