Comment pirater un site WordPress ?

Comment pirater un site WordPress ?

WordPress est l’un des CMS les plus populaires au monde, avec plus de 43% des sites, ce qui en fait une cible privilégiée pour les hackers. Malgré les efforts constants des développeurs de WordPress pour renforcer la sécurité de cette solution, les failles de sécurité restent fréquentes, en particulier dans les plugins et les thèmes qui composent cet écosytème et peuvent causer de graves dommages aux sites et à la réputation de leurs propriètaires. Dans cet article, nous allons aborder quelques failles les plus couramment exploitées par les hackers pour pirater un site WordPress.

Les mots de passe faibles

La première faille de sécurité la plus couramment exploitée est l’utilisation de mots de passe faibles. Les hackers peuvent facilement deviner ou craquer des mots de passe qui sont trop simples ou qui ont été utilisés plusieurs fois. Il est donc recommandé d’utiliser des mots de passe complexes, comprenant des lettres, des chiffres et des caractères spéciaux, et de les changer régulièrement.

Top 10 des mots de passe les plus faibles à éviter

  • 123456
  • 123456789
  • qwerty
  • password
  • 1234567
  • 12345678
  • 12345
  • iloveyou
  • 111111
  • 123123

Ces mots de passe sont très couramment utilisés et sont donc facilement devinables ou craquables par des hackers. Il est donc fortement recommandé d’éviter d’utiliser ces mots de passe et de choisir des mots de passe complexes, composés de lettres, de chiffres et de caractères spéciaux. Il est également important de ne pas réutiliser le même mot de passe pour plusieurs comptes et de les changer régulièrement pour renforcer la sécurité de votre site WordPress ou de vos autres applications ou comptes.

D^8u@&zL#7pK

Ce mot de passe est considéré comme fort car il est composé de 12 caractères alphanumériques, y compris des lettres majuscules et minuscules, des chiffres et des caractères spéciaux. Il est également important de noter que ce mot de passe n’est pas une phrase courante ou un mot du dictionnaire, ce qui le rend encore plus difficile à deviner ou à craquer par des hackers.

Solutions pour générer et stocker en sécurité vos mots de passe

  • LastPass : LastPass est un gestionnaire de mots de passe en ligne qui permet de stocker en sécurité vos mots de passe et de les synchroniser sur tous vos appareils. Il propose également la génération de mots de passe aléatoires et complexes.
  • 1Password : 1Password est un autre gestionnaire de mots de passe en ligne qui offre une fonctionnalité de génération de mots de passe forts et aléatoires. Il stocke également vos mots de passe en toute sécurité et les synchronise sur tous vos appareils.
  • KeePass : KeePass est un gestionnaire de mots de passe open source qui stocke vos mots de passe en toute sécurité sur votre ordinateur. Il propose également une fonctionnalité de génération de mots de passe forts et aléatoires.
  • Bitwarden : Bitwarden est un gestionnaire de mots de passe en ligne, Open source, qui offre une fonctionnalité de génération de mots de passe forts et aléatoires. Il stocke également vos mots de passe en toute sécurité et les synchronise sur tous vos appareils.

Il est important de choisir une solution de gestion de mots de passe fiable et sécurisée pour éviter tout risque de piratage. Il est également recommandé de créer un mot de passe principal fort et de ne jamais le réutiliser pour d’autres comptes, afin de renforcer la sécurité de vos mots de passe.

Attaque par « Bruteforce » (force brute)

L’attaque par force brute, également connue sous le nom de bruteforce, est une technique d’attaque courante utilisée pour deviner les mots de passe et les identifiants de connexion en essayant de nombreuses combinaisons différentes jusqu’à ce que la bonne soit trouvée.

Cette technique d’attaque peut cibler les noms d’utilisateur et les mots de passe pour accéder à un site WordPress. Les attaquants peuvent utiliser des outils automatisés pour tester de nombreuses combinaisons différentes de noms d’utilisateur et de mots de passe en un temps très court.

