Vidéo: Les 10 meilleurs plugins Wordpress (Novembre 2024)
En tant que plate-forme de gestion de contenu, WordPress est extrêmement populaire parmi les utilisateurs car il est si facile à utiliser. Le fait est que c'est une cible populaire pour les criminels et les attaquants, aussi. Si vous avez un site WordPress, vous devez suivre quelques étapes élémentaires pour sécuriser votre site.
DDoS avec WordPress
Même si vous craignez toujours que votre site WordPress puisse être piraté pour proposer des programmes malveillants aux visiteurs de votre site ou pour les rediriger vers un site suspect sur le Web, vous ne voulez pas non plus savoir que votre site est utilisé pour lancer des attaques contre d'autres sites. Plus tôt cette semaine, la société de sécurité Sucuri a annoncé que plus de 162 000 sites WordPress avaient été amenés à participer à une attaque par déni de service distribuée contre un autre site.
Le fait est que les sites n'ont pas été piratés ni infectés pour former un botnet. Les attaquants ont abusé de Pingbacks, une fonctionnalité parfaitement légitime de WordPress, pour inonder le site ciblé de trafic indésirable. Les sites Pingback sont utilisés par un site WordPress pour informer les autres sites lorsqu'un message leur est lié. Lors de l'attaque observée par Sucuri, l'attaquant a persuadé les sites d'envoyer une demande Pingback à la même URL cible, ce qui était facile à faire puisque Pingback est activé par défaut dans WordPress. Le site ciblé a été soudainement bombardé de requêtes Pingback, qui ont essentiellement abouti à une attaque par DdoS.
Si vous utilisez WordPress, vous devriez envisager de désactiver Pingbacks pour vous assurer que votre site ne peut pas être utilisé pour attaquer d'autres sites. La fonctionnalité vous avertit lorsque quelqu'un d'autre parle de vous, ce qui est un bon rappel de l'ego, mais vaut-il la peine de la garder pour qu'elle soit maltraitée? Sucuri a des suggestions sur la façon de bloquer les pingbacks sur son site.
Fuite WordPress
Dave Lewis, haut responsable de la sécurité chez Akamai Technologies, a utilisé Google pour trouver plus de 111 000 sites WordPress dont les sauvegardes de base de données étaient accessibles à partir d'Internet. La liste comprenait "toutes sortes de sites Web, allant de sites musicaux indépendants à des cabinets de médecins et même à certains sites gouvernementaux", a écrit Lewis sur son blog CSO. Le vidage contenait des informations détaillées sur la base de données, que les attaquants pourraient utiliser pour lancer d'autres attaques, mais également une fuite potentielle de vos données.
De toute évidence, les sauvegardes ne doivent pas être accessibles depuis Internet. Si les sauvegardes s'exécutent localement sur le même serveur sur lequel WordPress est installé, les plugins de Wordfence ou de Sucuri peuvent bloquer les accès non autorisés, a déclaré Lewis.
WordPress obsolète
La tâche la plus importante pour les administrateurs WordPress consiste à rester au fait des mises à jour logicielles, pas seulement pour la plate-forme principale, mais pour chacun des plug-ins exécutés sur le site. Les versions obsolètes de WordPress sont constamment attaquées, en particulier les plugins. "Les pirates malveillants recherchent en permanence des moyens d'infecter les utilisateurs d'ordinateurs. Quelle meilleure technique peut-il y avoir pour compromettre un site Web légitime existant et le renverser de manière à infecter sournoisement les utilisateurs d'ordinateur lorsqu'ils le visitent", a déclaré un consultant en sécurité Graham Cluley.
Les pirates peuvent exploiter des failles non corrigées pour réaliser des attaques par injection SQL ou de script intersite. Les failles peuvent également être exploitées pour infecter le site avec des logiciels malveillants. Pour la plupart, ces problèmes sont généralement le résultat de problèmes liés aux plug-ins, et non à la plate-forme logicielle principale. Il est donc encore plus crucial que les plug-ins soient mis à jour régulièrement.
Il est important de noter la différence entre les sites hébergés sur WordPress.com et les sites WordPress exécutés sur d'autres serveurs. L'équipe derrière WordPress maintient le logiciel à jour sur WordPress.com, afin que les utilisateurs individuels ne soient pas obligés de le faire. Pour les sites auto-hébergés, le propriétaire du site doit rester au fait des correctifs et des mises à jour pour s'assurer que le logiciel reste à jour.
Si vous allez utiliser WordPress, gardez une longueur d'avance sur les attaquants en tenant votre site à jour régulièrement.
