Pourquoi est-il crucial de mettre à jour les scripts WordPress et de sécuriser votre site

Publié: 2012-03-07

WordPress Security Updates La cause la plus fréquente de sites Web piratés et d'injections de logiciels malveillants pour les utilisateurs de WordPress est des scripts obsolètes comme les plugins, les thèmes et WordPress lui-même.

Si vous ne mettez pas à jour tous vos scripts et ne sécurisez pas WordPress, vous risquez de constater que votre site est piraté et injecté de logiciels malveillants ou de codes malveillants.

Si un pirate peut accéder via un script obsolète sur un site, il peut accéder à tous vos sites et bases de données sur ce serveur.

Voici comment vous saurez normalement :

WordPress security malware warning

Ce qui se passe, c'est qu'un pirate peut accéder à des scripts vulnérables qui ont des problèmes de sécurité connus avant de mettre à jour le plugin ou le thème.

Ils peuvent alors injecter des logiciels malveillants et vous pourriez accidentellement télécharger un cheval de Troie ou un autre fichier malveillant sur votre ordinateur local si vous ou un visiteur du site cliquez sur un lien sur le site infecté.

Une autre façon de pirater votre site consiste à utiliser un script obsolète et à accéder à votre serveur et à ajouter des redirections malveillantes dans votre fichier .htaccess afin que votre site redirige vers un site distribuant des logiciels malveillants. Cela amènera le bot Google à signaler que votre site est associé à des logiciels malveillants.

J'ai récemment découvert qu'un ancien blog que je n'utilise pas très souvent a été infecté et j'ai remarqué l'avertissement dans Google Webmaster Tools. Le point d'entrée le plus courant aurait été un script obsolète car je n'ai mis à jour aucun plugin ou thème sur ce site depuis plusieurs mois.

Remarque : L'avertissement ne s'affiche que lors de l'utilisation d'un navigateur Google ou Firefox ou lors de la consultation des pages de résultats de recherche de Google. Il ne s'affichait pas avec Internet Explorer ou dans Bing SERPS.

Contactez votre hôte

J'ai contacté mon hébergeur pour savoir quoi faire et voici sa réponse :

Un logiciel malveillant sur votre compte que vous n'y avez pas mis indique qu'un attaquant a trouvé et exploité une vulnérabilité dans un script sur votre compte. Le serveur n'a pas été compromis, juste votre compte sur le serveur.

Cela se produit en raison d'un code non sécurisé ou d'installations obsolètes de scripts basés sur Php/MySQL tels que WordPress.

Comment mettre à jour mes scripts sans me connecter à mon tableau de bord depuis le front-end ?

Vous feriez simplement cela via les fichiers et cPanel directement. Si vous ne savez pas comment réparer vous-même le code, vous pouvez toujours contacter une société de sécurité de site Web.

La meilleure entreprise de sécurité de site Web que je puisse recommander est http://wewatchyourwebsite.com

Les programmes qui exploitent des sites basés sur des bases de données sont vulnérables aux pirates, qui peuvent (et font) exploiter les bogues de ces programmes pour obtenir un accès non autorisé à votre site. Bien que nos serveurs soient exceptionnellement sécurisés, vos scripts peuvent ne pas l'être.

La meilleure chose à faire est de toujours garder vos scripts à jour, votre code propre et vos mots de passe sécurisés. Voici quelques étapes qui peuvent vous aider à sécuriser votre site.

Il n'y a que deux manières pour qu'un compte soit infecté :

  • Vous exécutez un script non sécurisé sur votre compte qui est utilisé pour entrer par effraction.
  • Votre ordinateur est infecté et ils ont piraté votre compte via votre propre ordinateur ou en saisissant votre mot de passe.

La sécurisation de vos scripts et la sécurisation de votre PC relèvent de votre responsabilité.

Que s'est-il réellement passé

Le pirate a eu accès à mon serveur à partir d'un plugin obsolète et voici la réponse de mon hébergeur :

Il semble que votre compte d'hébergement ait été piraté. /home2/austrar2/public_html/da/.htaccess contient un code de redirection malveillant. Vous voudrez examiner vos fichiers pour détecter d'autres contenus malveillants. Je te conseille aussi ceci : .

Impossible de se connecter au site piraté

Vous constaterez peut-être que vous ne pouvez pas vous connecter à votre tableau de bord WordPress, ce qui était le cas dans ma situation lors de l'utilisation de Google Chrome.

Votre base de données sera probablement infectée par des logiciels malveillants. Le seul moyen de réparer votre site est donc de restaurer la sauvegarde effectuée avant le piratage et l'injection de logiciels malveillants.

