Fermer

janvier 23, 2021

Votre site WordPress est-il à risque d'attaque?7 minutes de lecture




6 min de lecture

Les opinions exprimées par les contributeurs de Entrepreneur sont les leurs.


En octobre dernier, l'équipe de sécurité a utilisé une fonctionnalité interne pour pousser une mise à jour de sécurité vers un plugin populaire. La capacité à pousser de force une mise à jour était inconnue de beaucoup, même parmi les développeurs expérimentés.

Le bogue trouvé dans le plugin Loginizer, utilisé par plus d'un million de sites, a été classé comme l'un des pires problèmes de sécurité affectant un plugin WordPress dans mémoire récente, c'est pourquoi l'équipe de sécurité de WordPress a estimé que l'action était nécessaire.

Tout le monde n'a pas apprécié l'approche proactive de WordPress, les utilisateurs se sont plaints sur le forum de Loginzer et le site WordPress.org. Certains ont été surpris d'apprendre qu'il était même possible de mettre à jour un plugin avec des mises à jour automatiques désactivées. Les utilisateurs se sont également plaints en 2015, après que WordPress a utilisé pour la première fois la fonction de mise à jour forcée. pousser un correctif de sécurité pour contrecarrer un bogue d'injection SQL dangereux trouvé dans le plugin. La vulnérabilité aurait pu permettre à des pirates de prendre le contrôle de sites WordPress en utilisant des versions obsolètes de Loginizer, qui, ironiquement, fournit des améliorations de sécurité pour la page de connexion WordPress.

Mise à jour de WordPress

Environ deux semaines plus tard, WordPress a été déployé la version de sécurité et de maintenance de WordPress 5.5.2 pour WordPress core. Cette mise à jour contient dix correctifs de sécurité et WordPress recommande à tous les utilisateurs de mettre à jour leurs sites immédiatement.

Depuis 2016, WordPress a propulsé environ 34% des 1,2 milliard de sites Web sur Internet. Un système de gestion de contenu (CMS), WordPress est préféré par les développeurs Web de niveaux de compétences de base et avancés, principalement en raison de sa . Avec autant d'installations, c'est une cible constante pour les cybercriminels, et les propriétaires de sites du monde entier sont la proie d'une série continue de force brute et d'autres types d'attaques. Ces mises à jour de sécurité régulières de WordPress sont essentielles pour garder ces sites sûrs et disponibles.

Écosystème WordPress

Non seulement WordPress attire les pirates informatiques infâmes, mais il attire également entrepreneurs . Des sociétés comme Astra, iThemes, Sucuri et Bullet ont développé leurs activités en résolvant les problèmes de sécurité des propriétaires de sites Web WordPress .

La simplicité d'utilisation de ce CMS populaire s'accompagne d'une simple personnalisation. Quel que soit le type de site que vous souhaitez créer, il existe un plugin pour fournir une personnalisation prête à l'emploi. Au dernier décompte, WordPress.org a répertorié plus de 58 000 solutions, mais ces plugins et thèmes sont souvent le point d'entrée des attaques.

WordPress, les plugins et les thèmes sont le plus souvent vulnérables à:

  • Attaques par force brutale – saisie de combinaisons de nom d'utilisateur et de mot de passe différentes jusqu'à ce que vous puissiez entrer.

  • Cross-Site Scripting – les pirates attirent les victimes vers un site contenant des codes JavaScript malveillants.

  • Inclusions de fichiers – exploitation de vulnérabilités dans le code PHP de WordPress. [19659017] Malware – code injecté dans le site pour faciliter, par exemple, les redirections non autorisées ou permettre un accès de haut niveau à votre compte d'hébergement.

  • SQL Injections – les attaquants recherchent des bases de données non sécurisées et y accèdent à l'aide d'injections MySQL, ce qui leur donne le contrôle sur toutes les données et leur permet de créer des comptes d'administrateur ou d'insérer du contenu dans la base de données, comme des liens vers d'autres sites contenant des logiciels malveillants.

Related: This Expert Guide to Bui Création d'un site WordPress de qualité professionnelle

Pourquoi votre site Web WordPress est-il en danger?

