Benchmark LRob

, , , ,

Category: Sécurité WordPress

  • Attaque record : 2.8 millions d’IP compromises : Quel impact pour les hébergeurs WordPress ?

    Attaque record : 2.8 millions d’IP compromises : Quel impact pour les hébergeurs WordPress ?

    Une nouvelle menace d’ampleur inédite secoue le web : 2.8 millions de périphériques réseau compromis sont actuellement exploités pour inonder Internet de requêtes malveillantes.

    Chez LRob, en tant qu’hébergeur web, nous avons observé une augmentation spectaculaire des attaques ces derniers jours. Nous vous expliquerons comment nous les bloquons efficacement.

    Ces attaques ne sont pas seulement une nuisance : elles peuvent gravement impacter la performance et la sécurité de vos sites web. Quel est le fonctionnement de l’attaque ? Quel est son impact sur vos sites web ? Comment vous protéger ? Réponses.

    Détails de l’attaque cyber

    Découverte de l’attaque de cybersécurité

    Comme nous l’indique notamment Cyber Security News dans son article, une vaste attaque par brute-force (essai de tous les mots de passe) a commencé par cibler les connexions VPN et pare-feu en utilisant 2,8 millions d’adresses IP. Une sorte de bruteforce croisé à du DDoS (Distributed Denial of Service) géant.

    Détectée pour la première fois en janvier 2025 par la fondation Shadowserver, cette campagne vise les dispositifs de sécurité en périphérie, comme les VPN, pare-feu et routeurs de fournisseurs tels que Palo Alto Networks, Ivanti et SonicWall.

    Les cybercriminels utilisent des réseaux de proxy résidentiels et des appareils compromis, notamment des routeurs MikroTik, Huawei et Cisco, pour mener ces attaques. Plus de 1,1 million d’adresses IP impliquées proviennent du Brésil. Suivi de la Turquie, la Russie, l’Argentine, le Maroc, le Mexique et d’autres pays comme l’Irlande selon certaines observations.

    L’ensemble forme un botnet de plus en plus gros, pouvant mener diverses attaques. Et nous confirmons que cela commence à se voir côté hébergement web avec des attaques grandissantes depuis quelques jours. Il se pourrait donc que de nombreux nouveaux périphériques soient compromis.

    Réaction des organismes officiels de cybersécurité

    Face à cette menace croissante, les agences de cybersécurité internationales (CISA, NCSC, etc.) recommandent aux fabricants d’améliorer la sécurité par défaut de leurs dispositifs et aux entreprises de renforcer la protection de leurs accès réseau. L’utilisation de l’authentification multifactorielle (MFA), la mise à jour régulière des systèmes et la segmentation du réseau sont essentielles pour réduire les risques. Shadowserver avertit que ces attaques devraient se poursuivre, touchant d’autres fournisseurs et régions.

    Propagation aux hébergements web – Observations LRob

    Chez LRob, nous avons observé une augmentation des requêtes illégitimes depuis le début de l’année 2025, puis un bond drastique depuis le 8 février.

    Ce 11 février, c’est le record avec +500% d’attaquants bloqués par rapport à la moyenne habituelle.

    Paradoxe, en cette journée internationale pour un Internet plus sûr, organisée en France par Internet Sans Crainte.

    Un confrère confirme une augmentation simultanée des attaques reçues sur ses machines. Je me rapproche également d’autres confrères hébergeurs pour voir si eux aussi constatent une augmentation des attaques.

    En chiffres bruts, nous avons dépassé 10.000 attaquants bloqués le mardi 11 Février 2025, soit 5x la valeur moyenne.

    Concernant la charge serveur l’utilisation CPU moyenne des serveurs a augmenté d’environ 6%, passant de 14 à 20%. Si cela nous laisse 80% de marge de manœuvre, c’est déjà suffisant pour que nous réagissions (voir plus bas).

    Provenance des attaques

    De notre côté, les attaques proviennent de partout dans le monde et nous n’avons pas fait de statistiques précises sur la provenance, car cela demande une logistique importante pour peu de plus-value. La priorité est de bloquer un maximum d’attaques.

    De plus, le type d’origine des attaques est très varié, cela vient d’IP domestiques comme d’IP en datacenter. Ce qui laisse à penser que nous avons affaire à un énorme botnet.

    Concernant l’origine géographique, avec des pincettes, nous pouvons dire à vue d’œil que les attaques semblent provenir d’un peu partout dans le monde, avec la Chine potentiellement en tête (rien d’inhabituel, donc…).

    Mais on observe également des attaques provenant de Singapour, du Brésil, d’Inde, du Vietnam, du Kazakhstan, Espagne, Finlande, Japon, Corée, Hong Kong, Thaïlande, Canada, USA, Géorgie, France, Italie, Royaume Uni, Bangladesh, Roumanie, Philippines…

    Bref, rien ne se démarque à vue d’œil, les attaques viennent de partout, comme d’habitude.

    Pour un aperçu direct, voyez les reportings LRob sur AbuseIPDB.

    Corrélation n’est pas causalité – Quelques réserves

    Il faut concéder qu’il est impossible de faire un lien certain entre l’attaque mondiale en cours et cette augmentation d’attaques sur les serveurs web et les sites WordPress LRob. En effet, malgré la confirmation d’un confrère, l’échantillon n’est pas suffisant pour conclure avec certitude.

    Cependant la corrélation reste frappante et il ne semble pas délirant de penser que les deux sont liés. Pour aller plus loin, la consultation d’autres confrères pourra nous permettre de vérifier si les attaques sont généralisées ou pas.

