WordPress est sans aucun doute le CMS le plus populaire au monde. Celui-ci est derrière la création de plus de 70% des sites web présents sur la toile. Malheureusement, cette popularité immense fait que ce CMS est trop souvent ciblé par les hackers. Quelles sont les techniques qu’ils utilisent ? C’est ce que nous allons voir ensemble dans cet article.
Version obsolète de WordPress
WordPress est un CMS qui est souvent mis à jour. Chaque nouvelle version apporte son lot de correctifs et d’options supplémentaires, notamment au niveau de la sécurité.
Par simple oubli, ou par peur de perdre leurs données, de nombreux propriétaires de sites WordPress ne font pas la mise à jour au moment venu. Le résultat est que ces sites deviennent vulnérables face à des cyberattaques qui sont de plus en plus innovantes.
Des thèmes et plugins obsolètes
Pour les thèmes et plugins WordPress, la donne est la même. C’est d’ailleurs la première faille exploitée lors de pentest. En effet, quand ces derniers ne sont pas mis à jour, les brèches sécuritaires qu’ils comprennent deviennent facilement exploitables par les pirates informatiques.
Un webmaster doit donc tenir compte de deux éléments essentiels :
- Utiliser le moins de plugins possibles (ne garder que ceux dont le site a impérativement besoin)
- Mettre à jour ces plugins à chaque fois qu’une nouvelle version est disponible
Généralement, quand une mise à jour de WordPress, de thèmes ou de plugins sort, l’utilisateur en est notifié depuis son tableau de bord WordPress.
Piratage des identifiants
Les identifiants WordPress (login et mot de passe) peuvent également être piratés. Une simple erreur humaine peut conduire à la divulgation de ces données sensibles aux mauvaises personnes. C’est pour cette raison, qu’il est fortement conseillé aux sociétés de former leurs employés aux bonnes pratiques de la sécurité informatique. Les identifiants doivent également être sécurisés, et n’être communiqués qu’aux personnes travaillant sur le site WordPress de la société.
De plus des failles de certaines fonctionnalités de WordPress peuvent permettre à un hacker malveillant ou à un pentesteur bienveillant d’énumérer certains noms d’utilisateurs. Encore une fois, la prudence est de mise et l’installation d’un plugin de sécurité apparaît comme une évidence pour tous les possesseurs de site wordpress.