La sécurité est un sujet de discussion pour tous les experts techniques du site WordPress, mais cela peut être un domaine particulièrement difficile pour les débutants. Bien que les agents de sécurité soient capables de distinguer habilement les vecteurs drsquoattaque communs, il semble que ce ne soit qursquoune mer de menaces déroutantes pour les gens ordinaires. Dans nous tenterons de combler certaines lacunes en matière de connaissances et drsquoanalyser brièvement ce qui constitue en fait certaines des menaces les plus courantes. Nous ne aveuglerons pas avec des acronymes et des livres blancs, nous nous concentrerons sur lrsquoexamen des points clés dans un langage facile à comprendre et nous présenterons quelques étapes simples pour assurer la sécurité des propriétaires de sites Web.
Cependant, avant de commencer à examiner les détails, rappelons nous brièvement où se trouve habituellement la plus grande menace à la sécurité de votre site. La sécurité commence près de chez soi bien que les systèmes techniques de sécurité deviennent de plus en plus complexes chaque jour, il est important de garder à lrsquoesprit que les principales faiblesses de tout système demeurent chez les personnes qui les gèrent réellement. Avant drsquoêtre trop impliqué dans la recherche de vulnérabilités de sécurité au niveau du logiciel, assurez drsquoavoir bien géré lrsquoaccès général au site et les programmes de votre équipe. Vous devez assurer que la gestion des mots de passe est en place et que les rôles et les responsabilités sont clairs, en particulier lorsqursquoil srsquoagit de savoir qui a réellement le pouvoir drsquoinstaller des logiciels tels que des sujets ou des plug ins.
Enfin, devez également assurer de lire attentivement le Guide de sécurité standard de WordPress, le livre blanc sur la sécurité de WordPress et au moins un peu de l’historique de la sécurité de WordPress. Lignes directrices non spécialisées sur les menaces communes à la sécurité et ces mises en garde préliminaires
Ensuite, examinons certaines des menaces les plus courantes à la sécurité qui affectent la plateforme. Nous utiliserons comme référence générale la liste des dix principales menaces à la sécurité des applications du projet de sécurité des applications Web ouvertes (owasp), en mettant particulièrement lrsquoaccent sur trois aspects.
Allons y! Comme le montre la définition drsquoune attaque par injection par owasp, nous traitons ici drsquoun vaste domaine potentiel: « un défaut drsquoinjection permet à un attaquant de transmettre du Code malveillant à un autre système par lrsquointermédiaire drsquoune application ». Comme le souligne lrsquoexcellent guide de sécurité PHP de padraic Brady, les scénarios classiques sont souvent une forme drsquoinjection SQL où un attaquant tente de compromettre directement votre base de données. Même les principaux fournisseurs comme yoast ont eu des problèmes de sécurité dans le passé. Comme le montre une analyse récente de l’injection SQL de wordfence, les deux méthodes sont très courantes et relativement faciles à configurer pour les attaquants. Il nrsquoy a pas non plus drsquointention malveillante dans le jeu: le simple fait de ne pas pouvoir échapper à une requête SQL dans un sujet ou un plug in est suffisant pour garder le port ouvert. Au fil des ans, les plug ins de sécurité et drsquoautres fournisseurs bien connus ont également été touchés.
Attaques de scripts inter sites (xss) Bien que techniquement, les attaques de scripts inter sites (xss) soient elles mêmes une attaque par injection, elles doivent être considérées séparément. Par rapport à notre exemple drsquoinjection SQL précédent, la direction drsquoattaque ici est fondamentalement opposée. Padraic Brady résume la situation drsquoune manière simple et agréable: « xss se produit lorsqursquoun attaquant peut injecter un script (généralement JavaScript) dans la sortie drsquoune application Web pour lrsquoexécuter dans un navigateur client.» Par conséquent, au lieu drsquoessayer de charger
Le site lui même est un peu suspect et tente de fournir quelque chose qui pourrait détourner votre entrée. Une analyse approfondie de ce sujet par wordfence montre que les attaques xss sont très faciles à configurer pour les attaquants et sont de loin les vulnérabilités de sécurité les plus courantes découvertes par la plupart des plug ins. Ce sont aussi des problèmes qui sont apparus plusieurs fois dans le cœur de WordPress.
3. The difference between Cross site request Forgery attack (csrf) xss and Cross site request Forgery (csrf) attack may be Sliding, but the most simple way of thinking is: xss is trying to steal Credentials, csrf trying to use Credentials. En général, une attaque csrf tente de permettre drsquoeffectuer des opérations indésirables sur un site authentifié. Bien que WordPress utilise nonce pour atténuer ces attaques, elles sont toujours présentes au cœur de plusieurs plug ins et plateformes au fil des ans. Comment garder la sécurité comme le montrent les trois exemples ci dessus, réduire le fardeau de ces types drsquoattaques réside principalement dans le fait que les développeurs sont plus exigeants à lrsquoégard de leur code et gèrent plus soigneusement des domaines tels que lrsquoévasion de lrsquoentrée de lrsquoutilisateur et lrsquoutilisation de jetons de sécurité. Cependant, en tant que propriétaire drsquoun site Web, pouvez également utiliser quelques étapes simples de bon sens pour accomplir vos tâches:
Toujours exécuter la dernière version de WordPress Core, ainsi que des versions plus récentes des plug ins et des thèmes. Consultez les bases pour renforcer WordPress et, si possible, vérifiez votre site en utilisant le projet de numérisation de vulnérabilité owasp de WordPress. Utilisez des plug ins comme sucuri Security pour bloquer votre site. Suivez les blogs sucuri et wordfence ainsi que les sujets sur Torque pour un panorama plus large des menaces à la sécurité. Questions
Ces quatre étapes ne garantissent pas que ne serez pas victime du genre de menace dont nous avons discuté ci dessus, mais elles donneront essentiellement une longueur drsquoavance sur les efforts de la plupart des propriétaires de sites Web.
Conclusion la sécurité des sites Web est un sujet potentiellement vaste et lrsquoéventail des acronymes et des connaissances de niche utilisés pour en discuter peut être intimidant pour les propriétaires de sites non techniques. Notre bref guide sur les trois zones drsquoattaque les plus courantes dans la nature devrait les rendre plus faciles à manipuler. Résumons les trois principaux domaines que nous avons abordés: les attaques par injection: une catégorie potentielle drsquoattaques à grande échelle où les tentatives de compromettre la base de données sous forme drsquoinjection SQL sont les plus préoccupantes. Attaques de script inter site (xss): elles tentent généralement drsquoaccéder à vos données personnelles sous forme de charge utile JavaScript. Une attaque de falsification de requêtes inter sites (csrf) survient lorsqursquoun attaquant tente de tromper en prenant une mauvaise décision sur un site que avez authentifié. En tant que propriétaire de site, la meilleure défense contre ces types d’attaques est de choisir un partenaire d’hébergement fiable et de mettre à jour régulièrement toutes les parties mobiles de la pile WordPress. Votre site a t il des problèmes de sécurité spécifiques? Veuillez nous contacter via la section commentaires ci dessous et nous faire savoir!
Source de lrsquoimage: unsplash.
Lignes directrices non spécialisées sur les menaces communes à la sécurité