La plupart des sites Web WordPress (tous les sites Web) sont vulnérables car les développeurs et propriétaires de sites Web n'exercent pas les meilleures pratiques en matière de Sécurité. Les mauvais mots de passe sont un point primaire de vulnérabilité et sont rapidement corrigés, mais des milliers de sites sont quotidiennement violés en raison de mots de passe faibles et faciles à deviner.

Mots de passe simples

Pour empêcher les attaques par force brute, créez des mots de passe compliqués en utilisant 12 caractères ou plus, mélangeant symboles, lettres et chiffres, et garantissant que le mot de passe est unique à votre site WordPress. Les applications de coffre-fort de mots de passe telles que LastPass et 1Password facilitent cette tâche.

Aucune authentification

L'authentification multifacteur fournit une couche de sécurité supplémentaire qui, lorsqu'elle est ajoutée à d'autres bonnes pratiques, aidera à empêcher les pirates d'accéder à votre site Web. Il existe plusieurs applications, telles que Google Authenticator pour votre appareil mobile pour authentifier les tentatives d'accès autorisées.

Plugins et thèmes inutilisés

D'autres points d'entrée pour les sites Web WordPress sont des plugins et des thèmes obsolètes. Bien que les sites fonctionnent plus rapidement avec moins de plug-ins, de nombreux propriétaires de sites Web installent des plug-ins, les essayent, puis choisissent de ne pas utiliser la fonctionnalité qu'ils fournissent. Les plugins abandonnés sont laissés pour compte et les mises à jour ignorées. Avec le temps, les sites Web peuvent accumuler des dizaines de plugins et de thèmes inutilisés.

Soyez prudent lors de l'installation de nouveaux plugins et thèmes. Téléchargez toujours à partir de sites Web de confiance tels que ThemeForest CodeCanyon et WordPress.org. Utilisez moins de plugins en choisissant ceux qui ont plusieurs fonctions plutôt que plusieurs plugins à fonction unique.

Supprimez les thèmes en vous connectant à votre compte d'hébergement ou en utilisant un logiciel FTP. Vérifiez également dans la base de données les orphelins de table créés par des plugins que vous n'utilisez plus.

Aucun plugin de sécurité

Chaque site devrait avoir un plugin de sécurité, et il y en a beaucoup de bons. Il s'agit de votre première ligne de défense si des pirates tentent d'accéder à votre site. Vous trouverez souvent Sucuri, iThemes Security, All In One WP Security & Firewall, BulletProof Security, Jetpack, SecuPress, Cerber Security et Wordfence dans les dix premières listes avec d'autres options moins connues.

Aucune sécurité d'hébergement

] De nombreuses sociétés d'hébergement ont des fonctionnalités de sécurité incluses ou disponibles en tant que service complémentaire. Configurez le logiciel (et votre plugin de sécurité WordPress) pour des analyses régulières – quotidiennement ce n'est pas trop souvent – et pour vous alerter de toute anomalie.

Un plan de sauvegarde

Alors que chaque propriétaire de site Web devrait suivre les meilleures pratiques de sécurité, la chance de avoir un site piraté existe toujours. Les plans de sauvegarde sont la solution de sécurité lorsque tout ce qui peut mal tourner le fait. Activez les sauvegardes régulières en fonction de la fréquence à laquelle vous apportez des modifications au site. S'il s'agit d'une tâche quotidienne, créez des sauvegardes quotidiennes. Stockez-les hors site et conservez-en une semaine au cas où vous ne découvririez pas une attaque tout de suite et que vous auriez besoin de revenir plusieurs jours en arrière pour trouver une sauvegarde propre.

Les développeurs derrière WordPress travaillent sans relâche pour protéger les sites Web, mais les propriétaires doit prendre la responsabilité de s'assurer que son logiciel est à jour et que les mots de passe sont sécurisés. De la même manière que WordPress a facilité le développement de sites, il a également rendu la sécurité aussi simple. Installez des mises à jour, utilisez des mots de passe compliqués, ajoutez une authentification et planifiez des sauvegardes pour que votre site continue de fonctionner et gagnez de l'argent.




Source link

0 Partages