WordPress est un Système de Gestion de contenu open source très populaire.
Comme tout système informatique populaire, il est la cible d’attaques, de logiciels malveillants.
Mais vous pouvez vous demander pourquoi et surtout comment les hackers arrivent à pirater un site WordPress ?
Ce tutoriel vous explique pourquoi et comment les hackers piratent votre site WordPress.
Dans quel but les hackers s’en prennent à votre site WordPress ?
Table des matières
Pourquoi pirater votre site WordPress ?
Voici les principaux buts de la compromission d’un site WordPress les plus courants.
Defacing de page d’index afin de propager un message à but politique.
Les pirates modifient les sites afin d’afficher un message à caractères politiques.
Cela peut aussi liés à des concurrences entre groupes de pirates et défi pour définir celui qui piratent le plus du site.
Injecter du code malveillant dans les pages PHP ou modifier les fichiers .htaccess.
Le but est de rediriger les internautes vers du contenu publicitaire ou malveillants.
Ainsi lors de la connexion au site, au lieu d’afficher les pages, le visiteur est redirigé vers des publicités afin que les pirates gagnent de l’argent.
- Afficher des arnaques comme une arnaque de support téléphonique
- Par exemple charger des Exploits sur les sites WEB piégés
- Rediriger vers des publicités
Utiliser le serveur pour mener des attaques.
Par exemple, envoyer des mails de spam ou encore utiliser le serveur pour effectuer des attaques DoS ou balayage de ports/ports de scan.
Le pirate dépose en général un script PHP qui effectue ces opérations.
Enfin le pirate peut tenter aussi de déposer un trojan sur le serveur WEB pour le faire rejoindre un botnet.
Voler des données : La compromission d’un site permet en général l’accès à la base de données.
Ainsi le pirate peut voler des informations.
Par exemple, dans le cas d’un site de commerce, cela peut concerner la base client ou encore les articles pour reproduire de faux sites d’achats.
WordPress possède des extensions pour transformer un site en site de commerce notamment avec WP Shop, WooCommerce, …
Les pirates peuvent tenter de voler des cartes ou données bancaires de vos acheteurs en injectant des scripts sur les pages de paiements.
Ces attaques ne somment Shop Skimming.
Voici quelques exemples de campagnes malveillantes visant les sites WordPress :
- worpress.net / wordpress-update.com : Piratage WordPress
Exemple d’un piratage/hack WordPress - Campagne de piratage WordPress : fausse mise à jour Flash
- VisitorTracking : Campagne WordPress Malicieux
Par exemple sur l’article suivant WordPress Timthumb Viagra Attack : klikcentral.com / glavgen.com le code ajouté redirige les internautes vers un faux site pharmaceutique.
Comment les hackers piratent votre site WordPress
Les sources de piratage de votre site internet proviennent généralement de négligence ou méconnaissance technique.
Ainsi, vous créez des points d’entrée qui permettent le piratage manuelle ou automatisé à partir de bots scannant les sites sur internet.
Les sources qui permettent et conduisent à un piratage peuvent venir de vulnérabilités qui se trouvent à différents “étages” du site.
La page suivante donne les éléments généraux des piratages et hacks de site internet : Piratage de site WEB
Vous trouverez un exemple sur les pages suivantes des exemples de piratage WordPress :
- [fr] Exemple d’un piratage/hack WordPress
- OVH Mutualisé : piratage et blocage de site WEB
- [fr/en] Backdoor.Perl.Shellbot.B et Backdoor.Linux.Tsunami.A
Vulnérabilités propres aux serveurs
Les vulnérabilités propres au serveur et non liées directement au site WordPress comme des vulnérabilités sur le système d’exploitation ou le serveur WEB, PHP aboutissant à l’exécution de code à distance.
Dans le cas d’un Serveur Apache/PHP/MySQL si vous cherchez des conseils pour sécuriser ce dernier, reportez-vous à notre article : Sécuriser un serveur Apache/PHP/MySQL (LAMP)
Dans le cas d’un serveur mutualisé, vous n’avez pas à gérer cette partie puisque vous n’en n’êtes pas l’administrateur.
Vulnérabilités liées à WordPress et extensions
Les vulnérabilités liées à WordPress ou aux extensions installées peuvent permettre l’accès et la modification du site.
