WordPress est le CMS le plus populaire utilisé sur Internet avec plus de 26% des parts de marché (août 2016).
La sécurité dans le Web et dans WordPress est parfois prise comme un acquis. Les failles WordPress peuvent toujours être dans le cœur, dans d’anciennes versions, c’est pourquoi vous devez vous tenir à jour.
Une chose qui peut être faite est d’activer les mise à jour du cœur pour être certains d’obtenir les patches au jour 1.
WordPress vulnérable ?
Quand une faille WordPress est découverte, vous pouvez être certains et certaines à 99,99% qu’un correctif est déjà disponible, inclus dans une nouvelle version mineure de votre CMS préféré, WordPress.
Donc théoriquement, WordPress est sécurisé, quand vous êtes à jour, et seulement.
Maintenant, souvenez-vous que les plugins et les thèmes sont le vecteur numéro 1 quand on parle de hacker un site WordPress.
Voici quelques méthodes pour trouver des failles WordPress sur des sites, juste en vérifiant le front-office, sans même regarder du code.
Tester la page de login
Les attaquants essaieront de brute-forcer votre mot de passe. En premier ils vont devoir trouver votre page de connexion, mais sur un site WordPress cette page est très facilement trouvée. Tapez simplement http://example.com/admin
et vous serez redirigé(e) sur la page de connexion si nous n’êtes pas connecté(e).
Puis les pirates essaieront des noms d’utilisateurs courants comme admin
, administrator
ou même votre nom de domaine, votre propre nom etc, le but étant d’avoir le message d’erreur de WordPress indiquant que le mot de passe est incorrect, ce qui signifie que le nom d’utilisateur a été trouvé.
Maintenant ils vont régler un brute-force contre cette page, utiliser ce nom découvert et tenter de deviner votre mot de passe, j’espère que vous en avez un fort, ou sinon ils le trouveront c’est certain.
Ici, la faille WordPress se trouve dans le fait que la page de connexion est connue de tout le monde et aussi que votre mot de passe soit faible (il ne l’est pas ?!).
Comment prévenir ça
- Vous devez déplacer la page de connexion, les pirates et les bots seront naturellement bloqués puisqu’ils ne pourront même pas faire un seul essai.
- Utiliser un mot de passe fort et forcer vos utilisateurs à le faire pour une meilleure sécurité.
- Aussi, bloquer les tentatives de connexion est une bonne idée.
- Même chose pour l’auto-bannissement des tentatives sur des noms qui n’existent pas sur votre site.
Frapper la page d’accueil en boucle
Les bots et les attaquants veulent trouver des informations sensibles sur votre site WordPress. Cela peut être des dossiers, des fichiers, des accès etc. Ils utilisent des logiciels comme l’ancien DirBuster ou le nouveau Zed Attack Proxy de l’OWASP.
Ce logiciel va ouvrir des pages sur votre site, tentant de nombreuses URLs afin d’en trouver des positives, celles qui existent bien chez vous, espérant y trouver quelque chose d’intéressant.
Il est courant de trouver des dossier test
ou admin
, tout comme un sous-domaine http://dev.
, et même chose pour les fichiers du genre config.old
ou backup.zip
.
La faille WordPress se trouve dans le fait que beaucoup de personnes utilisent des dossiers temporaires pour y garder des données sensibles et oublient de les supprimer. Aussi l’autre faille est de laisser les robots chercher ces contenus, vous devez bien évidemment bloquer ça.
Comment prévenir ça
- Vous devez utiliser un anti brute-force sur toutes vos pages WordPress
- Vous devez bloquer les mauvais contenus dans les requêtes
- Vous devez bloquer les trop longues URLs
Utiliser un autre User-Agent
Un User-Agent est une signature d’un navigateur, chaque navigateur a la sienne, même les bots qui trainent sur votre site en ont une à eux. Par exemple quand Google visite votre site pour l’indéxer, son User-Agent connu est Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html
.
Les mauvais robots ou les robots connus pour être malicieux ont aussi leur propre User-Agent, ils ne sont pas les bienvenus sur votre site, vous n’en avez pas besoin, ils ne sont que des voleurs de contenus, des récupérateur d’adresses emails, ce genre de choses.
Aussi un User-Agent peut être modifié et peut contenir des choses comme des balises <script>
, si un de vos plugins ou thèmes ou script personnel se fie à ça, vous pourriez être trompé(e), ce n’est pas bon du tout.
Comment prévenir ça
- Vous devez bloquer les mauvais robots
- Vous devez bloquer les mauvais User-Agents
Essayer une autre méthode de requête
Quand vous visitez un site, vous utilisez la méthode GET. Quand vous envoyez un formulaire vous utilisez la méthode POST. Vous avez peut-être déjà entendu parler de ça, mais saviez-vous qu’il en existe plein d’autres ?
HEAD
, CONNECT
, DELETE
, PUT
, PATCH
, TRACE
, TRACK
, OPTIONS
, ou AUTRECHOSE
sont d’autres méthodes et certaines ne sont pas utilisées par WordPress, vous n’en avez pas besoin.
Les attaquants pourraient utiliser une de ces méthodes sur votre site Web, obtenir des informations sensibles, vous ne voulez pas de ça, cela peut mener à une autre faille WordPress.
Comment prévenir ça
- Vous devez bloquer les méthodes de requêtes non désirées
Trouvez des failles WordPress ne se fait pas en 4 étapes, et comme je l’ai dis nous n’avons même pas parlé du code. La sécurité est un travail de tous les jours et vous devriez y prêter attention.
SecuPress pourrait vous aider à réduire le temps passé pour ça.
Avez-vous déjà trouvé des failles ? Dites-nous comment !