Vous craignez que des pirates informatiques n’attaquent votre site web ?
Le cross-site scripting, également appelé XSS, est l’une des attaques les plus courantes contre les sites WordPress. Les pirates trouvent des vulnérabilités sur votre site et les utilisent pour voler des informations et utiliser votre site web à mauvais escient.
Le pire, c’est que si vous n’y remédiez pas immédiatement, ces piratages peuvent entraîner des dommages plus graves, dont il est très difficile de se remettre.
Vous pouvez empêcher ces piratages en installant un pare-feu sur votre site WordPress.
Si votre site web est déjà attaqué, nous vous montrerons comment y remédier immédiatement dans un langage simple et accessible aux débutants. Nous réduirons le jargon de la cybersécurité au strict minimum dans ce tutoriel. Nous vous montrerons également comment prévenir les attaques futures.
Tout d’abord, comprenons rapidement ce qui se passe lors d’une attaque XSS afin d’être mieux équipé pour y faire face.
Qu’est-ce qu’une attaque XSS sur WordPress ?
XSS est l’abréviation de Cross Site Scripting, une sorte d’attaque par injection dans laquelle les pirates injectent des scripts malveillants dans un site web.
Ces scripts sont déguisés en bon code sur un site web de confiance. Ensuite, lorsqu’un utilisateur arrive sur ce site, son navigateur exécute tout le code, y compris le script malveillant, parce qu’il pense qu’il s’agit d’instructions fiables.
En termes plus simples, imaginez que vous êtes un espion et que vous venez de recevoir un courriel officiel du gouvernement concernant une mission top secrète. Il contient toutes les instructions que vous devez suivre à la lettre.
Ce que vous ne savez pas, c’est que quelqu’un a intercepté cet e-mail et y a ajouté quelques instructions supplémentaires. Le gouvernement n’en a aucune idée et vous ne prenez pas la peine de vérifier parce que vous faites confiance à la source.
Certaines choses n’ont pas de sens, mais vous êtes entraîné à obéir à tous les ordres pour mener à bien votre mission.
Dans ce scénario, le gouvernement est votre site web et l’espion est le navigateur de l’utilisateur. Le navigateur suit les instructions de votre site web et ne peut pas faire la différence entre les bons et les mauvais scripts.
Ces scripts sont généralement rédigés en Javascript, l’un des langages de programmation les plus populaires et les plus utilisés. Toutefois, ces attaques peuvent avoir lieu avec n’importe quel langage côté client.
Il existe aujourd’hui de nombreuses façons de mener une attaque XSS. L’une d’entre elles consiste à envoyer un lien à des utilisateurs peu méfiants pour les inciter à cliquer dessus. Une fois qu’ils ont cliqué, l’attaque peut éventuellement faire une ou plusieurs des choses suivantes :
- Rediriger les utilisateurs vers un site malveillant
- Capturer les frappes de l’utilisateur
- Exécuter des exploits basés sur un navigateur web
- Voler les informations du cookie de l’utilisateur connecté à un compte
Si le pirate est en mesure de voler les informations des cookies, il peut compromettre complètement le compte de l’utilisateur. Par exemple, si vous êtes connecté au panneau wp-admin de votre site web, le pirate peut voler vos informations d’identification et se connecter à votre site.
Pour prévenir ces attaques, vous devez vous assurer que toutes les données de l’utilisateur sont validées et assainies correctement avant d’être introduites sur votre site web. Ainsi, aucune entrée utilisateur ne peut être un code Javascript malveillant. En outre, vous devez vous assurer qu’il n’y a pas de vulnérabilités XSS sur votre site qui pourraient permettre à un pirate d’attaquer.
Nous avons à peine effleuré la surface des attaques XSS, mais nous espérons que vous avez une bonne compréhension du fonctionnement d’une attaque XSS sur WordPress. Si vous pensez que votre site a été piraté, suivez notre tutoriel étape par étape ci-dessous.
Comment trouver et réparer une attaque XSS dans WordPress
Pour trouver des logiciels malveillants ou des pirates sur votre site, vous devez effectuer une analyse approfondie de l’ensemble de votre site web, y compris de ses fichiers et de sa base de données.