    Hébergement WordPress & attaques : quelles conséquences ?

    Les administrateurs, agences web et possesseurs de sites WordPress doivent s’interroger :
    mon hébergement WordPress est-il prêt à encaisser cette vague d’attaques ?

    Que ce soit pour l’attaque actuelle ou les suivantes, si votre hébergeur web ne bloque pas ces attaques, vous pourriez rapidement en subir les conséquences :

    • Lenteurs : des requêtes parasites ralentissent votre site
    • Inaccessibilité : une saturation totale des serveurs peut empêcher toute réponse de votre site
    • Intrusions : une attaque réussie peut compromettre vos données et celles de vos clients
    • Dégradation du SEO : si un seul des points précédents se produit, cela peut dégrader fortement votre référencement

    Comment protéger vos hébergements WordPress ? Méthode LRob.

    LRob pratique déjà le blocage automatique des attaquants directement au niveau des serveurs. Cela réduit drastiquement la charge serveur, améliore les performances et réduit dratiquement le risque par rapport aux hébergeurs classiques. C’est selon nous la meilleure solution, testée et éprouvée depuis des années.

    Un pare-feu applicatif (WAF), et de nombreuses règles de sécurité spécifiques à WordPress sont appliquées : cela permet de conserver vos sites web rapides et protégés.

    Si ces sécurités sont déclenchées, alors l’attaquant est totalement bloqué du serveur. Ses attaques et requêtes n’ont alors plus aucun effet.

    En bonus, on signale l’attaque sur AbuseIPDB pour aider les rares hébergeurs consciencieux à travers le monde.

    Cependant, nous avons malgré cela observé une légère augmentation de 6% de l’utilisation CPU de nos serveurs, et en nombre d’attaques brutes, cela représente comme on l’a vu +500%.

    En vérifiant la cause première de cette augmentation d’utilisation CPU, il s’agissait surtout de requêtes 404 (URLs inexistantes) pour environ 5%, et 1% d’autres requêtes plus complexes.

    Nous avons donc pris des mesures supplémentaires pour retrouver un niveau de charge habituel. En s’ajustant ainsi, nous pouvons continuer d’assurer la performance maximale aux sites hébergés, même en cas d’accentuation de l’attaque. Nous ne sommes pas invincibles (personne ne l’est), mais nous n’avons pas à rougir face aux autres hébergeurs, bien au contraire. Et nous avons d’autres tours dans notre sac si besoin.

    Nouvelles mesures de réduction du gaspillage de ressources

    Certaines IP malveillantes génèrent un flot de requêtes inutiles (erreurs 404, scrapping abusif, etc.), gaspillant des cycles d’horloge processeur sans représenter une menace directe. Et le gaspillage est insupportable.

    Nous avons donc mis en place une règle stricte : Les IP déclenchant trop de 404 sont désormais automatiquement bannies.

    Les résultats sont immédiats :

    • Plus de 500 attaquants bannis grâce à cette règle en 24h
    • Réduction significative de l’utilisation CPU
    • Performance constante pour les visiteurs légitimes

    Bien-sûr, nous ne pouvons pas détailler toutes les nouvelles règles publiquement, mais si vous êtes administrateur de serveur, un conseil : utilisez top/htop (en espérant que chaque site possède son propre user et FPM) et vérifiez vos logs avec de bons “grep”, et enfin, créez des jail custom sur fail2ban… Également, whitelistez les moteurs de recherche comme Google et Bing car ceux-ci déclenchent de nombreuses 404 et il serait dommage de déréférencer vos sites hébergés.

    Pourquoi tous les hébergeurs n’appliquent-ils pas ces sécurités ?

    La détection fine des attaques et le blocage automatique des attaquants est une solution très efficace. Pourtant, tous les hébergeurs n’appliquent pas ce genre de sécurités. Pourquoi ?

    Si l’adresse IP d’un utilisateur légitime déclenche la sécurité par accident, il perd l’accès à son site. On appelle cela un “faux positif”. Et vers qui va-t-il se tourner pour diagnostiquer l’origine du blocage et se faire débloquer ? Vers son hébergeur.

    A ma connaissance, à de rares exceptions près, la plupart des hébergeurs n’ont pas envie d’utiliser leur temps pour cela. Parfois ils sont même difficilement joignables. En pratique, extrêmement peu d’hébergeurs semblent appliquer ce type de sécurités.

    Ne pas appliquer ces sécurités a deux effets principaux :

    • Pour l’hébergeur : cela réduit drastiquement le nombre d’appels et de tickets reçus… Donc les coûts. Cependant, cela augmente drastiquement la charge serveur (l’utilisation inutile de ressources). Chacun fait donc son calcul… Payer des humains, ou payer des machines… Pour beaucoup, le choix semble se tourner vers les machines. Que ceux-là n’osent pas me parler d’éco-responsabilité.
    • Pour les clients : cela réduit dangereusement le niveau de sécurité final de vos sites web, laissant champ libre aux attaquants et pouvant causer des lenteurs.

    Chez LRob, notre but n’est pas de pratiquer des prix planchers et de vous laisser vous faire attaquer et sans support. Nous n’avons pas peur de recevoir vos tickets, emails et appels. Nous restons à votre disposition et ajustons les sécurités en fonction de vos besoins spécifiques. Ainsi, vous êtes bien protégés, conseillés, et débloqués rapidement si besoin. Choisissez votre hébergement WordPress maintenant !

    Au final, quel impact pour LRob ?

    Nous n’avons pour l’heure subi aucune lenteur causée par ces attaques 🚀 (car nous sommes encore très loin d’une saturation serveur grâce à un taux de remplissage raisonné et une optimisation permanente).