Les attaques bruteforce peuvent être très efficaces si les mots de passe et les identifiants de connexion sont faibles ou faciles à deviner (cf. point précédent). Les attaquants peuvent également exploiter des failles de sécurité dans des plugins ou des thèmes WordPress pour accéder au site.

Les thèmes et extensions vulnérables

Les thèmes et plugins vulnérables sont une autre source courante de failles de sécurité. Les hackers peuvent exploiter les vulnérabilités de ces éléments pour accéder à votre site WordPress et y insérer du code malveillant. Il est important de toujours installer les dernières versions de vos thèmes et extensions, de limiter leur nombre et de n’utiliser que ceux qui sont régulièrement mis à jour.

Quelques exemples réels de failles de sécurité découvertes dans des thèmes et plugins WordPress :

Vulnerabilité de Cross-Site Scripting (XSS) dans le plugin de formulaire de contact Contact Form 7

En 2019, une vulnérabilité XSS a été découverte dans le plugin Contact Form 7, l’un des plugins de formulaire de contact les plus populaires pour WordPress. Cette faille de sécurité permettait à des hackers de injecter du code malveillant dans les formulaires de contact, pouvant causer des dommages aux sites WordPress. Une mise à jour a été publiée pour corriger cette vulnérabilité.

Vous avez un site WordPress piraté ?
Depuis 19 ans, notre agence est experte en sécurisation et remise en service de sites WordPress ☠️
Thierry Pigot

Vulnérabilité de Cross-Site Scripting (XSS) dans le thème Divi

En 2018, une vulnérabilité XSS a été découverte dans le thème Divi d’Elegant Themes, l’un des thèmes les plus populaires pour WordPress. Cette faille de sécurité permettait à des hackers d’injecter du code malveillant dans les commentaires des utilisateurs, pouvant causer des dommages aux sites WordPress. Une mise à jour a été publiée pour corriger cette vulnérabilité.

Vulnérabilité d’exécution de code arbitraire dans le plugin WP GDPR Compliance

En 2018, une vulnérabilité d’exécution de code arbitraire a été découverte dans le plugin WP GDPR Compliance, un plugin populaire de conformité RGPD pour WordPress. Cette faille de sécurité permettait à des hackers d’exécuter du code malveillant sur les sites WordPress, pouvant causer des dommages importants. Une mise à jour a été publiée pour corriger cette vulnérabilité.

Ces exemples montrent l’importance de maintenir à jour les thèmes et plugins WordPress, car les hackers sont constamment à la recherche de failles de sécurité pour exploiter les sites WordPress. En maintenant régulièrement votre site WordPress à jour et en utilisant des outils de sécurité professionnels, vous pouvez réduire le risque de subir une attaque de hackers.

Les injections SQL

Les injections SQL sont une technique courante utilisée par les hackers pour exploiter les failles de sécurité des sites WordPress. Cette technique consiste à insérer du code SQL malveillant dans les formulaires ou les champs de votre site WordPress pour accéder à la base de données de votre site. Il est important de bien valider et filtrer les entrées des utilisateurs pour éviter ce type d’attaque.

Exemple d’injection SQL

Supposons que votre site WordPress dispose d’un formulaire de connexion qui permet aux utilisateurs de se connecter à leur compte. Si ce formulaire ne filtre pas correctement les entrées des utilisateurs, un hacker pourrait y insérer une requête SQL malveillante qui lui permettrait d’accéder à votre base de données.

Par exemple, le hacker pourrait insérer la requête suivante dans le champ du nom d’utilisateur :

Cette requête est conçue pour contourner le processus d’authentification en utilisant une clause OR pour retourner toutes les entrées de la base de données où l’expression 1=1 est vraie (ce qui est toujours le cas), suivie d’un commentaire pour éviter les erreurs de syntaxe.

Le hacker pourrait alors être en mesure de se connecter au compte de l’utilisateur sans avoir à entrer un mot de passe valide, ou même de modifier la base de données pour y insérer du code malveillant.

