/ Published in CMS

WordPress : les 5 attaques les plus courantes

Les tentatives de connexion malveillante sont l’une des principales attaques dont sont victimes les sites WordPress. Parmi les nombreux modules qui permettent de sécuriser votre site, nous avons choisi aujourd’hui de vous présenter Wordfence. DYNAMIC MARKETING vous résume tout ce qu’il faut savoir.

2 800 attaques par seconde ciblant WordPress

En 2020, Wordfence a bloqué 90 000 milliards de tentatives de connexion malveillante sur 57 millions d’adresses IP uniques. En résumé, cela signifie un rythme de 2 800 attaques par seconde visant WordPress ! 

Pour expliquer rapidement, Wordfence est le plugin de sécurité le plus populaire pour WordPress. Il fonctionne sur un peu plus de 4 millions de sites et protège contre les piratages et les logiciels malveillants. 

Pas très rassurant, n’est-ce pas ? Il n’y a pas lieu de s’inquiéter outre mesure : le risque d’une attaque peut être considérablement réduit avec un soutien technique approprié. Les erreurs internes accidentelles sont l’une des principales failles. Un exemple clair est de cliquer sur un lien de phishing, ce sont des pièges bien conçus pour profiter des utilisateurs non informés et voler leurs identifiants. 

Bien qu’il existe de nombreuses extensions qui aident à détecter les logiciels malveillants, une bonne formation vous évitera d’installer accidentellement ce plugin en premier lieu. Investissez dans la sécurité de votre site en formant votre équipe et vous-même pour éviter ce genre d’erreurs.

Top 5 des attaques les plus courantes sur WordPress

Afin d’identifier les principales menaces qui pèsent sur la sécurité du CMS, Wordfence a dévoilé dans un rapport les 5 attaques les plus courantes contre les sites. Il est élaboré à partir d’une collection de données appartenant à ses 4 millions de clients. 

D’après les données recueillies, Wordfence a classifié les attaques les plus courantes comme suit  (1 étant le plus courant et 5 le moins courant) : 

    1. Les attaques par traversée de répertoires, y compris les chemins relatifs et absolus : 1,8 milliard d’attaques ont été enregistrées, ce qui représente 43 % de toutes les tentatives d’exploitation de la vulnérabilité. Il s’agissait principalement de tentatives d’accès à des données sensibles dans les fichiers wp-config.php du site et de tentatives d’inclusion de fichiers locaux (LFI).
    2. Les injections SQL : cette catégorie de vulnérabilité a enregistré 909,4 millions d’attaques, soit 21 % des tentatives d’exploitation.
    3. Les téléversement de fichiers malveillants : les attaques visaient à réaliser l’exécution de code à distance (RCE). Ils représentaient 454,8 millions, soit 11 % des tentatives. 
    4. Le Cross-Site Scripting (XSS) : la catégorie comptait 330 millions d’attaques, soit  8 % des tentatives.
    5. Les vulnérabilités de contournement d’authentification :  cette catégorie correspond aux faiblesses des protocoles d’authentification des sites. Elle a eu 140,8 millions d’attaques, soit 3 % des tentatives d’exploitation 

La menace de sécurité

Les sites WordPress ont été principalement menacés par l’installation de plugins premium piratés ou de thèmes désactivés laissés sur le site. Leur particularité est qu’ils servent de portes dérobées, c’est-à-dire qu’ils peuvent avoir la possibilité d’accéder à distance au serveur de votre site web sans être détectés. 

Dans l’ensemble, des logiciels malveillants provenant de ces plugins et thèmes désactivés ont été trouvés sur 206 000 sites. Par exemple, en 2020, le malware WP-VCD fut le plus commun, infectant
13 % de tous les sites.

Comment sécuriser et protéger son site WordPress des attaques ? 

Pour protéger et sécuriser votre site, il existe de bonnes pratiques à adopter, par exemple :

    • Mettre régulièrement à jour WordPress ; vous saurez quand cela est nécessaire grâce au message de mise à jour qui apparaît dans votre interface d’administration.  
    • Utiliser des plugins et des thèmes ayant une bonne réputation ; optez pour ceux qui ont déjà été testés et qui ont de bons avis d’utilisateurs. Nous vous recommandons de faire vos recherches sur des sources fiables telles que le site officiel de WordPress.
    • Choisir un mot de passe complexe et unique ; il existe des extensions utilisées par les attaquants pour trouver les mots de passe, ne leur rendez pas la tâche facile ! Définissez un mot de passe difficile pour chaque compte. Vous pouvez lire notre article Mot de passe et cybersécurité pour savoir le définir long et complexe.   
    • Mettre en place une authentification multifacteur ; cette méthode renforce la sécurité en demandant une ou plusieurs preuves au moment de l’accès au site. Par exemple, lorsqu’un code unique est envoyé à votre portable et qu’il vous est demandé pour vous connecter.
    • Etc…

Faire appel à un professionnel pour assurer la maintenance de votre site WordPress, c’est avoir l’assurance que votre site dispose d’une protection solide contre le hacking ainsi que des mises à jour les plus récentes. DYNAMIC MARKETING vous propose plusieurs type de contrat de Support Technique et d’Assistance – Consultez notre page Tierce Maintenance Applicative (TMA) pour les découvrir. 

Un doute sur la sécurité et la fiabilité de votre site ? Contactez-nous par téléphone 02.47.61.76.62 ou par mail. Nous vous proposons de réaliser gratuitement un mini audit de votre site WordPress avant de vous conseiller sur la formule adaptée à votre besoin.

Contactez-nous

Miriam GONZALEZ

Source :
https://www.wordfence.com/blog/2021/01/the-wordfence-2020-wordpress-threat-report/
Tagged under: , , , , ,

What you can read next

Prochaine version 5.2 de WordPress et politique de support
WordPress 5.0, WPML et mise à jour
Comment supprimer le Malware pharors.com / pushqwer.com / deloplen.com de votre site WordPress ?