    Aucune attaque réussie n’a été détectée. Et toujours aucun site piraté à déplorer. 🔒

    Par ailleurs nous avons retrouvé nos 6% de CPU gaspillés et amélioré encore le niveau de sécurité final.

    Nous restons attentifs, car la sécurité à 100% n’existe pas et personne n’est invulnérable. Nous surveillons donc en permanence les nouvelles menaces et adaptons les systèmes de défense en temps réel. Pour que votre site reste performant et sécurisé, quelles que soient les évolutions du paysage cyber. 🚀

    Optez pour un hébergement WordPress sécurisé et performant

    Un hébergement optimisé ne se limite pas à proposer un espace disque et une bande passante. Il doit anticiper les menaces, protéger activement votre site et garantir une rapidité d’exécution. Votre hébergeur doit aussi vous conseiller au quotidien et vous fournir un vrai support de qualité.

    Avec LRob, vous bénéficiez d’un environnement conçu spécialement pour WordPress, capable de détecter, bloquer et s’adapter aux attaques. Au passage, profitez d’un des du plus hauts niveaux de performances, d’un panel simple et intuitif avec le WordPress Toolkit, et d’un support attentionné !

    Passez à un hébergement WordPress sécurisé dès aujourd’hui ! 🔒🚀

  • Faille de sécurité critique du plugin WordPress LiteSpeed Cache : 5 millions de sites affectés

    Faille de sécurité critique du plugin WordPress LiteSpeed Cache : 5 millions de sites affectés

    Le 19 août 2024, une vulnérabilité critique a été identifiée dans le plugin LiteSpeed Cache, utilisé par plus de 5 millions de sites WordPress. Cette faille permet à un attaquant non authentifié de se faire passer pour un administrateur, compromettant ainsi l’intégrité totale du site.

    Détails Techniques

    La faille a été découverte par WordFence.

    Elle affecte toutes les versions du plugin LiteSpeed Cache jusqu’à la version 6.3.0.1. En exploitant un bug dans la fonction de simulation de rôle, un attaquant peut utiliser un hash pour se faire passer pour un administrateur. Une fois ce hash obtenu, il peut créer un compte administrateur via l’API REST de WordPress, ce qui lui permet de prendre le contrôle du site.

    Le hash utilisé est de seulement six caractères, ce qui le rend vulnérable aux attaques par force brute. De plus, s’il est possible d’accéder aux logs de débogage, ce hash peut être récupéré facilement par un attaquant.

    Que Faire ?

    Ne sous-estimez pas cette vulnérabilité. Les menaces de ce type peuvent rapidement se transformer en catastrophes si elles ne sont pas traitées à temps.

    La solution est simple : mettez à jour LiteSpeed Cache vers la version 6.4.1 ou supérieure. Cette mise à jour corrige la faille.

    Si vous utilisez Wordfence Premium, Care ou Response, une règle de pare-feu a été déployée le 20 août 2024 pour vous protéger. Les utilisateurs de la version gratuite recevront cette protection à partir du 19 septembre 2024.

    Comment rester protégé ?

    Avec le WordPress Toolkit sur les hébergements LRob, vous auriez été alerté automatiquement par mail de la vulnérabilité et la mise à jour aurait pu être automatique 😎. La sauvegarde est complète et quotidienne chez LRob, avec une rétention de 1 an complet !
    Un bon moyen de garder une longueur d’avance sur les menaces de sécurité.

  • 10 critères pour le meilleur Webmaster WordPress en 2025

    10 critères pour le meilleur Webmaster WordPress en 2025

    Quand il s’agit de gérer un site WordPress, il faut trouver un pro, un webmaster qui sait ce qu’il fait. Ce prestataire qui pourra transformer un périple sur internet en une joyeuse croisière !

    Mais comment choisir le bon, voire le meilleur Webmaster WordPress ?

    Découvrez les 10 qualités les plus utiles pour choisir un spécialiste WordPress au top !

    1. Culture WordPress

    Le bon webmaster WordPress doit évidemment connaître WordPress sur le bout des doigts.

    D’abord sa structure technique, mais aussi dans ses aspects fonctionnels et pratiques. En effet, parmi les milliers de thèmes et de plugins, un bon spécialiste WordPress doit connaître les scripts les plus connus et surtout leurs problèmes et solutions les plus communs. S’il ne pourra jamais tout connaître, son bagage lui permettra de s’adapter face aux nouveautés.

    2. Sécurité WordPress proactive

    La sécurité, c’est la base ! Pourtant très peu de gens la maîtrisent. WordPress est très populaire et il faut une sécurité ultra stricte pour éviter les piratages !

    Un bon spécialiste possède une politique de sécurité qu’il peut vous fournir.

    Il met en place tout un tas de mesures transparentes pour vous.
    Par exemple, des vérifications quotidiennes de failles de sécurité, des mises à jour automatiques, des blocages de robots pirates et des pare-feu solides pour protéger votre site.

    Il doit aussi pouvoir vous conseiller sur les éventuelles actions à mener pour rester sécurisé.

    Ainsi, le risque de piratage devient quasi nul. Mais attention : la sécurité parfaite n’existe pas, c’est une illusion et celui qui prétend le contraire est un ignorant ou un menteur ! Mais rassurez-vous, on peut s’approcher bien assez de la perfection et c’est cette direction qu’il faut rechercher.

    3. Gestion des sauvegardes de WordPress

    Des sauvegardes régulières et externalisées, c’est indispensable !