Nous utiliserons Sucuri pour analyser et nettoyer votre site piraté. Sucuri vous offre une configuration de sécurité robuste comprenant un pare-feu, un scanner de logiciels malveillants et un nettoyeur de logiciels malveillants.
Sucuri propose un scanner de logiciels malveillants gratuit que vous pouvez installer sur votre site WordPress en naviguant vers Plugins ” Ajouter un nouvel onglet.
Nous vous recommandons d’utiliser le scanner premium côté serveur. Il retournera votre site web à l’envers pour trouver toute trace de logiciel malveillant.
En outre, voici quelques-uns de ses points forts :
- Surveillance des spams et des scripts malveillants
- Vérifie la présence de portes dérobées créées par des pirates informatiques
- Détecte les modifications apportées au DNS (système de noms de domaine) et au SSL
- Vérification de l’existence de listes noires auprès des moteurs de recherche et d’autres autorités
- Contrôler le temps de fonctionnement du site web
- Alertes instantanées par e-mail, SMS, Slack et RSS
Pour plus de détails, lisez notre évaluation de Sucuri.
Sucuri est vendu au prix de 199,99 $ par an. Si ce n’est pas dans votre budget, vous pouvez essayer d’autres plugins de sécurité. Voir notre liste : 9 meilleurs plugins de sécurité WordPress comparés.
Lorsque vous choisissez un plugin de sécurité, assurez-vous qu’il vous offre toutes les fonctions de cybersécurité dont vous avez besoin pour trouver et corriger les infections par des logiciels malveillants et protéger votre site web.
Étape 1 : Analyse de votre site web
Pour commencer, vous devez souscrire un plan auprès de Sucuri. Ensuite, connectez-vous au tableau de bord de Sucuri, où vous pourrez ajouter votre site.
Ici, vous devrez connecter votre site web en entrant vos identifiants FTP. Si vous ne les connaissez pas, vous pouvez les obtenir auprès de votre hébergeur.
Lorsque votre site est connecté, Sucuri lance automatiquement un scan complet de votre site web. Une fois l’analyse terminée, un rapport détaillé s’affiche sous l’onglet “Mes sites”.
Vous pouvez maintenant cliquer sur le bouton “Détails” à côté du message d’avertissement. Cela ouvrira la page de surveillance où vous pourrez voir les détails du piratage ou de l’infection.
Étape 2 : Demande de nettoyage de logiciels malveillants
Sur la page Surveillance , vous pouvez voir quel type de logiciel malveillant a infecté votre site. Sucuri ajoute une note pour indiquer le niveau de risque. Ainsi, s’il s’agit d’un risque critique ou élevé, vous savez que vous devez y remédier immédiatement. En outre, Sucuri vous indique également si votre site a été mis sur liste noire par un moteur de recherche.
Maintenant que vous savez que votre site est infecté, vous devez le nettoyer et Sucuri vous facilite la tâche. Pour commencer, cliquez sur le bouton “Nettoyer mon site”.
Sur la page suivante, cliquez sur le bouton Nouvelle demande de suppression de logiciels malveillants et un formulaire s’affichera dans lequel vous pourrez entrer les détails de votre site.
Il vous suffit de remplir le formulaire et de l’envoyer. Les experts en sécurité de Sucuri nettoieront votre site pour vous. Si vous ne connaissez pas les informations nécessaires pour remplir le formulaire, vous pouvez les demander à votre hébergeur.
Vous vous demandez peut-être combien de temps il faut pour nettoyer votre site.
Sucuri donne la préférence aux utilisateurs du plan Business. Ils garantissent un délai d’exécution de 6 heures. Pour les autres plans, cela dépend de la complexité de l’infection de votre site et du volume de demandes en attente.
Immédiatement après une attaque, nous vous recommandons vivement de déconnecter tous les utilisateurs de votre site et de modifier vos identifiants de connexion pour plus de sécurité.
Comment prévenir les attaques XSS sur votre site WordPress
Il est toujours préférable de protéger votre site web et de prévenir ce type d’attaques de logiciels malveillants. C’est beaucoup plus facile et moins coûteux que d’essayer de réparer un site web piraté. Voici les principales mesures recommandées pour prévenir les attaques XSS sur votre site.
