Comme vous le savez probablement déjà, WordPress est l’un des outils les plus utilisés au monde pour créer un site web, qu’il s’agisse d’un blog, d’un site pour présenter son entreprise ou d’un site e-commerce. Une popularité à double tranchant, puisque la plateforme est régulièrement la cible de nombreux piratages. C’est le cas d’une attaque à grande échelle récemment orchestrée pour tenter de dérober les fichiers de configuration sur des sites WordPress. Plus de détails sur cette attaque dans la suite de cet article.
Sommaire :
Une attaque de masse ciblant de nombreux sites WordPress
Il y a de cela quelques semaines, des hackers ont essayé de dérober des fichiers de configuration de sites WordPress, et ceci dans l’optique de voler les identifiants des bases de données. Pour cela, ils se sont attaqués aux anciennes vulnérabilités des extensions non patchées.
On ne le dira jamais assez, la meilleure manière de protéger et de sécuriser votre site WordPress est de le maintenir à jour. Le thème ainsi que les différentes extensions installées -pour ajouter des fonctionnalités- doivent être régulièrement mises à jour. Si vous ne maitrisez pas bien cet aspect de ce C.M.S., vous pouvez faire appel à des professionnels spécialisés en maintenance WordPress.
Pour en revenir à l’attaque, les pirates ont exploité différentes techniques afin de télécharger ou exporter des fichiers wp-config.php à partir de sites web non patchés, autrement dit des sites qui ne sont pas à jour. Pour ceux qui ne le savent pas, un patch est un bout de code que les développeurs ajoutent au noyau du CMS ou aux plugins : cela permet de corriger, par exemple, un bug, une faille critique, etc.
Les pirates ont alors tenté d’obtenir les identifiants des bases de données de plusieurs sites. À partir de ces identifiants, ils auraient ainsi la possibilité de s’emparer du contenu des bases de données.
D’après Ram Gall, ingénieur en assurance qualité chez Wordfence :
les proportions de cette attaque étaient bien supérieures à la normale
En termes de chiffres, cela représente 75 % de toutes les tentatives de piratage dans l’écosystème WordPress.
Réplication d’une première attaque en mai
Cette tentative de vol de fichiers de configuration n’est rien d’autre que la réplication d’une attaque déjà observée en mai 2020. L’auteur avait exploité à ce moment un lot de vulnérabilité xss ou cross-site scripting pour insérer de nouveaux comptes administrateurs sur des sites WordPress.
Selon Ram Gall, les deux campagnes ont probablement été orchestrées par le même pirate. Même si les vulnérabilités exploitées sont différentes, l’ampleur était la même.
WordPress est il un CMS sécurisé ou pas ?
En dehors de cette attaque, de nombreux sites WordPress sont piratés chaque année : cela pourrait amener à se demander si le CMS est suffisamment sécurisé pour gérer toutes ces attaques. Mais ce que vous devez savoir, si les pirates arrivent à s’introduire dans un site WordPress, ce n’est pas à cause de la vulnérabilité du logiciel. Au contraire, cela est généralement dû à des problèmes que chaque propriétaire de site peut facilement éviter. En effet, bien qu’aucun CMS ne soit sûr à 100 %, WordPress possède un dispositif de sécurité de qualité pour son logiciel de base. Analysons rapidement quelques données.
Prenons par exemple le rapport 2017 de Sucuri, une société créée dans l’optique de fournir aux webmasters des outils performants pour connaître l’état de sécurité de leurs sites web. D’après ce rapport, 39,3 % des sites WordPress piratés consultés par la société utilisaient un logiciel obsolète au moment de l’incident. En 2016, ce chiffre était de 61 %.
On peut donc dire qu’il y a un lien entre le piratage et l’utilisation d’un logiciel obsolète. De plus, la base de données sur la vulnérabilité de WPScan montre qu’environ 74 % des vulnérabilités enregistrées se trouvent dans le logiciel principal WordPress.
La mise à jour de WordPress, des thèmes et plugins permet de bien sécuriser son site
En dehors du logiciel principal du CMS, il y a également les thèmes et les extensions. Vous le savez l’une des choses qui rend assez intéressantes l’utilisation de cet outil de création de sites web, ce sont les thèmes et extensions pour ajouter des fonctionnalités. Une enquête menée par Wordfence auprès de propriétaires de sites web piratés a révélé que 60 % de ceux-ci attribuaient les attaques à une vulnérabilité du plugin ou du thème. Ajoutons à cela que le rapport Sucuri de 2016 indiquait que seulement 3 plugins représentaient plus de 15 % des sites piratés parmi ceux consultés. Et il faut souligner que ces vulnérabilités avaient déjà été corrigées par les éditeurs. Autrement dit, les propriétaires de sites n’avaient pas pris la peine d’effectuer des mises à jour afin d’appliquer les corrections.
Autre élément assez intéressant à prendre également en compte, ce sont les identifiants d’accès au tableau de bord de sites WordPress. Des études ont montré qu’un grand nombre de piratages ont été possibles, parce que les auteurs ont pu mettre la main sur des identifiants de connexion.
Bien sécuriser son site WordPress
En tenant compte des faits énumérés ci-dessus, plusieurs attaques de sites WordPress pourraient être évitées si les propriétaires prenaient certaines mesures de sécurité. Il est donc fortement recommandé de :
- garder régulièrement à jour le logiciel WordPress, les thèmes et les plugins
- installer uniquement des extensions provenant d’éditeurs fiables
- utiliser des mots de passe hautement sécurisés
- garder son ordinateur à l’abri de virus
- utiliser un certificat TLS (HTTPS) pour crypter les communications
- choisir un hébergeur ou un serveur dédié avec un environnement sécurisé.