    Sauvegardes quotidiennes et rétention de 12 mois, c’est la tranquillité d’esprit assurée. Les sauvegardes doivent être externalisées du site et même de l’hébergeur principal, et gérées directement au niveau serveur, pour plus de fiabilité. En cas de souci, la restauration doit être rapide. Avec vos arrières ainsi assurées, vous pourrez agir vous-même sur votre site sans la peur de le casser !

    4. Administration système

    Un bon spécialiste doit maîtriser toute la chaîne d’hébergement web. Il doit avoir des compétences d’administration système.

    Ainsi, il comprend les enjeux en termes de chaîne fonctionnement d’un serveur web qui accueille le site, il comprendre les questions de performances, de chaîne de sécurité, il gère aussi les emails, les DNS et noms de domaine sans souci. Il sera ainsi à l’aise dans tous les contextes pour une gestion fluide de votre vie en ligne.

    En fait, il doit littéralement être passionné d’informatique pour avoir une culture vaste et large de tous les outils et connaissances qui permettent une excellente gestion de votre site WordPress.

    5. Il doit vous héberger

    S’il n’héberge pas votre site, votre webmaster sera inefficace et ne pourra garantir sa sécurité.

    Votre webmaster doit disposer d’un serveur sécurisé avec des outils de gestion spécifiques à WordPress.

    En termes de sécurité, on sait que le premier maillon de la chaîne de sécurité est le serveur. Si votre webmaster utilise un bête hébergement mutualisé sans mesures de sécurité spécifiques à WordPress, la sécurité ne peut pas raisonnablement être garantie.

    Et en termes d’efficacité, si votre spécialiste WordPress a tous les accès serveur et centralise la gestion des sites qu’il a en gestion, alors il pourra être beaucoup plus efficace pour résoudre vos problèmes. Entre l’accès aux sauvegardes, l’accès au terminal, l’accès aux logs (historiques des actions et erreurs), cela rend le travail efficace et qualitatif. Les plus exigeants (comme moi) diront qu’on ne peut pas faire du bon travail sans ces outils.

    6. Support humain, réactif et efficace

    Le support doit être rapide, efficace et humain.

    Il doit savoir résoudre les bugs efficacement grâce à une méthodologie bien ficelée. Disponible par téléphone, par mail, par ticket, votre spécialiste doit répondre vite et bien à vos demandes (raisonnables). Si votre site est critique, alors une astreinte doit être disponible pour les interventions d’urgence hors horaire ouvré.

    7. Flexibilité et liberté client

    Vous devez rester libre.

    S’adapter aux besoins de chaque client est essentiel. Vous devez être libre d’accéder à toutes vos données et d’intervenir vous-même sur votre site si vous en avez envie. Et à l’inverse, vous pouvez faire le choix de tout déléguer. Dans tous les cas, le choix doit venir de vous et vous devez être libre de partir quand bon vous semble, quelle qu’en soit la raison.

    8. Autodidaxie et capacité d’adaptation

    Vous cherchez un véritable génie.

    Car WordPress évolue extrêmement vite, votre spécialiste doit être capable d’acquérir de nouvelles connaissances en permanence et de s’adapter à la vitesse de l’éclair. Car il est impossible de tout connaître, même pour un expert, il faut pouvoir apprendre rapidement.

    Ainsi, l’autodidacte ayant déjà appris avec succès par sa propre initiative est souvent plus à même de conserver un excellent niveau dans le temps.

    9. Un bon entourage

    Il sait vous rediriger vers la bonne personne.

    Demain, vous aurez peut-être des besoins particuliers dans le web. Par exemple, de lancer une campagne webmarketing, d’être davantage présent sur les réseaux sociaux, de refaire votre charte graphique, ou même pourquoi pas de créer un événement physique.

    Le bon spécialiste WordPress ne peut pas connaître l’ensemble de ces sujets car il est spécialisé dans WordPress; par contre, il doit pouvoir vous rediriger vers des prestataires de confiance pour accomplir vos ambitions.

    10. Sympathie et franc-parler

    Visez une relation de confiance.

    Votre webmaster est votre meilleur allié, vous avez besoin de lui pour vous accompagner sur internet autant qu’il a besoin de vous pour être fier de son travail et gagner sa vie. Le courant doit bien passer, la conversation doit être fluide et sans filtres.

    Le summum : il doit pouvoir vous dire les vérités difficiles à entendre lorsque vous en avez besoin pour évoluer dans le bon sens !

    Où trouver ce webmaster spécialiste WordPress idéal ?

    Si vous souhaitez cocher toutes ces cases, je suis votre homme.

    Découvrez mes services de webmastering.

  • Cybersécurité – Pourquoi faire un audit de sécurité WordPress ?

    Cybersécurité – Pourquoi faire un audit de sécurité WordPress ?

    WordPress : Un CMS populaire mais vulnérable

    WordPress est sans conteste le CMS le plus utilisé au monde. Sa popularité en fait une cible privilégiée pour les pirates. Posséder un site WordPress implique donc une vigilance constante en matière de sécurité. Mais pourquoi est-il si important de faire auditer la sécurité sécurité d’un site WordPress ? Quels sont les risques encourus, et pourquoi cela revêt-il une importance particulière pour les entreprises dont le site web est central à leur activité ?

    Les risques de sécurité : une réalité inévitable

    Le cyberespace est truffé de dangers potentiels. Pour un site WordPress, les menaces peuvent se concrétiser de diverses manières :

    • Redirections frauduleuses : Votre site peut être détourné pour rediriger les visiteurs vers des sites malveillants.
    • Blacklistage : Votre site peut être marqué comme dangereux, entraînant une perte de confiance et de trafic.
    • Spam et vol de données : Les pirates peuvent utiliser votre site pour envoyer du spam en votre nom ou voler les adresses emails de vos utilisateurs et clients.

