Pourquoi et comment les hackers piratent votre site WordPress

WordPress est un Système de Gestion de contenu open source très populaire.
Comme tout système informatique populaire, il est la cible d'attaques, de logiciels malveillants.
Mais vous pouvez vous demander pourquoi et surtout comment les hackers arrivent à pirater un site WordPress ?

Ce tutoriel vous explique pourquoi et comment les hackers piratent votre site WordPress.
Dans quel but les hackers s'en prennent à votre site WordPress ?

Pourquoi et comment les hackers piratent votre site WordPress

Pourquoi pirater votre site WordPress ?

Voici les principaux buts de la compromission d'un site WordPress les plus courants.

Defacing de page d'index afin de propager un message à but politique.
Les pirates modifient les sites afin d'afficher un message à caractères politiques.
Cela peut aussi liés à des concurrences entre groupes de pirates et défi pour définir celui qui piratent le plus du site.

Site défacé pour un message politique

Injecter du code malveillant dans les pages PHP ou modifier les fichiers .htaccess.
Le but est de rediriger les internautes vers du contenu publicitaire ou malveillants.
Ainsi lors de la connexion au site, au lieu d'afficher les pages, le visiteur est redirigé vers des publicités afin que les pirates gagnent de l'argent.

Utiliser le serveur pour mener des attaques.
Par exemple, envoyer des mails de spam ou encore utiliser le serveur pour effectuer des attaques DoS ou balayage de ports/ports de scan.
Le pirate dépose en général un script PHP qui effectue ces opérations.
Enfin le pirate peut tenter aussi de déposer un trojan sur le serveur WEB pour le faire rejoindre un botnet.

Page malveillant pour effectuer une attaque DoS UDP

Voler des données : La compromission d'un site permet en général l'accès à la base de données.
Ainsi le pirate peut voler des informations.
Par exemple, dans le cas d'un site de commerce, cela peut concerner la base client ou encore les articles pour reproduire de faux sites d'achats.

WordPress possède des extensions pour transformer un site en site de commerce notamment avec WP Shop, WooCommerce, ...
Les pirates peuvent tenter de voler des cartes ou données bancaires de vos acheteurs en injectant des scripts sur les pages de paiements.
Ces attaques ne somment Shop Skimming.

Voici quelques exemples de campagnes malveillantes visant les sites WordPress :

Par exemple sur l'article suivant WordPress Timthumb Viagra Attack : klikcentral.com / glavgen.com le code ajouté redirige les internautes vers un faux site pharmaceutique.

Comment les hackers piratent votre site WordPress

Les sources de piratage de votre site internet proviennent généralement de négligence ou méconnaissance technique.
Ainsi, vous créez des points d'entrée qui permettent le piratage manuelle ou automatisé à partir de bots scannant les sites sur internet.

Les sources qui permettent et conduisent à un piratage peuvent venir de vulnérabilités qui se trouvent à différents "étages" du site.
La page suivante donne les éléments généraux des piratages et hacks de site internet : Piratage de site WEB
Vous trouverez un exemple sur les pages suivantes des exemples de piratage WordPress :

Vulnérabilités propres aux serveurs

Les vulnérabilités propres au serveur et non liées directement au site WordPress comme des vulnérabilités sur le système d'exploitation ou le serveur WEB, PHP aboutissant à l'exécution de code à distance.

Dans le cas d'un Serveur Apache/PHP/MySQL si vous cherchez des conseils pour sécuriser ce dernier, reportez-vous à notre article : Sécuriser un serveur Apache/PHP/MySQL (LAMP)
Dans le cas d'un serveur mutualisé, vous n'avez pas à gérer cette partie puisque vous n'en n'êtes pas l'administrateur.

Vulnérabilités liées à WordPress et extensions

Les vulnérabilités liées à WordPress ou aux extensions installées peuvent permettre l'accès et la modification du site.
Elles permettent à un pirate de mener des attaques SQLi, RFI, Cross-Site Scripting pour compromettre un site internet.
Comme en témoigne ce post par exemple : WordPress Hack : Timthumb attack Pensez à maintenir à jour votre installation.
Plus vous installez d'extensions, plus vous augmentez votre surface d'attaque puisque vous augmentez les chances qu'une des extensions installées possèdent des vulnérabilités.
D'autre part, cela peut causer des ralentissements de WordPress : Comment accélérer/optimiser WordPress

WordPress a fait beaucoup d'efforts ces dernières années, notamment en proposant la possibilité de mise à jour de sécurité automatique pour le core et les extensions.
Ainsi, la plupart des installations de WordPress se maintiennent à jour sans interventions humains réduisant le nombre de sites vulnérables.

Un autre point d'accès est une faiblesse sur un compte administrateur WordPress.
Sécuriser l'accès au panneau d'administration, même si un mot de passe a été récupéré peut donc être utile.

Null Plugins ou thèmes

Les thèmes et plugins de WordPress annulés sont des copies piratées des thèmes de WordPress payés et des plugins répartis de manière non éthique sur Internet.
Les thèmes WordPress et les plugins sont sous licence sous GPL. Cela leur donne le pouvoir de redistribuer ces articles annulés.

La redistribution de ces thèmes et plug-ins WordPress annulés ne provoque pas seulement une perte énorme pour les développeurs, mais surtout, il compromet la sécurité et l'intégrité des sites Web utilisant ces thèmes et plugins WordPress annulés.

Certains auteurs de malwares n'hésitent pas à redistribuer des copies d'extensions en ajoutant un code malveillant.
Si un administrateur télécharge et installe cette extension, il permet un accès à son site WordPress au pirate.

Par des malwares sur votre PC

Votre ordinateur peut servir de point d'entrée pour compromettre votre site WordPress

En effet, certains malwares et notamment des trojans type Stealer peuvent voler les identifiants FTP qui peuvent permettre la modification de votre PC, d'autres malwares sont spécialement créés afin d'infecter les sites, par exemple : Hack WEB site par vol FTP.
Enfin le logiciel malveillant peut aussi récupérer et voler le mot de passe de connexion au panneau d'administration de WordPress.

Dans ce cas, vous pouvez sécuriser votre ordinateur :

Négligence et mauvaise configuration

Outre ne pas maintenir son serveur/installation de WordPress à jour, les négligences les plus communes :

  • Laisser le répertoire d'installation
  • Utiliser un mot de passe administrateur trop simple
  • S'identifier en tant qu'administrateur depuis un réseau non sécurisé (Wifi public, cybercafé etc.. ) cible des attaques MiTM

Noter que votre serveur WEB est en permanence scanné par des bots qui tentent des hack en automatique, très souvent des attaques RFI (Remote File Inclusion) sont tentées.
Si une vulnérabilité est découverte, on assistera alors à une recrudescence des attaques tentant d'exploiter la vulnérabilité le temps que les mises à jour correctrices s'installent.
Exemple avec la vulnérabilité ThimThumb. Donc ne pas tomber dans la paranoïa, les tentatives de hacks sont normales.

Enfin les attaques par bruteforce pour trouver et cracker les mots de passe administrateur sont fréquentes.
Elles fonctionnent lorsque des comptes utilisateurs avec des mots de passe faibles existent.
Il faut donc bien gérer vos comptes utilisateurs.

La vidéo suivante montre le piratage d'un site WordPress à partir d'un utilisateur administrateur ayant un mot de passe faible :