Les 5 plus grandes vulnérabilités de WordPress

  • ARTICLES
  • /
  • LES 5 PLUS GRANDES VULNÉRABILITÉS DE WORDPRESS

WordPress est une communauté dédiée à tous les niveaux de compétences techniques d'administration d’un blog. Il est vivement recommandé de connaître ses vulnérabilités, pour s’être fixé, commencer l’aventure du web sans être surpris, et protéger aux mieux votre blog.



Peut-on faire confiance à WordPress ?



D’un côté oui, et d’un autre non. WordPress est open source, ce qui laisse les hackers plus de possibilités d’attaque, et d’intrusion.



En revanche, il faut reconnaître que les mises à jour des thèmes et plug-ins s’efforcent régulièrement d’éradiquer les correctifs des versions précédentes, dont le code a été victime d’une attaque. Au niveau de la sécurité, des études ont révélé que 52% des vulnérabilités découlent des plug-ins, 37% de la base de données du site, et 11% de thèmes WordPress.



1. Les Attaques par brute force



En général, plus de trois tentatives de connexion à une page d’authentification provoquent la suspension, voire la désactivation d’un compte d’utilisateur. Dès lors, WordPress ne limite pas les tentatives de connexion. Les botnets ou hackers auront alors suffisamment le temps d’essayer toutes les combinaisons possibles de login/mot de passe pour déterminer au final, la combinaison, et s’attaquer par « brute force » à l’administration du site.



À point nommé, les attaques par brute force consomme une importante ressource, ce qui surcharge l’hébergement, et sera facilement identifié. Votre compte sera suspendu.



2. La faille LFI – Local File Inclusion



Wp-config.php est le fichier le plus important dans l’installation WordPress. C’est le collimateur principal des attaquants. Ces derniers exploitent le code PHP du site par LFI, pour pouvoir générer des fichiers à distance, servant à accéder aux fichiers wp-config.php.



3. Les injections SQL



C’est l’équivalent d’une injection par overdose d’un individu victime d’un harcèlement physique. MySQL est le fournisseur de base de données de WordPress. Si votre site est victime d’une injection SQL, attendez à avoir un nom d’utilisateur ayant le plein pouvoir pour gérer votre site, tel que l’insertion de données à votre insu. C’est pourquoi il est fortement recommandé de ne pas utiliser admin comme utilisateur par défaut.



4. Le Cross-Site Scripting (XSS ou CSS)



Les attaques Cross-Site Scripting consistent à forcer un site Internet à afficher du code HTML ou des scripts saisis par l’utilisateur. Le code ainsi injecté dans le site vulnérable aura un caractère malicieux. Par exemple, une méthode _get ou _post d’un renvoi de résultat d’un formulaire détourné sera le bouc émissaire d’un vol de donnée via les informations saisies.



5. Les malwares



Un malware ou simplement, un logiciel malveillant est un code utilisé pour obtenir un accès non autorisé à un site Internet pour récupérer des informations sensibles. Chez WordPress, les malwares s’introduisent dans l’arborescence des fichiers d’installation, et modifient ceux dont ils veulent. Le meilleur remède, c’est de vérifier les fichiers récemment modifiés à votre gré.