    Ces situations peuvent causer des dommages irréparables à votre entreprise, nuisant à votre réputation et impactant directement votre chiffre d’affaires. Imaginez le coût et la perte de crédibilité si vos clients recevaient des spams en votre nom, ou si leurs données personnelles étaient compromises.

    L’importance de l’audit pour les entreprises

    Pour les entreprises, en particulier celles dont le site web joue un rôle indispensable, la sécurité doit être une priorité absolue. Si votre site génère des revenus, collecte des données sensibles, ou sert de vitrine principale pour vos produits et services, un audit de sécurité WordPress devient indispensable. Un site piraté peut entraîner des pertes financières importantes, des litiges juridiques, et une dégradation de l’image de marque.

    Au-delà du CMS : L’importance d’auditer le serveur

    Il est important de comprendre que sécuriser uniquement le CMS WordPress n’est pas suffisant. Un site web repose sur une infrastructure complexe où chaque maillon de la chaîne compte. Le serveur hébergeant votre site joue un rôle clé dans sa sécurité globale.

    Le niveau de sécurité final est égal à celui du maillon le plus faible de la chaîne.

    Ainsi, un audit de sécurité complet doit inclure l’analyse de la sécurité du serveur:

    • Évaluation des configurations du serveur
    • Vérification des accès
    • Vérification des ports ouverts et des services actifs
    • Évaluation des versions logicielles et des failles de sécurité
    • Évaluation et préconisations de politiques de maintenance

    Protégez votre site, protégez votre entreprise

    Un audit de sécurité WordPress est bien plus qu’un simple examen du CMS. C’est une évaluation complète de l’ensemble de l’infrastructure qui soutient votre site web. En prenant des mesures proactives pour sécuriser votre site, vous protégez non seulement vos données, mais aussi la réputation et la viabilité de votre entreprise.

    Ne laissez pas les pirates prendre le dessus. Investissez dans un audit de sécurité WordPress et assurez-vous que votre site reste un atout précieux pour votre business, et non une vulnérabilité exploitée par des cybercriminels.

  • Votre site WordPress est vulnérable

    Votre site WordPress est vulnérable

    Beaucoup se demandent comment WordPress peut être vulnérable aux attaques malgré sa popularité et son suivi. D’autres ignorent totalement le risque. Analyse.

    Qu’est-ce qu’une vulnérabilité ?

    WordPress est programmé avec le langage PHP.
    Le code PHP permet d’obtenir des sites “dynamiques”. C’est à dire que le contenu est généré à chaque page par un programme PHP. Un site dynamique permet aussi l’interaction avec les visiteurs. En termes techniques, il permet de recevoir et traiter des requêtes.

    Cette force est aussi une faiblesse en ce sens qu’elle peut laisser place à des interactions non désirées, permettant ainsi le piratage d’un site internet.
    On appelle cela une “faille de sécurité” ou “vulnérabilité”.

    Les vulnérabilités en PHP

    Les vulnérabilités dans le code PHP peuvent avoir diverses causes.
    En voici quelques exemples fréquents.

    1. Entrées non validées : Lorsque le code PHP accepte des données d’utilisateurs, telles qu’un formulaire ou une requête, sans validation appropriée, il peut être vulnérable aux attaques d’injection de code malveillant.
    2. Permissions excessives : L’attribution de permissions excessives aux fichiers et aux utilisateurs peut permettre des attaques de manipulation non autorisée.
    3. Mauvaise gestion des erreurs : La révélation d’informations sensibles dans les messages d’erreur peut donner aux attaquants des indices pour exploiter davantage le système.

    En outre, il peut y avoir des vulnérabilités dans PHP. L’exécuteur PHP lui-même, contient parfois des failles de sécurité s’il n’est pas tenu à jour. (voir image)

    D’autres failles non liées directement à PHP telles que les failles XSS sont également courantes. Celles-ci permettent d’exécuter du code malveillant.

    Nous allons voir comment cela s’articule concrètement pour WordPress.

    Source: Versions de PHP supportées

    Les vulnérabilités des sites WordPress

    Failles de sécurité dans WordPress

    WordPress est un système de gestion de contenu robuste, mais il comporte près d’un million de lignes de code PHP (924.096 lignes présentement).
    WordPress, ce sont aussi 59.772 plugins et 11.378 thèmes disponibles rien que sur wordpress.org. Des millions de lignes de code en plus disponibles à l’installation sur votre site.
    Cette richesse de code crée un terrain fertile pour les failles de sécurité. Plus vous multipliez le code, plus vous multipliez le risque. Ainsi, chaque jour, des vulnérabilités sont découvertes. Elles peuvent se trouver dans le cœur de WordPress mais aussi des thèmes et plugins installés.

    Détection, correction, révélation des failles

    Si un intervenant détecte une faille (un développeur particulier, un “white hat”, un organisme spécialisé dans la sécurité), il averti les développeurs du script comportant la faille.

    Si les développeurs sont réactifs, ils corrigent la faillent et publient le correctif.

    Puis, typiquement 30 à 90 jours après sa découverte, la faille de sécurité est révélée publiquement. Afin d’une part de donner crédits de la découverte au lanceur d’alerte, et d’autre part d’avertir les usagers du script du risque encouru en cas de non mise à jour.