Elles permettent à un pirate de mener des attaques SQLi, RFI, Cross-Site Scripting pour compromettre un site internet.
Comme en témoigne ce post par exemple : WordPress Hack : Timthumb attack Pensez à maintenir à jour votre installation.
Plus vous installez d’extensions, plus vous augmentez votre surface d’attaque puisque vous augmentez les chances qu’une des extensions installées possèdent des vulnérabilités.
D’autre part, cela peut causer des ralentissements de WordPress : Comment accélérer/optimiser WordPress
WordPress a fait beaucoup d’efforts ces dernières années, notamment en proposant la possibilité de mise à jour de sécurité automatique pour le core et les extensions.
Ainsi, la plupart des installations de WordPress se maintiennent à jour sans interventions humains réduisant le nombre de sites vulnérables.
Un autre point d’accès est une faiblesse sur un compte administrateur WordPress.
Sécuriser l’accès au panneau d’administration, même si un mot de passe a été récupéré peut donc être utile.
Null Plugins ou thèmes
Les thèmes et plugins de WordPress annulés sont des copies piratées des thèmes de WordPress payés et des plugins répartis de manière non éthique sur Internet.
Les thèmes WordPress et les plugins sont sous licence sous GPL. Cela leur donne le pouvoir de redistribuer ces articles annulés.
La redistribution de ces thèmes et plug-ins WordPress annulés ne provoque pas seulement une perte énorme pour les développeurs, mais surtout, il compromet la sécurité et l’intégrité des sites Web utilisant ces thèmes et plugins WordPress annulés.
Certains auteurs de malwares n’hésitent pas à redistribuer des copies d’extensions en ajoutant un code malveillant.
Si un administrateur télécharge et installe cette extension, il permet un accès à son site WordPress au pirate.
Par des malwares sur votre PC
Votre ordinateur peut servir de point d’entrée pour compromettre votre site WordPress
En effet, certains malwares et notamment des trojans Stealer peuvent voler les identifiants FTP qui peuvent permettre la modification de votre PC, d’autres malwares sont spécialement créés afin d’infecter les sites, par exemple : Hack WEB site par vol FTP.
Enfin le logiciel malveillant peut aussi récupérer et voler le mot de passe de connexion au panneau d’administration de WordPress.
Dans ce cas, vous pouvez sécuriser votre ordinateur :
Négligence et mauvaise configuration
Outre ne pas maintenir son serveur/installation de WordPress à jour, les négligences les plus communes :
- Laisser le répertoire d’installation
- Utiliser un mot de passe administrateur trop simple
- S’identifier en tant qu’administrateur depuis un réseau non sécurisé (Wifi public, cybercafé etc.. ) cible des attaques MiTM
Noter que votre serveur WEB est en permanence scanné par des bots qui tentent des hack en automatique, très souvent des attaques RFI (Remote File Inclusion) sont tentées.
Si une vulnérabilité est découverte, on assistera alors à une recrudescence des attaques tentant d’exploiter la vulnérabilité le temps que les mises à jour correctrices s’installent.
Exemple avec la vulnérabilité ThimThumb. Donc ne pas tomber dans la paranoïa, les tentatives de hacks sont normales.
Enfin les attaques par bruteforce pour trouver et cracker les mots de passe administrateur sont fréquentes.
Elles fonctionnent lorsque des comptes utilisateurs avec des mots de passe faibles existent.
Il faut donc bien gérer vos comptes utilisateurs.
La vidéo suivante montre le piratage d’un site WordPress à partir d’un utilisateur administrateur ayant un mot de passe faible :
Liens
- Désinfecter un site WordPress
- Pourquoi et comment les hackers piratent un site WordPress
- Wordfence : Protéger WordPress avec un Firewall et scan anti-malware
- Wordfence : Supprimer les backdoor, web shells, malwares de WordPress
- 8 extensions de sécurité pour protéger WordPress des malwares
- Comment détecter les PHP Backdoor ou Web Shells
- Faire un audit de sécurité WordPress
- Website File Changes Monitor : Surveiller les modifications de WordPress
- CDN : optimisation et sécurité WordPress
- Sucuri WordPress Security Plugin : sécurité et protection
- Website File Changes Monitor : Surveiller les modifications de WordPress