Retour

Protéger son site web et ses données

Auteur

Christopher

Date

20/06/2022

Protéger son site web et ses données

Wordpress et les développeurs

Des milliers d'attaques sont recensées chaque seconde sur les sites web. Il existe un CMS qui fait les frais de ces attaques répétitives: Wordpress.

Wordpress est le CMS par excellence permettant de développer un site web rapidement et facilement mais il n'est pas sans risques. Les modules développés pour Wordpress comportent parfois des failles de sécurité.

Les modules sont développés en général par des développeurs externes à l'équipe Wordpress, ceux-ci ont des métodes de développement propres à chacun. La faille ne viendrait pas de là mais de la logique elle-même du développement. Par exemple une faille très simple dite d'injection SQL (une requête en GET, devenue très rare mais qui existe encore !) nous appelons une url: www.monsite.fr/page.php?page=1 et voici a quoi ressemble la requête: SELECT * FROM wp_page where id = 1. Qu'est ce qui m'empecherai de modifier cette url pour récupérer des données sensibles de votre site? Je ne vais pas rentrer dans le détail car ce n'est pas le sujet mais cette faille est encore très répandue sur les modules développés par certains développeurs.

Il existe cependant une bible importante à connaître en tant que développeur ou webmaster afin d'éviter les problèmes liés à une attaque. Comme par exemple: CVE MITRE, une bible de failles découvertes sur Wordpress ou d'autre CMS, il existe aussi EXPLOIT DB

Il existe aussi des outils de scan qui permettent de reconnaître les failles potentielles sur votre Wordpress a savoir WP SCAN, un scanner de vulnérabilité qui voit tout !

Quelques conseils de sécurité :

  1. Utiliser un mot de passe complexe ! Certaines personnes diront que c'est logique ! Et bien pour beaucoup de clients j'ai pu constater totalement le contraire, car par facilité ils utilisent 123456 ou azerty... Il ne faut jamais utiliser de mot de passe simple, il est très important de complexifier votre mot de passe. Et si vous avez peur d'oublier je vous recommande d'utiliser un gestionnaire de mots de passe sécurisé comme KeeWeb.
  2. N'installez pas n'importe quoi sur votre site, plus vous allez installer de modules plus vous augmenterez les risques d'attaques. Et si vraiment vous avez besoin de ce module, je vous recommande fortement de faire une recherche dans les CVE s'il existe une faille ou non.
  3. Une erreur récurrente faite par les développeurs, la modification du préfix des tables... une chose qui paraît anodine pour certains, mais en réalité le préfix des tables est la première barrière aux injections SQL. Votre attaquant saura que vous avez un Worpress cependant il lui sera impossible (facilement) de connaître le préfix de vos tables et donc il est TRÈS important de le changer au moment de la création du Worpdress.
  4. Quand cela est possible mettre à jour Wordpress pour avoir la dernière version stable, ce qui corrige des bugs et/ou des failles de sécurité sur Wordpress.
  5. Protéger votre espace admin par un htpasswd ou en modifiant l'url d'accès à votre espace administrateur. En général par défaut www.monsite.fr/admin tout simple et c'est bien là le problème.
  6. Désactier les retours d'erreur PHP en général activer en mode développement mais certains développeurs laissent activer cette extension en production pour débuger plus rapidement sauf que cela permet aux attaquants de trouver vos failles donc define(‘WP_DEBUG’, false); et define( ‘WP_DEBUG_LOG’, false);
  7. Protéger vos urls sensibles de google en disant au robot de google de ne pas indexer certaines urls. Exemple, dans un fichier robots.txt User-agent: * Disallow: /wp-admin/ Allow: /wp-admin/admin-ajax.php
  8. Vous pouvez installer un WAF (Web Application Firewall), un parefeu intelligent qui permettra d'éviter les attaques basées sur le top 10 d'OWASP (Open Web Application Security Project). Ce sont les 10 failles les plus récurrentes comme: l'injection SQL, les attaques DDOS, Codes malveillants, failles XSS, ...)

Merci d'avoir lu cet article et j'espère que cela vous aidera à améliorer la sécurité de votre Wordpress. Si vous avez des questions ou besoin d'aide dans le développement de votre/vos projet(s) n'hésitez pas à me contacter. Merci

  • Web
  • Sécurité web

0 Commentaire

Go Up