    Faille actuelle non corrigée

    WordPress comporte actuellement une faille non corrigée depuis la version 6.1.1 (donc depuis plusieurs mois). Celle-ci permet d’utiliser un site web pour exécuter des requêtes vers d’autres cibles. Elle est mitigable en bloquant l’accès à xmlrpc.php et en désactivant les pingbacks WordPress (sécurisation effectuée sur tous les sites que j’ai en gestion avant même la détection de cette faille).

    Quand est-ce que WordPress est vulnérable et que faire ?

    Failles révélées

    Lorsqu’une faille est révélée, toutes les installations possédant le script vulnérable sont par essence atteints de cette vulnérabilité. Les pirates risquent d’exploiter la faille si c’est votre cas.

    On trouve alors deux cas de vulnérabilités :

    • Votre site comporte un script (WordPress, plugin, thème) ayant une faille connue et n’étant pas corrigée par les développeurs. Le développement de ce script est peut-être abandonné. Il convient alors de désactiver ce script ou de le remplacer par un script non vulnérable et mieux suivi par ses développeurs.
    • Votre site n’est pas à jour. Vous n’avez pas corrigé la faille de sécurité. Il faut donc effectuer les mises à jour le plus régulièrement possible et vous assurer de ne pas avoir de script obsolète (ce qui vous mettrait potentiellement dans le cas précédent à terme).

    Failles “zero-day”

    Parfois, les pirates vont trouver une faille avant qu’elle soit révélée puis corrigée. Ils vont l’exploiter directement. On appelle cela une faille “zero-day”.

    Plus un script est populaire, plus les pirates vont chercher des failles zero-day dans celui-ci. Cela est rare, mais arrive.
    Voici une autre raison de concevoir des sites simples : Plus vous multipliez les plugins populaires, plus vous multipliez la vulnérabilité de votre site WordPress. Non seulement aux failles zero-day, mais également aux failles en général.

    Pour se protéger des failles 0-day, il faut que le serveur hébergeant votre site soit sécurisé. Pour cela, il peut notamment bloquer les requêtes suspectes des pirates à l’aide d’un pare-feu applicatif. Puis bloquer les IP attaquantes avec par exemple fail2ban. Cela n’est généralement pas le cas sur les offres d’hébergement mutualisées. A l’exception d’HaiSoft chez qui j’ai poussé ces sécurités, ce qui a d’ailleurs grandement divisé le nombre de piratages. Mais cela peut créer des faux positifs : Des requêtes bloquées alors qu’elles sont légitimes, en particulier avec les builders WordPress (Elementor, Divi, WP-Bakery et autres). Le support technique demandé est alors supérieur, raison pour laquelle la plupart des prestataires n’implémentent pas ce type de sécurités. La sécurité est toujours plus complexe que l’absence de sécurité.

    Malgré toutes les sécurités possibles en place, il faut garder à l’esprit que certaines requêtes pirate peuvent passer outre les filets. Le risque zéro n’existe pas et quiconque prétend le contraire est un ignorant ou un menteur.

    Alors comme la sécurité parfaite n’existe pas, partez du principe que votre site peut être piraté demain. Si cela arrive, que faites-vous ? Vous avez intérêt à avoir une sauvegarde à jour, facilement restorable et qui ne soit pas stockée dans votre site.

    Conclusion

    Les piratages n’arrivent pas qu’au autres. Très régulièrement, des possesseurs de sites WordPress viennent à ma rencontre avec un site web piraté à réparer.

    Tout système informatique est potentiellement vulnérable, y-compris votre site WordPress. L’enjeu est de minimiser les risques de piratage en appliquant toutes les mesures préventives. Cela passe d’abord par un serveur à jour et sécurisé, capable de bloquer les attaques. Puis, cela passe par un suivi régulier de votre site WordPress et une mise à jour la plus fréquente possible, une vérification permanente des failles de sécurité connues et une action rapide en cas de problème. Dans tous les cas, une sauvegarde externalisée, automatisée et indépendante de votre site doit être effectuée quotidiennement. C’est précisément l’ensemble des services que vous retrouverez dans mes offres de Webmastering WordPress.

    Si votre site est important pour votre entreprise, n’attendez pas d’être piratés, prenez les devants et faites vérifier votre site grâce à un audit de sécurité WordPress ou passez directement sur mon offre de Webmastering.

  • Comment vérifier si mon site WordPress a été piraté ? Les signes révélateurs à connaître

    Comment vérifier si mon site WordPress a été piraté ? Les signes révélateurs à connaître

    Il est parfois difficile de faire la différence entre un dysfonctionnement et un piratage. Pourtant, des signes évocateurs d’intrusion sur votre site existent. Aujourd’hui, voyons les 8 signes les plus courants pour repérer un piratage de votre site WordPress.

    ❌ Attention : en cas de doute, il est préférable de ne pas vous connecter à l’administration du site. En effet, si votre site est piraté, cela peut permettre au pirate de récupérer votre mot de passe. De plus, le pirate peut enclencher certaines actions automatiquement lorsque vous agissez sur le site piraté, ce qui empirerait la situation.

    ✅ Si vous pensez que votre site est piraté, il faut suspendre votre hébergement en attendant de traiter votre site au niveau des fichiers et de la base de données directement.
    La réparation d’un site WordPress demande de respecter un protocole scrupuleux comme celui que je propose dans mon service de réparation et sécurisation de sites WordPress piratés. En cas de doute, contactez-moi et bénéficiez d’une évaluation gratuite et de mesures de sécurité immédiates.

    1. Publicités et redirections non autorisées

    Des publicités indésirables ou des redirections vers des sites tiers apparaissent sur votre site.