Réparer le site piraté

Plutôt que de passer du temps à essayer de réparer tous les fichiers .htaccess, j'ai simplement supprimé l'intégralité du dossier public et toutes les bases de données de mon serveur et restauré les sauvegardes complètes.

J'ai en fait découvert que tous mes fichiers .htaccess sur ce serveur contenaient des redirections vers un site russe

La restauration a été très facile car je prends toujours une sauvegarde complète après avoir ajouté de nouveaux messages et en stocke des copies à plusieurs endroits.

Certains des meilleurs emplacements pour stocker une sauvegarde complète sont :

  • Ordinateur local
  • Disque dur externe ou clé USB
  • Boîte de dépôt
  • Amazon s3

Si vous effectuez une sauvegarde complète après chaque nouveau billet de blog et que vous la copiez sur plusieurs emplacements de stockage externes, vous n'avez rien à craindre.

Sécurité informatique locale

Assurez-vous d'utiliser un antivirus si vous stockez votre sauvegarde complète sur votre ordinateur local. Si vous n'avez pas installé d'antivirus, voici un lien vers un téléchargement gratuit de Microsoft Security Essentials pour les utilisateurs de Windows.

Ne comptez pas sur votre hôte pour la sauvegarde ou pour sécuriser votre serveur !

Que se passe-t-il si vous ne stockez pas de sauvegarde complète hors site ?

Voici un exemple concret de ce qui est arrivé à 4800 sites Web piratés perdus sans aucune chance de récupération !

Restauration de la sauvegarde WordPress

J'utilise le meilleur plugin de sauvegarde et de restauration pour WordPress, backupbuddy, qui s'est avéré très utile pour restaurer les sauvegardes et passer également à un nouveau serveur, hôte ou domaine.

La plupart des hébergeurs ne fournissent que des sauvegardes nocturnes qui pourraient également être affectées et donc inutiles. Prendre vos propres sauvegardes nocturnes et les stocker loin de votre serveur dans un emplacement sécurisé est le meilleur moyen de vous assurer d'avoir des sauvegardes complètes qui ne contiennent pas de logiciels malveillants.

Empêcher le piratage

Voici une liste de contrôle de sécurité que vous pouvez consulter et qui peut grandement aider à sécuriser les sites de votre compte :

1. Modifiez l'adresse e-mail de l'administrateur de votre compte.
2. Modifiez le mot de passe de votre compte.
3. Modifiez la carte de crédit enregistrée sur votre compte.
4. Mettez à jour et appliquez tous les correctifs, mises à niveau ou mises à jour que le fournisseur tiers ou le développeur Web de vos scripts peut avoir à disposition.
5. Corrigez toutes les autorisations de fichiers lâches (il s'agit peut-être de la vulnérabilité d'exploitation la plus courante)
6. Supprimez tous les comptes FTP non-système qui ont été créés ou, à tout le moins, modifiez les mots de passe des comptes FTP.
7. Supprimez tous les hôtes d'accès en cliquant sur l'icône "Remote Mysql" et en cliquant sur Supprimer le X rouge à côté de chaque entrée s'il y a des entrées.
8. Vérifiez vos scripts pour toutes les attaques d'injection d'en-tête, les attaques d'injection Sql, les attaques de script intersite, etc., ainsi que les paramètres de votre fichier php.ini.
9. Vérifiez vos ordinateurs personnels/professionnels pour détecter tout virus, cheval de Troie ou enregistreur de frappe.

Plugins de sécurité WordPress

Quelques plugins WordPress ont été créés pour sécuriser WordPress et empêcher les pirates d'accéder à vos fichiers et bases de données.

  • Sécurité à toute épreuve
  • WordPress sécurisé
  • Meilleur plugin de sécurité WP
  • Limiter les tentatives de connexion WordPress

Conclusion

J'ai déjà rendu compte de Bitly et de la façon dont ils mettent sur liste noire les liens légitimes avant même de les tester, alors soyez prudent en utilisant un raccourcisseur de lien pour le suivi.

Si vous avez des liens dans vos commentaires ou n'importe où sur votre site et que le site lié distribue des logiciels malveillants ou a été signalé, vous pouvez également être mis sur liste noire par Google et Firefox.

Je n'aurais jamais pensé que cela m'arriverait, mais cela peut arriver à n'importe qui et trouver le logiciel malveillant pourrait être un cauchemar que vous auriez à faire si vous n'avez pas de sauvegarde complète stockée localement qui n'est pas affectée.