1. Activer un pare-feu d’application Web (WAF)
Sucuri possède l’un des meilleurs pare-feu pour les sites WordPress. Il ne bloque pas seulement les attaques XSS mais toutes sortes d’autres attaques de logiciels malveillants comme le DDoS, le Brute Force, le Phishing, et les injections SQL.
Le pare-feu se place devant votre site web et analyse chaque utilisateur qui le consulte. Il identifiera et bloquera les robots malveillants avant qu’ils n’atteignent votre site.
Pour activer le pare-feu Sucuri, naviguez vers l’onglet Pare-feu sur votre tableau de bord Sucuri.
Sélectionnez votre site et vous verrez les instructions de configuration que vous pouvez suivre. Sucuri vous propose 2 options pour configurer le pare-feu :
1. Intégration automatique : Il vous suffit d’entrer vos identifiants d’hébergement dans cPanel ou Plesk. Cette méthode nécessite que vous donniez à Sucuri l’accès au serveur de votre site web pour configurer automatiquement le pare-feu sur votre site.
2. Intégration manuelle : Vous pouvez configurer le pare-feu vous-même sans accorder d’accès interne à Sucuri. Pour commencer, cliquez sur le lien du domaine interne et assurez-vous qu’il se charge.
Ensuite, vous pouvez configurer votre DNS pour faire pointer votre trafic web vers le pare-feu de Sucuri. Pour cela, vous devez accéder aux enregistrements DNS de votre compte d’hébergement. Ici, vous pouvez modifier l’ enregistrement ‘A’ de votre site et entrer les adresses IP fournies par Sucuri.
Si vous avez l’impression que tout cela est trop compliqué, vous pouvez demander de l’aide à votre hébergeur, qui vous guidera tout au long du processus. En outre, vous pouvez également créer un ticket de support avec Sucuri et leur équipe de support vous aidera à changer les enregistrements DNS.
Pour ouvrir un ticket, vous trouverez un lien dans les instructions du manuel sur la même page.
Une fois que vous avez configuré le pare-feu, il faut généralement quelques heures pour que les modifications soient prises en compte. Le temps d’attente maximal est de 48 heures.
Lorsque vous activez le pare-feu, il ajoute automatiquement des en-têtes de sécurité à votre site pour le protéger contre les attaques XSS.
En cas de tentative d’attaque XSS, Sucuri la bloque et vous la signale dans l’onglet Rapports.
Ce que nous aimons dans le pare-feu Sucuri, c’est qu’il est très facile à utiliser pour tout le monde, y compris les débutants. Il n’est pas nécessaire d’être un expert en cybersécurité ou de savoir coder.
Vous pouvez activer toutes sortes de fonctions de protection d’un simple clic dans l’onglet Paramètres ” Sécurité.
Vous pouvez par exemple activer la protection contre les attaques DDoS et le géoblocage pour empêcher les pirates d’attaquer votre site.
Pour activer une fonction de sécurité, il vous suffit de cocher la case correspondante et d’enregistrer vos paramètres. Pour la désactiver, il suffit de décocher la case.
En outre, le plugin Sucuri :
- Analyse et surveillance régulières pour détecter les spams et les codes malveillants
- Vous avertir de toute vulnérabilité de type “cross-site scripting” (scripts intersites)
- Bloquer les robots malveillants et les pirates informatiques
- Vérifier l’existence de listes noires auprès des moteurs de recherche et d’autres autorités
- Contrôler le temps de fonctionnement du site web
- Détecter les modifications apportées au DNS (système de noms de domaine) et au SSL
- Vous envoyer des alertes de sécurité instantanées par e-mail, SMS, Slack et RSS
Votre site sera donc protégé à tout moment.
2. Utiliser des formulaires sécurisés
Sur un site web vulnérable, les formulaires sont l’une des cibles les plus courantes des pirates informatiques. Si votre formulaire n’est pas sécurisé, cela signifie que n’importe qui peut simplement saisir un code malveillant dans les champs de votre formulaire.