    Cause et explication

    Le pirate a pu s’introduire dans les fichiers du site et/ou la base de données pour insérer ces pubs et redirections. Son but est de voler votre traffic pour générer des revenus.

    2. Impossible de vous connecter en tant qu’administrateur

    Votre mot de passe administrateur ne fonctionne plus ou semble changer de manière inattendue après chaque réinitialisation.

    Cause et explication

    Le pirate a introduit un backdoor (du code caché dans votre site) lui permettant de changer l’ensemble des mots de passe à souhait.

    3. Vous recevez des notifications de mails rejetés

    Vous recevez des notifications de courriels rejetés (aussi appelés bounce ou “mailer-daemon”) que vous n’avez pas envoyés vous-même.

    Cause et explication

    Le pirate utilise votre site pour envoyer des emails ou a pu compromettre votre mot de passe de messagerie. Dans certains cas, ils utilisent simplement un formulaire de contact mal configuré et mal sécurisé en tant que plateforme pour envoyer des emails vers les destinataires de leurs choix, ce qui doit également être traité afin d’éviter votre blacklisting.

    4. Alerte de sécurité Google Safe Browsing ou antivirus

    A la visite de votre site, votre navigateur vous affiche une alerte de type “Site dangereux ou malveillant”, soit via Google Safe Browsing, soit via votre antivirus. L’URL bloquée affichée appartient à votre site ou à un site tiers.

    Cause et explication

    Votre site contient des URLs de phishing, des programmes malveillants, ou redirige vers des sites malveillants. Google tient une base de données de ces sites malveillants que tous les navigateurs web utilisent, ce qui permet de protéger les visiteurs de la sorte.

    5. Contenu indésirable et langues étrangères

    Vous observez des articles ou pages supplémentaires ou modifiés dans votre site. Souvent en langue étrangère. Et souvent avec des liens suspects vers d’autres sites.

    Cause et explication

    Le pirate contrôle votre site. Soit via un compte administrateur ajouté, soit via un backdoor lui permettant d’injecter du code dans la base de données. Cela lui permet notamment d’insérer tout le contenu qu’il souhaite.

    Ne pas confondre avec des commentaires “spam”. Ce souci doit être traité mais n’indique pas nécessairement la compromission de votre site.

    6. Utilisateurs inconnus

    Vous observez la présence d’un ou plusieurs utilisateurs administrateurs inconnus dans la liste d’utilisateurs WordPress. Parfois, vous observez que les détails de vos compte administrateur existants ont changé.
    NB : Comme il faut éviter de se connecter à l’administration du site, cela peut aussi se voir dans la table wp_users de la base de données (via phpMyAdmin par exemple).

    Cause et explication

    Le pirate contrôle votre site. Soit via un compte administrateur ajouté ou compromis, soit (et c’est le cas le plus courant) via un backdoor lui permettant d’injecter du code dans la base de données. Cela lui permet notamment de contrôler les utilisateurs du site.

    Ne pas confondre avec des utilisateurs indésirables pouvant s’inscrire sur votre site. Ce souci doit être traité mais n’indique pas nécessairement la compromission de votre site.

    7. Pages de phishing

    Vous remarquez via un outil de statistiques ou lors de l’exploration des fichiers de votre site que des URLs ou fichiers (souvent .html) ressemblent à des pages de sites connus.

    Cause et explication

    Cela s’appelle du phishing. Le pirate a pris le contrôle de votre site et peut inscrire les fichiers de son choix dans celui-ci ou écrire dans la base de données. Le phishing permet au pirate des visiteurs auxquels il a précédemment envoyé de faux mails vers votre site, ce afin de de l’utiliser comme passerelle et de récupérer des informations personnelles de ses victimes.

    8. Fichiers intrus

    Pour cela il faut explorer les fichiers du site via FTP ou via votre panel hébergeur. Vous remarquez ne serait-ce que un fichier ou dossier intrus dans vos fichiers WordPress. Parfois des fichiers en “.zip” et parfois dans les dossiers sous-jacents. En cas de doute comparez avec l’archive sur wordpress.org.

    Cause et explication

    Le pirate a pu envoyer des fichiers indésirables dans votre site et en possède désormais le contrôle total. Il peut lire les fichiers existants et en ajouter de nouveaux. Il aura généralement pris soin de cacher des fichiers “backdoor” partout dans les fichiers afin d’essayer de garder un accès au site même si vous en nettoyez le contenu.

    Pour aller plus loin

    Idéalement, vous devez héberger votre site sur un serveur sécurisé tel que je le propose dans mes offres d’hébergement et webmastering. Ainsi les pirates sont automatiquement bloqués, réduisant drastiquement tout risque de piratage. Aussi, les fichiers malveillants sont régulièrement scannés au niveau du serveur ce qui est le moyen le plus fiable de procéder.

    Si aucune mesure de sécurité particulière n’existe sur le serveur hébergeant votre site, vous pouvez dans un premier temps utiliser le plugin WordFence qui, bien que lourd et ralentissant votre site, permettra au moins de scanner votre site à la recherche de malwares et de vous protéger de certaines attaques basiques.

    Si vous repérez l’un de ces signes de piratage, ne tardez pas à me contacter pour une assistance immédiate.

    Une vigilance constante est essentielle pour maintenir votre site WordPress sécurisé. J’offre cela via mes services de webmastering.

    Dans les prochains articles, nous aborderons d’autres sujets liés à la sécurité de votre site WordPress. Restez à l’écoute.

  • Attaques de sites WordPress : Pourquoi et comment opèrent les pirates ?

    Attaques de sites WordPress : Pourquoi et comment opèrent les pirates ?

