Vulnérabilités communes à la sécurité WordPress
Vous voulez connaître quelques failles de sécurité dans WordPress? Le Web est un endroit dangereux, car derrière chaque site se trouvent les utilisateurs, les ressources et les données que les délinquants veulent utiliser. C’est dangereux parce que les criminels n’ont besoin de chance qu’une seule fois, mais en tant que propriétaire du site, vous devez faire les bonnes choses tous les jours pour assurer la sécurité du site. 
WordPress est un système de gestion de contenu sécurisé avec une grande capacité de défense mais a besoin d’aide. Pour vous aider, vous devez être conscient des risques liés à l’exécution du site WordPress. Une fois que vous avez compris les risques, il est plus facile de comprendre le rôle que vous jouez pour empêcher les sites Web, les utilisateurs et les données de tomber entre les mains des délinquants.
Attaques violentes et dictionnaires – vulnérabilités de sécurité WordPress votre site WordPress sait qui vous êtes parce que vous êtes connecté avec un nom d’utilisateur et un mot de passe. Si un attaquant devine le nom d’utilisateur et le mot de passe corrects, votre site leur donnera le même accès. S’ils spéculent sur les identifiants d’un utilisateur avec les privilèges d’administrateur, ils ont le contrôle total. Les attaques violentes et les attaques contre les dictionnaires utilisant des listes de mots de passe génériques sont les attaques les moins complexes et les plus courantes contre les sites WordPress. Ils fonctionnent parce que les gens choisissent des mots de passe faciles à deviner.
2. Attaques de script intersite – vulnérabilités de sécurité WordPress les thèmes WordPress utilisent JavaScript (un langage de programmation qui fonctionne dans un navigateur Web) pour fournir l’interactivité et d’autres améliorations. Lorsque la page est chargée, WordPress fournit un fichier javascript au navigateur. Mais parfois, des erreurs de programmation permettent à un attaquant d’ajouter son JavaScript à une page. Les navigateurs Web suivent une politique à source unique. Ils font confiance aux scripts du même endroit que la page Web. Si un attaquant peut injecter
Le navigateur croit que le contenu de la page est fiable et l’exécute. Ce code donne accès à toutes les données relatives à la page, y compris les cookies de session et les données saisies dans le formulaire, comme le numéro de carte de crédit. Dans une attaque de script inter – site, le Code malveillant envoie des données à un serveur sous le contrôle de l’attaquant.
Le JavaScript malveillant peut être injecté dans les pages WordPress via différents vecteurs. Si WordPress ou le plug – in ajoute des éléments d’entrée utilisateur à la page, tels que des formulaires d’annotation, mais ne Désinfecte pas correctement les entrées, le code dans les annotations s’exécutera dans le Navigateur des futurs visiteurs de la page. L’un des opérateurs les plus nuisibles de xss est une attaque contre la chaîne d’approvisionnement. L’attaquant n’attaque pas un seul site, mais une bibliothèque JavaScript ou un plug – in utilisé par le site WordPress. Lorsque le Code est injecté dans une bibliothèque populaire ou un plug – in JavaScript installé sur un site WordPress, il est publié sur la page du site WordPress et fonctionne dans un navigateur.
Souvent, un attaquant injecte un peu de code dans une bibliothèque ou un plug – in populaire. Le Code télécharge ensuite la charge utile malveillante et l’injecte dans la page WordPress. Au cours des derniers mois, les grattoirs de cartes de crédit magecart ont infecté des dizaines de sites de commerce électronique par des attaques de la chaîne d’approvisionnement. En 2017, de nombreux plugins WordPress populaires ont été achetés par un mauvais acteur avec ajout de code malveillant. Dans cette série d’attaques, la cible est le spam, mais les attaques xss utilisent la même technologie. WordPress résiste aux attaques de script inter – site: le Code entré dans la boîte d’entrée de l’utilisateur est désinfecté et devient inerte. Les navigateurs ont également des mécanismes pour empêcher les attaques xss d’exécuter du Code malveillant, y compris des politiques de sécurité du contenu
Utilisé pour ajouter le code à exécuter par le propriétaire du site à la liste blanche. Il existe un bon plugin pour mettre en œuvre la politique de sécurité du contenu dans le magasin WordPress.
