Votre site est compromis par un pirate ou un robot

Votre site est compromis par un pirate ou un robot

La plupart des gens supposent que si leur site Web a été compromis, il doit y avoir eu un attaquant évaluant leur site et cherchant une vulnérabilité spécifique au piratage.

Dans la plupart des cas, cependant, les mauvais acteurs ne choisissent pas manuellement les sites Web à attaquer, car c’est un processus fastidieux et chronophage.

Ils s’appuient plutôt sur l’automatisation pour identifier les sites Web vulnérables et exécuter leurs attaques.

La triste réalité est que les sites Web grands ou petits sont ciblés quotidiennement et que la majorité de ces attaques sont automatisées.

L’automatisation est populaire auprès des mauvais acteurs

Il est plus facile de compromettre rapidement de nombreux sites plutôt que sur une base individuelle, ce qui permet une exposition de masse.

Ainsi, en 2016, 28% des attaques étaient imputables à des robots (Bots).

Les frais généraux sont réduits lorsque vous pouvez identifier les sites Web vulnérables et exécuter un compromis simultanément.
Les chances de succès augmentent lorsque vous pouvez communiquer rapidement entre l’hôte et l’attaquant.
Les outils sont facilement disponibles, ce qui en fait une méthode accessible pour les utilisateurs inexpérimentés.
Pour aider les petits propriétaires de sites Web à atténuer le risque d’un compromis par des attaques automatisées, voici quelques techniques ci-dessous.

Mise à jour des correctifs

La plupart des attaques sont effectuées par des robots qui grattent les listes de sites Web et vérifient une série de vulnérabilités communes qui peuvent être facilement exploitées. La majorité de ces tentatives concernent des vulnérabilités qui ont déjà été divulguées et rendues publiques, mais les utilisateurs n’ont pas mis à jour leur logiciel assez rapidement.

Un bon exemple de cela est la vulnérabilité du plugin RevSlider pour WordPress à partir de 2014. Même aujourd’hui, il est encore couramment exploité par les attaquants, mais soit les utilisateurs n’en sont pas conscients et ne mettent pas à jour le plugin, soit les composants RevSlider sont inclus avec le thème, donc les utilisateurs doivent mettre à jour le thème, ce qui cause des problèmes.

De nombreux thèmes (même des thèmes premium comme Newspaper et Newsmag) ont été abandonnés depuis longtemps ; leurs auteurs ne les mettent plus à jour, ce qui rend impossible la correction des vulnérabilités à moins que le propriétaire du site Web soit prêt à embaucher un développeur voire refondre un site.

Certains des thèmes premium sont mis à jour, souvent l’utilisateur doit acheter la nouvelle version ou le patch qu’ils ont – ce qui peut ne pas être aussi simple que la mise à jour via le tableau de bord WordPress.

Le problème n’est pas seulement exclusif à WordPress, il en va de même pour les autres systèmes de gestion de contenu. Joomla a un certain nombre de vulnérabilités, ce qui rend la mise à niveau plus difficile pour les utilisateurs.

Dans de nombreux cas, nous voyons même des sites Web Joomla exécutant des composants JCE obsolètes qui sont connus pour être vulnérables depuis quelques années. Malheureusement, les propriétaires de sites Web ne sont pas encore conscients de la vulnérabilité et ne mettent pas à jour leur CMS, ce qui entraine des exploits et des sites Web compromis.

Protéger le backend

Protéger votre interface d’administrateur contre les attaques par force brute peut être assez simple et peut aider à dissuader les attaques automatisées.

Une bonne solution serait d’ajouter l’authentification multifactorielle (comme 2FA) à votre zone d’administration pour empêcher les robots d’essayer de deviner le nom d’utilisateur et le mot de passe. Cette solution ajoutera une autre méthode d’authentification que seul l’utilisateur qui essaie d’accéder à la zone d’administration possède, comme un téléphone portable qui recevra le jeton pour conclure l’authentification.

Il existe d’autres méthodes pour ajouter une protection au backend du site qui peuvent ne pas être aussi conviviales qu’un plugin, mais qui peuvent aussi augmenter la sécurité, par exemple :

  • Mettre en place un jeton caché sur des pages protégées, ce qui peut être aussi simple qu’un champ caché que les utilisateurs ne voient pas mais que les robots le feraient. Lorsque le bot tente de remplir le champ, celui-ci peut alors être utilisé pour identifier cette requête comme provenant d’un bot non sollicité.
  • Configurer un fichier.htaccess pour n’autoriser qu’une liste d’adresses IP (assez difficile à maintenir si votre adresse IP change trop souvent).
  • Utiliser un fichier htpasswd avec le fichier.htaccess pour ajouter une autre couche d’authentification à la page d’administration : http://httpd.apache.org/docs/current/howto/auth.html (ceci ne compte pas comme 2FA puisque le mot de passe n’est pas quelque chose que l’utilisateur possède).

Joomla 3 a déjà intégré un 2FA sur le CMS, mais doit être configuré. Vous pouvez voir comment faire cela et l’activer sur les formulaires dont vous avez besoin à partir de leur documentation : https://docs.joomla.org/J3.x:Two_Factor_Authentication

Une fois que cela se produit, l’impact sur votre site Web peut être préjudiciable. Votre site Web peut être placé sur une liste de sites Web qui ont été signalés comme vulnérables et compromis.

Dans la plupart des cas, le même bot qui a marqué votre site Web, sera en mesure d’exploiter la vulnérabilité, de télécharger des logiciels malveillants en utilisant le trou de sécurité, et de faire un rapport à l’attaquant. Cela permet au bot d’exploiter davantage le site, de télécharger du phishing ou de l’utiliser dans leur campagne de spam – ce qui n’est pas bon pour votre site web ou vos visiteurs.

Peu de temps après qu’un site Web a été compromis par une attaque automatisée, Google et d’autres moteurs de recherche le parcourent et (dans la plupart des cas) détectent qu’il y a des logiciels malveillants. Cela peut mener à une liste noire, à des impacts négatifs sur votre trafic et à de mauvais classements.

Gestion des mots de passe

L’utilisation de mots de passe peu surs ou simples pour votre interface d’administrateur, FTP ou panneau de contrôle peut également entrainer la compromission de votre site Web.

Je vous recommande fortement d’utiliser un gestionnaire de mots de passe qui peut générer un mot de passe fort pour vous. Le gestionnaire de mots de passe doit garder vos mots de passe cryptés, complexes et uniques. Il n’est pas nécessaire de s’en souvenir. Il vous suffit de connaitre le mot de passe de votre gestionnaire de mots de passe pour accéder aux autres.

Un certain nombre de gestionnaires de mots de passe populaires existent, mais je recommande l’utilisation de LastPass car il s’agit d’un logiciel qui fonctionne sur une grande variété de plateformes.

J’ai vais réaliser un certain nombre d’articles qui pourront vous aider à sécuriser davantage votre installation WordPress, et des vidéos tutoriels surtout pour apprendre à paramétrer vos plug-ins et à configurer au mieux WordPress.

Car il y a de nombreux sujets à parcourir :

  • Brute Force
  • Firewall
  • Content Security Privacy
  • XSS & ClickJacking
  • Les sauvegardes
  • La double authentification…

Et tout autant de logiciels/méthodes/plug-ins intéressants pour régler ces cas de figure

Mais tout ceci vous le découvrirez à la rentrée prochaine, en revenant biens bronzés !

eget ut mi, venenatis ut efficitur. in