    Mettons-nous dans la peau des pirates attaquant des sites WordPress.
    Comprenons comment ils pensent et opèrent, pour mieux nous protéger.

    Le but des pirates

    Les pirates sont généralement motivés par l’argent. Si leurs attaques sont souvent bêtes et méchantes, il ne faut cependant pas les sous-estimer car certains se montrent malins.

    Pour générer des revenus, les pirates sont prêts à tout. Ils détournent les visiteurs des sites piratés via des liens sponsorisés ou redirections, ou ajoutent des publicités intempestives dont ils récoltent les revenus. Ils ajoutent aussi parfois des liens ou vers d’autres de leurs sites infectés de sorte à tenter de les référencer sur Google.

    Souvent sans limite, ils vont également jusqu’à héberger du phishing sur votre site. C’est à dire des copies de sites institutionnels. Cela leur permet de renvoyer des victimes à qui ils ont précédemment envoyé de faux mails pointant vers ces liens, et ainsi de récupérer leurs informations personnelles de connexion à ces comptes réels. Parfois, il peut s’agir de comptes bancaires ou de santé.

    Dans les piratages ciblés, la motivation est idéologique ou politique.

    Plus marginalement, on observe aussi des concours de piratages, ayant lieu parfois sur des événements type “hackathon”, où le but est alors seulement d’inscrire sa signature, parfois par contre, en défaçant totalement le site. Je n’ai cependant pas observé ce type de hack depuis quelques années, donc il semble que cette pratique se perde pour le moment.

    Pourquoi attaquer des sites WordPress ?

    WordPress est très largement utilisé, avec 43% des sites web dans le monde. Cela en fait une cible de choix pour les pirates informatiques. Attaquer WordPress leur permet donc de maximiser leurs résultats lors de leurs attaques. C’est exactement le même principe qu’avec Windows qui est le système d’exploitation le plus populaire donc le plus attaqué.

    Aussi, WordPress est très riche en termes de code et de fonctionnalité mais aussi de documentation. Si bien que de nombreuses failles sont régulièrement rendues publiques. Il est important de noter que les failles concernent aussi et surtout les nombreux plugins et thèmes de WordPress.

    Mode opératoire des pirates

    Il est relativement facile d’identifier des sites WordPress en masse sur internet. Les pirates se créent donc des listes de sites WordPress.

    Ils vont ensuite croiser ces listes avec les failles de sécurité connues de WordPress.

    Il leur faut alors écrire ou trouver dans des communautés pirates des “exploits”, c’est à dire des requêtes ou codes à utiliser pour exploiter ces failles.

    Une fois leurs “exploits” trouvés, ils programment des robots qui tentent automatiquement de les utiliser sur l’ensemble de ces sites. Ces robots sont souvent mis en place sur des serveurs et ordinateurs personnels précédemment infectés. On appelle l’ensemble de ces robots un “botnet”.

    Pour attaquer plus efficacement, certains pirates un peu plus doués vont au préalable lister les plugins et thèmes installés sur chaque site ainsi que leurs versions. En connaissant la version des scripts, quiconque peut connaître les failles de sécurité présentes dans chaque version. Cela fait d’ailleurs partie des actions menées lors d’un audit de sécurité WordPress. Les pirates se servent de cette méthode pour trouver et exploiter bien plus efficacement les failles présentes dans chaque site.

    Certains pirates encore plus doués planifient leurs attaques à l’avance, ciblant parfois de nombreux sites d’un hébergeur en particulier, de sorte à tenter d’en saturer le support utilisateur et à faire perdurer leur hack le plus longtemps possible.

    C’est ainsi que l’on observe des vagues de piratages. A noter que certaines vagues de piratages ont aussi parfois lieu car une nouvelle faille a été découverte par les pirates avant d’avoir été corrigée par les développeurs. On appelle cela une “vulnérabilité zero-day”.

    Attaques ciblées

    Votre site n’a pas besoin d’être spécifiquement ciblé pour être piraté. Car comme on l’a vu, les pirates attaquent des milliers de sites WordPress par jour de manière automatisée. C’est ainsi que des touts petits sites avec seulement quelques dizaines de visiteurs par jour, des sites de petites associations ou communes peuvent être piratés.

    Néanmoins si votre site possède une quelconque faille de sécurité, une attaque ciblée, opérée et dirigée directement par un pirate, aboutira très rapidement au piratage complet de votre site.

    Les attaques ciblées sont relativement rares (moins de 3% des cas de hack selon mon expérience). Les cibles de choix dans ce cas sont principalement politiques, médiatiques, ou idéologiques. Autrement dit, les attaques ciblées visent plutôt les sites institutionnels ou à contenus chargées idéologiquement. Si tel est votre cas, n’attendez pas qu’il soit trop tard et offrez-vous un Audit de sécurité WordPress.

    Pour aller plus loin

    Vérifier si mon site est vulnérable

    Il est possible de tester la vulnérabilité de votre site internet via mon audit de sécurité WordPress.

    A noter que ce service est inclus dans mon offre de Webmastering Critical. La mise à jour des scripts WordPress est quotidienne, je reçois un mail en cas de faille, et je monitore les scripts obsolètes. Je parviens aussi sur mes hébergements à détecter l’activité des robots pirates et à les bloquer automatiquement par centaines chaque jour. Les attaques manuelles sont également bloquées ; c’est ainsi qu’un grand groupe de sécurité m’a demandé lors d’un audit sur un site que j’héberge de les débloquer afin qu’ils puissent continuer leurs tests, car toutes leurs IP avaient été bloquées automatiquement par mes sécurités.