Mettons-nous dans la peau des pirates attaquant des sites WordPress.
Comprenons comment ils pensent et opèrent, pour mieux nous protéger.
Le but des pirates
Les pirates sont généralement motivés par l’argent. Si leurs attaques sont souvent bêtes et méchantes, il ne faut cependant pas les sous-estimer car certains se montrent malins.
Pour générer des revenus, les pirates sont prêts à tout. Ils détournent les visiteurs des sites piratés via des liens sponsorisés ou redirections, ou ajoutent des publicités intempestives dont ils récoltent les revenus. Ils ajoutent aussi parfois des liens ou vers d’autres de leurs sites infectés de sorte à tenter de les référencer sur Google.
Souvent sans limite, ils vont également jusqu’à héberger du phishing sur votre site. C’est à dire des copies de sites institutionnels. Cela leur permet de renvoyer des victimes à qui ils ont précédemment envoyé de faux mails pointant vers ces liens, et ainsi de récupérer leurs informations personnelles de connexion à ces comptes réels. Parfois, il peut s’agir de comptes bancaires ou de santé.
Dans les piratages ciblés, la motivation est idéologique ou politique.
Plus marginalement, on observe aussi des concours de piratages, ayant lieu parfois sur des événements type « hackathon », où le but est alors seulement d’inscrire sa signature, parfois par contre, en défaçant totalement le site. Je n’ai cependant pas observé ce type de hack depuis quelques années, donc il semble que cette pratique se perde pour le moment.
Pourquoi attaquer des sites WordPress ?
WordPress est très largement utilisé, avec 43% des sites web dans le monde. Cela en fait une cible de choix pour les pirates informatiques. Attaquer WordPress leur permet donc de maximiser leurs résultats lors de leurs attaques. C’est exactement le même principe qu’avec Windows qui est le système d’exploitation le plus populaire donc le plus attaqué.
Aussi, WordPress est très riche en termes de code et de fonctionnalité mais aussi de documentation. Si bien que de nombreuses failles sont régulièrement rendues publiques. Il est important de noter que les failles concernent aussi et surtout les nombreux plugins et thèmes de WordPress.
Mode opératoire des pirates
Il est relativement facile d’identifier des sites WordPress en masse sur internet. Les pirates se créent donc des listes de sites WordPress.
Ils vont ensuite croiser ces listes avec les failles de sécurité connues de WordPress.
Il leur faut alors écrire ou trouver dans des communautés pirates des « exploits », c’est à dire des requêtes ou codes à utiliser pour exploiter ces failles.
Une fois leurs « exploits » trouvés, ils programment des robots qui tentent automatiquement de les utiliser sur l’ensemble de ces sites. Ces robots sont souvent mis en place sur des serveurs et ordinateurs personnels précédemment infectés. On appelle l’ensemble de ces robots un « botnet ».
Pour attaquer plus efficacement, certains pirates un peu plus doués vont au préalable lister les plugins et thèmes installés sur chaque site ainsi que leurs versions. En connaissant la version des scripts, quiconque peut connaître les failles de sécurité présentes dans chaque version. Cela fait d’ailleurs partie des actions menées lors d’un audit de sécurité WordPress. Les pirates se servent de cette méthode pour trouver et exploiter bien plus efficacement les failles présentes dans chaque site.
Certains pirates encore plus doués planifient leurs attaques à l’avance, ciblant parfois de nombreux sites d’un hébergeur en particulier, de sorte à tenter d’en saturer le support utilisateur et à faire perdurer leur hack le plus longtemps possible.
C’est ainsi que l’on observe des vagues de piratages. A noter que certaines vagues de piratages ont aussi parfois lieu car une nouvelle faille a été découverte par les pirates avant d’avoir été corrigée par les développeurs. On appelle cela une « vulnérabilité zero-day ».
Attaques ciblées
Votre site n’a pas besoin d’être spécifiquement ciblé pour être piraté. Car comme on l’a vu, les pirates attaquent des milliers de sites WordPress par jour de manière automatisée. C’est ainsi que des touts petits sites avec seulement quelques dizaines de visiteurs par jour, des sites de petites associations ou communes peuvent être piratés.
Néanmoins si votre site possède une quelconque faille de sécurité, une attaque ciblée, opérée et dirigée directement par un pirate, aboutira très rapidement au piratage complet de votre site.
Les attaques ciblées sont relativement rares (moins de 3% des cas de hack selon mon expérience). Les cibles de choix dans ce cas sont principalement politiques, médiatiques, ou idéologiques. Autrement dit, les attaques ciblées visent plutôt les sites institutionnels ou à contenus chargées idéologiquement. Si tel est votre cas, n’attendez pas qu’il soit trop tard et offrez-vous un Audit de sécurité WordPress.
Pour aller plus loin
Vérifier si mon site est vulnérable
Il est possible de tester la vulnérabilité de votre site internet via mon audit de sécurité WordPress.
A noter que ce service est inclus dans mon offre de Webmastering Critical. La mise à jour des scripts WordPress est quotidienne, je reçois un mail en cas de faille, et je monitore les scripts obsolètes. Je parviens aussi sur mes hébergements à détecter l’activité des robots pirates et à les bloquer automatiquement par centaines chaque jour. Les attaques manuelles sont également bloquées ; c’est ainsi qu’un grand groupe de sécurité m’a demandé lors d’un audit sur un site que j’héberge de les débloquer afin qu’ils puissent continuer leurs tests, car toutes leurs IP avaient été bloquées automatiquement par mes sécurités.
Laisser un commentaire