WordPress est de loin le CMS le plus populaire pour la création de sites Internet. Il est donc logique que les sites WordPress subissent régulièrement des attaques de différents types.
Quel type d’attaque subissent le plus les sites WordPress ? Comment intervenir grâce à l’aide support WordPress et se protéger ?
Quelles sont les principales attaques sur WordPress et comment se protéger ?
Les sites WordPress se configurent par défaut et sont vulnérables sous plusieurs angles. Dans les plugins et les thèmes, on retrouve des failles et au centre même du logiciel existe un grand nombre de vulnérabilités, particulièrement dans les versions antérieures.
Les 5 types d’attaques les plus courantes sur WordPress
En 2020, le scanner de WordFence a détecté sur des sites WordPress 4,3 milliards de failles à partir de 9,7 millions d’adresses IP uniques bloquées. Ce nombre, c’est les tentatives de connexion malveillantes qui ont ciblé le système de gestion de contenu.
Le rapport de WordFence ajoute également que 90 milliards de tentatives de connexions malveillantes ont été bloquées par le plugin de sécurité.
Durant l’année 2020, c’était 2 800 attaques WordPress par seconde visant un site.
Quelles sont les attaques WordPress les plus fréquentes ?
- 1. Les attaques par traversée de répertoires et chemins relatifs et absolus. Ce sont globalement des tentatives d’accès aux données sensibles et des tentatives d’inclusion de fichiers locaux.
- 2. Les injections SQL, qui permettent à un attaquant d’insérer des instructions SQL malveillantes dans le site Internet, peuvent potentiellement permettre d’accéder à des données sensibles dans la base de données ou détruire des données.
- 3. Les téléchargements de fichiers malveillants, ce sont les tentatives d’exploitation par les téléchargements de fichiers malveillants, qui visent à réaliser l’exécution de code à distance.
- 4. Le Cross-Site Scripting ou XSS. Le principe de cette attaque WordPress est d’injecter du code malveillant dans un site web, par exemple en postant un message dans un forum qui redirige l’utilisateur vers un faux site ou en volant des informations.
L’objectif principal de cette attaque est de voler les données d’identité de l’autre utilisateur – cookies, jetons de session et autres informations. - 5. Les vulnérabilités de contournement d’authentification.
Comment les sites WordPress sont piratés ?
Il y a une multitude de façons de pirater un site WordPress, voici les trois plus courantes :
- Un code vulnérable ou obsolète : cela peut permettre une attaque pour compromettre votre instance WordPress./li>
- Les attaques par force brute et l’énumération des utilisateurs sont un accès pour les pirates qui peuvent ensuite accéder au panneau administrateur du site WordPress.
- Une instance du site WordPress piratée, peut ensuite compromettre le système sous-jacent et entraîner des attaques WordPress supplémentaires.
Comment éviter les menaces de sécurité et les attaques malveillantes sur WordPress ?
Il est évidemment possible d’éviter les menaces de sécurité et les attaques malveillantes sur WordPress.
Pour cela, il y a plusieurs recommandations à suivre. Par exemple, il est préférable de suivre les avis de la communauté WordPress, sur les plugins et les thèmes qui ont été testés et qui ont bonne réputation, notamment.
Pensez aussi à effectuer les mises à jour de façon régulière. Cela permettra de ne pas exposer votre site web à une faille de sécurité.
Mettez en place une authentification multifacteur, qui empêchera les pirates d’accéder à votre site en se servant de tentatives de connexion automatisées.
En plus de ces recommandations, vous pouvez aussi aider à sécuriser votre site en :
- Désactivant l’indexation des répertoires, dans la configuration du serveur web.
- Utilisant un pare-feu d’application web, pour déjouer les attaques WordPress et renforcer votre système.
- Faisant des sauvegardes régulières et en les stockant en dehors du serveur. Attention à ne pas laisser de sauvegardes dans la racine du site.
