Logo sc2017


Blog

code-820275 960 720La sécurité de wordpress Partie 2: Codes malveillants et protection

L'article qui suit est inspiré d'un article écrit par Kerry Butters, WordPress Security Part 2: Malware Detection And Defence

 

Voici donc le second article traitant de la sécurité de wordpress. Dans le premier article, nous avions donné un aperçu général du monde de la sécurité WordPress, identifié quelques risques, puis nous avons concentré notre attention sur ​​la vulnérabilité des plugins. Dans la seconde partie nous examinerons la détection de logiciels malveillants et ce qu'il convient de faire pour se défendre contre les attaques.

 

WordPress est toujours l'une des solutions de gestion de contenu les plus populaires (CMS) utilisée par les entreprises, bloggeurs....   Quand un logiciel est aussi largement utilisé, il devient inévitablement une cible pour les spammeurs, les pirates et autres malveillants.

Il est donc essentiel de prendre toutes les mesures pour sécuriser votre site et pour se faire, vous devez vous assurer que votre site est régulièrement mis a jour, et le scanner afin de vous assurer qu'il ne véhicule pas de code malveillant.

Les pirates ont un objectif en tête : infecter votre site avec des logiciels malveillants. 

Citons quelques menaces :

- Le phishing, wikipedia nous en propose une définition - "Il s'agit d'une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance .. afin de lui soutirer des renseignements personnels ... :Elle peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques..".

- Pharma Hacks - Il s'agit d'une autre forme de piratage, une technique de spam. L'un des symptomes est l'ajout de pages fantomes à votre site internet. Ces pages utilisent votre thème, votre présentation. Elles présentent des médicaments, ou autres produits pharmaceutiques. Google indexe ces pages dans ses résultats de recherche. Votre site est ainsi transformé en usine à liens.

- Les redirections malveillantes - les visiteurs de votre site seront automatiquement redirigés vers un autre site qui sera utilisé pour essayer d'amener les gens à télécharger un fichier infecté.

- Backdoors - Comme l'explique très bien le site de wikipedia, "Dans un logiciel, une porte dérobée (de l'anglais backdoor, littéralement porte de derrière) est une fonctionnalité inconnue de l'utilisateur légitime, qui donne un accès secret au logiciel. L'introduction d'une porte dérobée dans un logiciel à l'insu de son utilisateur transforme le logiciel en cheval de Troie."

Ce n'est pas une liste exhaustive. Les pirates sont des individus très compétents, il est donc absolument vital que vous preniez les mesures suivantes afin de tenir régulièrement votre WordPress aussi sécurisé que possible.

Détecter les malveillants

Il est très important de détecter les malveillants sur votre blog. Cette action devrait faire partie de votre routine quotidienne car elle est l'une des plus importante. Il faut le faire régulièrement. Même si vous pensez que votre wordpress est armé jusqu'aux dents ! La vérité est qu'il peut toujours présenter une petite faiblesse et c'est justement ce que les pirates recherchent.

Une solution le plug In Sucuri Security

Il y a déjà beaucoup d'éditeurs de sites wordpress qui utilisent ce plug In pour détecter les malveillants. La version gratuite va scanner votre site web et détecter :
- Les Malware
- Les injections malveillantes
...
L'inconvénient de la version gratuite est que vous devrez toujours lancer votre scan manuellement, mais bon... c'est déjà pas si mal ! Pour la version payante, vous pouvez automatiser vos scans et vous recevez par emails des alertes, si des malveillants sont détectés, c'est vrai que c'est mieux !

Défense

En résumé, une  analyse régulière manuelle ou automatique est la première ligne de défense pour votre site - si vous ne savez pas que vous avez attaqué vous ne pourrez pas vous défendre.

N'oubliez pas de faire des sauvegardes régulières de votre site Internet (fichiers du sites et base de données). 

La sécurité WordPress est une entreprise à temps plein. Surveillez votre site régulièrement, pour être alerté rapidement et pouvoir évincer les malveillants....