Lignes directrices non spécialisées sur les menaces communes à la sécurité
La sécurité est un sujet de discussion pour tous les experts techniques du site WordPress, mais cela peut être un domaine particulièrement difficile pour les débutants. Bien que les agents de sécurité soient capables de distinguer habilement les vecteurs d’attaque communs, il semble que ce ne soit qu’une mer de menaces déroutantes pour les gens ordinaires. Dans cet article, nous tenterons de combler certaines lacunes en matière de connaissances et d’analyser brièvement ce qui constitue en fait certaines des menaces les plus courantes. Nous ne vous aveuglerons pas avec des acronymes et des livres blancs, nous nous concentrerons sur l’examen des points clés dans un langage facile à comprendre et nous présenterons quelques étapes simples pour assurer la sécurité des propriétaires de sites Web.
Cependant, avant de commencer à examiner les détails, rappelons – nous brièvement où se trouve habituellement la plus grande menace à la sécurité de votre site. La sécurité commence près de chez soi bien que les systèmes techniques de sécurité deviennent de plus en plus complexes chaque jour, il est important de garder à l’esprit que les principales faiblesses de tout système demeurent chez les personnes qui les gèrent réellement. Avant d’être trop impliqué dans la recherche de vulnérabilités de sécurité au niveau du logiciel, assurez – vous d’avoir bien géré l’accès général au site et les programmes de votre équipe. Vous devez vous assurer que la gestion des mots de passe est en place et que les rôles et les responsabilités sont clairs, en particulier lorsqu’il s’agit de savoir qui a réellement le pouvoir d’installer des logiciels tels que des sujets ou des plug – ins.
Enfin, vous devez également vous assurer de lire attentivement le Guide de sécurité standard de WordPress, le livre blanc sur la sécurité de WordPress et au moins un peu de l’historique de la sécurité de WordPress. Lignes directrices non spécialisées sur les menaces communes à la sécurité et ces mises en garde préliminaires
Ensuite, examinons certaines des menaces les plus courantes à la sécurité qui affectent la plateforme. Nous utiliserons comme référence générale la liste des dix principales menaces à la sécurité des applications du projet de sécurité des applications Web ouvertes (owasp), en mettant particulièrement l’accent sur trois aspects.
Allons – y! Comme le montre la définition d’une attaque par injection par owasp, nous traitons ici d’un vaste domaine potentiel: « un défaut d’injection permet à un attaquant de transmettre du Code malveillant à un autre système par l’intermédiaire d’une application ». Comme le souligne l’excellent guide de sécurité PHP de padraic Brady, les scénarios classiques sont souvent une forme d’injection SQL où un attaquant tente de compromettre directement votre base de données.
Attaques de scripts inter – sites (xss) Bien que techniquement, les attaques de scripts inter – sites (xss) soient elles – mêmes une attaque par injection, elles doivent être considérées séparément. Par rapport à notre exemple d’injection SQL précédent, la direction d’attaque ici est fondamentalement opposée. Padraic Brady résume la situation d’une manière simple et agréable: « xss se produit lorsqu’un attaquant peut injecter un script (généralement JavaScript) dans la sortie d’une application Web pour l’exécuter dans un navigateur client.» Par conséquent, au lieu d’essayer de charger
Le site lui – même est un peu suspect et tente de fournir quelque chose qui pourrait détourner votre entrée. Une analyse approfondie de ce sujet par wordfence montre que les attaques xss sont très faciles à configurer pour les attaquants et sont de loin les vulnérabilités de sécurité les plus courantes découvertes par la plupart des plug – ins. Ce sont aussi des problèmes qui sont apparus plusieurs fois dans le cœur de WordPress.
3. The difference between Cross – site request Forgery attack (csrf) xss and Cross – site request Forgery (csrf) attack may be Sliding, but the most simple way of thinking is: xss is trying to steal Credentials, csrf trying to use Credentials. En général, une attaque csrf tente de vous permettre d’effectuer des opérations indésirables sur un site authentifié. Bien que WordPress utilise nonce pour atténuer ces attaques, elles sont toujours présentes au cœur de plusieurs plug – ins et plateformes au fil des ans. Comment garder la sécurité comme le montrent les trois exemples ci – dessus, réduire le fardeau de ces types d’attaques réside principalement dans le fait que les développeurs sont plus exigeants à l’égard de leur code et gèrent plus soigneusement des domaines tels que l’évasion de l’entrée de l’utilisateur et l’utilisation de jetons de sécurité. Cependant, en tant que propriétaire d’un site Web, vous pouvez également utiliser quelques étapes simples de bon sens pour accomplir vos tâches:
Toujours exécuter la dernière version de WordPress Core, ainsi que des versions plus récentes des plug – ins et des thèmes. Consultez les bases pour renforcer WordPress et, si possible, vérifiez votre site en utilisant le projet de numérisation de vulnérabilité owasp de WordPress. Utilisez des plug – ins comme sucuri Security pour bloquer votre site. Suivez les blogs sucuri et wordfence ainsi que les sujets sur Torque pour un panorama plus large des menaces à la sécurité. Questions
Ces quatre étapes ne garantissent pas que vous ne serez pas victime du genre de menace dont nous avons discuté ci – dessus, mais elles vous donneront essentiellement une longueur d’avance sur les efforts de la plupart des propriétaires de sites Web.
Conclusion la sécurité des sites Web est un sujet potentiellement vaste et l’éventail des acronymes et des connaissances de niche utilisés pour en discuter peut être intimidant pour les propriétaires de sites non techniques. Notre bref guide sur les trois zones d’attaque les plus courantes dans la nature devrait les rendre plus faciles à manipuler. Résumons les trois principaux domaines que nous avons abordés: les attaques par injection: une catégorie potentielle d’attaques à grande échelle où les tentatives de compromettre la base de données sous forme d’injection SQL sont les plus préoccupantes. Attaques de script inter – site (xss): elles tentent généralement d’accéder à vos données personnelles sous forme de charge utile JavaScript. Une attaque de falsification de requêtes inter – sites (csrf) survient lorsqu’un attaquant tente de vous tromper en prenant une mauvaise décision sur un site que vous avez authentifié. En tant que propriétaire de site, la meilleure défense contre ces types d’attaques est de choisir un partenaire d’hébergement fiable et de mettre à jour régulièrement toutes les parties mobiles de la pile WordPress. Votre site a – t – il des problèmes de sécurité spécifiques? Veuillez nous contacter via la section commentaires ci – dessous et nous faire savoir!
Source de l’image: unsplash.