Cependant, les erreurs commises par les développeurs (généralement les développeurs de plug – INS) peuvent mener à des vulnérabilités que les criminels sont heureux d’exploiter.
3. Vulnérabilité d’hébergement de serveur – vulnérabilité de sécurité WordPress le site WordPress n’est que la partie émergée de l’iceberg. Il comprend également des serveurs Web, des interpréteurs PHP, des systèmes d’exploitation, des bases de données et de nombreux logiciels utilitaires. Toute vulnérabilité dans ces logiciels peut être utilisée pour compromettre le serveur et donc tout site WordPress qu’il héberge. Les bogues Wraith et Melt sont les principaux exemples de bogues graves dans le matériel moderne du serveur. Spectre et melddown exploitent les vulnérabilités d’optimisation des performances dans les processeurs (CPU) utilisés sur la plupart des serveurs d’entreprise. Les utilisateurs peuvent exploiter ces vulnérabilités pour exécuter du Code sur le serveur et extraire des données appartenant à d’autres utilisateurs du système d’exploitation lui – même, y compris des clés privées et d’autres informations sensibles. Spectre et meldown sont particulièrement remarquables pour les utilisateurs de WordPress Shared hosting et Cloud hosting qui hébergent de nombreux utilisateurs sur le même serveur, y compris des utilisateurs potentiellement malveillants.
Le fournisseur d’hébergement WordPress responsable a corrigé le système d’exploitation et le firmware du serveur pour empêcher les attaquants d’exploiter ces vulnérabilités, mais les utilisateurs de WordPress devraient savoir qu’il s’agit d’un problème persistant.
Logiciels malveillants – vulnérabilités de sécurité WordPress les logiciels malveillants ne sont pas une vulnérabilité, mais les criminels exploitent souvent les vulnérabilités pour installer des logiciels malveillants sur les sites WordPress. Il existe de nombreux types différents de logiciels malveillants, y compris les ransomware, les scripts cryptoja
Il extrait de la monnaie numérique, des logiciels malveillants SEO et du Code, et son travail est d’infecter l’appareil de l’utilisateur avec d’autres logiciels malveillants.
Garder le site WordPress en sécurité – vulnérabilité de sécurité du site WordPress en tant que propriétaire du site WordPress, votre travail est de rendre la vie des criminels aussi difficile que possible. Si vous n’êtes pas un développeur ou un Technologue, cela signifie suivre quatre règles de base: choisir un bon mot de passe: si chaque utilisateur de votre site choisit un mot de passe long et difficile à deviner, personne ne peut le deviner. Si vous ne pouvez pas faire confiance à tout le monde pour choisir un mot de passe sécurisé (et peut – être pas), utilisez le plug – in d’authentification à deux facteurs. Mises à jour fréquentes: les mises à jour corrigent les erreurs qui causent la vulnérabilité. Si vous ne mettez pas à jour WordPress et les plugins lorsque de nouvelles versions sont disponibles, votre site est plus susceptible d’être piraté. Choisissez votre hôte avec sagesse – vous devez faire confiance à votre fournisseur d’hôtes wordpress pour être aussi prudent et sûr que vous. Ce n’est pas toujours le cas. Avant de décider d’héberger votre site avec un fournisseur d’hébergement, consultez les commentaires et la réputation de sécurité du fournisseur d’hébergement. N’aidez pas les hackers: obtenez des plugins et des thèmes de sources fiables comme WordPress. Organisation. N’essayez pas d’installer des thèmes et des plug – ins piratés avancés; Souvent infecté par des logiciels malveillants. En suivant ces quatre pratiques exemplaires simples en matière de sécurité, vous pouvez rendre la vie plus difficile pour les criminels qui veulent profiter de votre site Web et de ses utilisateurs.