Pour éviter ce type d’attaque, il est important de filtrer et de valider toutes les entrées des utilisateurs, en particulier dans les formulaires de connexion, de création de compte et de commentaires, en utilisant des techniques de filtrage de validation telles que les expressions régulières, les fonctions de nettoyage ou les bibliothèques de sécurité WordPress.

Faille XSS (Cross site scripting)

C’est une vulnérabilité de sécurité courante dans les applications Web, qui permet à un attaquant d’injecter du code malveillant (généralement du code JavaScript) dans une page Web affichée par un utilisateur.

Cette injection de code peut être utilisée pour différentes attaques, notamment pour voler des informations d’identification, voler des sessions, ou même prendre le contrôle complet du navigateur de l’utilisateur.

Les attaquants exploitent souvent les failles XSS en envoyant des liens malveillants à des utilisateurs ou en modifiant les formulaires et les entrées de recherche sur un site Web. Lorsqu’un utilisateur clique sur un lien ou entre des données dans un formulaire vulnérable, le code malveillant peut être exécuté sur le navigateur de l’utilisateur.

Exemple de code qui illustre comment une attaque XSS peut être effectuée :

Dans cet exemple, un attaquant injecte un code malveillant dans un champ de saisie de texte ou dans un formulaire de commentaire sur un site WordPress vulnérable à une faille XSS. Le code malveillant est alors exécuté lorsqu’un utilisateur visite la page affectée.

Le code malveillant ci-dessus vole les cookies de l’utilisateur en utilisant le JavaScript pour récupérer les cookies stockés dans son navigateur. Ensuite, les cookies sont envoyés à l’attaquant via une requête GET à un site tiers.

Il est important de souligner que ce code est fourni à titre d’exemple seulement et ne doit pas être utilisé à des fins malveillantes. Il est essentiel de protéger votre site WordPress contre les attaques XSS en utilisant des pratiques de codage sécurisé et en mettant en place des mesures de sécurité appropriées.

Les développeurs WordPress peuvent prévenir les attaques XSS en utilisant des techniques de validation d’entrées de données, en encodant les données envoyées par les utilisateurs et en utilisant des pratiques de codage sécurisé. Ils peuvent également utiliser des plugins de sécurité pour WordPress, tels que Wordfence ou Sucuri, qui détectent et bloquent les attaques XSS.

Les utilisateurs de WordPress peuvent également protéger eux-mêmes en mettant à jour régulièrement leur site WordPress et leurs plugins, en évitant d’utiliser des thèmes ou des plugins non fiables, et en installant des extensions de navigateur qui bloquent les scripts malveillants.

Faille LFI (Local file intrusion)

La faille LFI (Local File Inclusion) est une autre vulnérabilité courante de sécurité des sites WordPress. Elle permet à un attaquant d’accéder et de lire des fichiers sensibles sur le serveur hébergeant le site WordPress.

Les attaquants peuvent exploiter la faille LFI en fournissant des chemins de fichiers relatifs ou absolus pour accéder à des fichiers sur le serveur. Une fois qu’ils ont accès à ces fichiers, ils peuvent exécuter du code malveillant, lire des fichiers contenant des informations sensibles, et même prendre le contrôle du serveur.

Dans le cas de WordPress, une faille LFI peut être exploitée en passant des paramètres malveillants aux fonctions qui sont utilisées pour inclure des fichiers locaux. Par exemple, le plugin TimThumb, qui est souvent utilisé pour redimensionner des images sur les sites WordPress, a été victime de nombreuses attaques LFI dans le passé.

Les développeurs WordPress peuvent prévenir les attaques LFI en utilisant des pratiques de codage sécurisé, en restreignant l’accès aux fichiers sensibles sur le serveur, et en utilisant des fonctions de sécurité intégrées pour l’inclusion de fichiers. Les utilisateurs peuvent également protéger leur site WordPress en utilisant des plugins de sécurité pour WordPress, en mettant à jour régulièrement leur site et leurs plugins, et en évitant d’utiliser des thèmes ou des plugins non fiables.

Faille 0Day

La faille 0Day est une vulnérabilité de sécurité dans un logiciel qui est inconnue du développeur et des utilisateurs. Les attaquants peuvent exploiter cette faille pour accéder à des informations sensibles, installer des logiciels malveillants ou prendre le contrôle d’un système informatique.

Avec WordPress, une faille 0Day peut permettre à un attaquant de contourner les mesures de sécurité du site et de prendre le contrôle total du site. Par exemple, si une faille 0Day est découverte dans le noyau de WordPress, elle peut permettre à un attaquant de prendre le contrôle du site sans même avoir besoin d’un nom d’utilisateur ou d’un mot de passe valides.

Les failles 0Day sont particulièrement dangereuses car elles peuvent être exploitées avant que les développeurs ne puissent publier un correctif de sécurité pour le logiciel vulnérable. Les attaquants peuvent utiliser ces failles pour lancer des attaques ciblées sur des sites Web spécifiques, ce qui peut causer des dommages importants.

L’absence de sauvegarde

L’absence de sauvegarde est une faille de sécurité souvent négligée. Si votre site WordPress est piraté, vous pouvez perdre toutes vos données, y compris vos fichiers, votre base de données et votre configuration. Il est donc crucial de faire des sauvegardes régulières de votre site WordPress, idéalement dans un endroit sécurisé et en utilisant des outils professionnels.

Deux solutions pour gérer vos sauvegardes WordPress, à la fois en interne et en externe :

  • UpdraftPlus : UpdraftPlus est un plugin de sauvegarde WordPress gratuit et populaire qui permet de sauvegarder votre site WordPress en interne ou en externe. Il offre la possibilité de sauvegarder votre site WordPress sur une variété de services cloud tels que Google Drive, Dropbox, Amazon S3, etc. Il vous permet également de programmer des sauvegardes régulières pour garantir que vos données sont toujours sécurisées et à jour.
  • Jetpack Backup : Jetpack Backup est une autre solution de sauvegarde WordPress qui offre des fonctionnalités similaires à UpdraftPlus. Jetpack Backup est développé par Automattic, la société qui développe également WordPress.com, ce qui garantit une compatibilité totale avec WordPress. Il permet également de sauvegarder votre site WordPress sur une variété de services cloud tels que VaultPress, Google Drive, etc.

Ces deux solutions sont simples à utiliser et offrent une gamme de fonctionnalités pour répondre à tous vos besoins de sauvegarde WordPress, qu’il s’agisse de sauvegardes internes ou externes. Il est important de toujours sauvegarder votre site WordPress régulièrement pour protéger vos données en cas d’attaques de hackers ou de perte de données inattendue.

Nous voyons donc que les hackers peuvent utiliser plusieurs techniques pour pirater un site WordPress. Les mots de passe faibles, les thèmes et plugins vulnérables, les injections SQL et l’absence de sauvegarde sont les failles de sécurité les plus couramment exploitées. Il est donc crucial de mettre en place des mesures de sécurité solides pour protéger votre site WordPress, telles que des mots de passe forts, des mises à jour régulières des thèmes et extensions, des filtres de validation pour les entrées des utilisateurs, des sauvegardes régulières et l’utilisation d’outils professionnels de sécurité WordPress.

Nous espérons que cet article vous a fourni des informations utiles pour protéger votre site WordPress et éviter les piratages. Si vous avez des questions ou des préoccupations concernant la sécurité de votre site WordPress, n’hésitez pas à contacter notre équipe d’experts en sécurité WordPress chez WP Assistance.

Vous avez un site WordPress piraté ?
Depuis 19 ans, notre agence est experte en sécurisation et remise en service de sites WordPress ☠️

Thierry Pigot

Vous aimerez aussi lire
Questions fréquemment posées
A propos de Thierry Pigot
Fondateur WP Assistance - CEO WeAre[WP], Agence WordPress

Thierry est un expert WordPress basé en France. Il a plus de 15 ans d’expérience dans le développement Web et le référencement professionnel. Il est reconnu pour ses compétences et son expertise en matière de développement et de gestion de sites Web WordPress.

Vous souhaitez travailler avec notre agence ?