Notre recommandation pour sécuriser les formulaires de votre site web est WPForms. C’est le premier générateur de formulaires WordPress qui dispose d’une sécurité intégrée, de sorte que vos formulaires sont protégés dès le départ.
Par défaut, les formulaires sont dotés d’une protection anti-spam. De plus, vous pouvez même ajouter des CAPTCHA à vos formulaires pour bloquer les robots spammeurs.
Vous pouvez activer un captcha invisible ou un captcha dans lequel l’utilisateur doit résoudre un petit puzzle ou cocher une case pour prouver qu’il est humain.
3. Set User Role Permissions
Lorsque plusieurs personnes travaillent sur votre site web, il n’est pas judicieux de donner à chacun un accès administrateur. Il est préférable de leur attribuer des rôles en fonction des autorisations dont ils ont besoin.
WordPress vous permet de créer des rôles pour :
- Super Admin
- Administrateur
- Éditeur
- Auteur
- Contributeur
- Abonné
Si un pirate informatique prend le contrôle du compte d’un utilisateur, il sera limité dans ce qu’il peut faire sur votre site.
4. Déconnexion automatique des utilisateurs inactifs
Les pirates peuvent accéder aux comptes des utilisateurs en détournant leurs sessions de navigation et en volant les cookies.
Vous pouvez minimiser ce risque en déconnectant les utilisateurs inactifs de WordPress.
De nombreux plugins de sécurité disposent d’une fonction de déconnexion de session inactive ou vous pouvez utiliser le plugin Inactive Logout.
5. Mettez votre site web à jour régulièrement
Les plugins WordPress, les thèmes et même votre installation WordPress sont régulièrement mis à jour. Vous les verrez apparaître dans votre tableau de bord WordPress lorsqu’elles seront disponibles :
De nombreux propriétaires de sites web ignorent les mises à jour pendant longtemps, mais cela peut exposer leur site à des pirates informatiques. Les mises à jour contiennent généralement des corrections de bogues, de nouvelles fonctionnalités et des améliorations du logiciel. Elles peuvent également contenir des correctifs de sécurité. Vous pouvez vérifier si une mise à jour contient un correctif de sécurité en consultant les détails de la mise à jour.
Cela signifie qu’une vulnérabilité a été trouvée dans le logiciel et que les pirates peuvent l’utiliser pour attaquer votre site. Lorsque les développeurs trouvent des problèmes de sécurité, ils les corrigent et publient une nouvelle version du logiciel.
Il vous suffit de mettre à jour le logiciel de votre site.
Si vous voyez qu’il s’agit d’un correctif de sécurité, mettez-le à jour immédiatement pour éviter tout risque de piratage.
L’une des principales raisons pour lesquelles les propriétaires de sites ignorent les mises à jour est qu’elles peuvent parfois endommager votre site ou entraîner des problèmes d’incompatibilité. Nous vous recommandons de tester la mise à jour sur un site de démonstration, puis de l’exécuter sur votre site réel.
Vous avez maintenant appris à réparer et à prévenir les attaques XSS sur votre site WordPress.
Avant de conclure, nous vous donnons un dernier conseil de sécurité. Faites toujours des sauvegardes régulières de votre site web.
Même avec les mesures de sécurité les plus strictes sur votre site, il y a beaucoup de choses qui peuvent mal tourner. Par exemple, un utilisateur peut commettre une simple erreur humaine qui fait planter votre site web.
Vous pouvez mettre en place des sauvegardes automatisées en utilisant un plugin de sauvegarde comme UpdraftPlus. Pour plus d’options, voir notre liste des meilleurs plugins de sauvegarde WordPress.
FAQ
1. WordPress est-il vulnérable aux attaques de type “cross-site scripting” ?
Le logiciel de base de WordPress est développé et maintenu par certains des meilleurs experts au monde. Leur logiciel est assez solide, mais il faut garder à l’esprit qu’aucun logiciel n’est exempt de vulnérabilités.
Si les sites web WordPress sont souvent attaqués, c’est parce que la plateforme est très populaire. La plupart des utilisateurs installent des tonnes de thèmes et de plugins tiers. Des vulnérabilités peuvent se développer dans chacun de ces éléments et les pirates peuvent les exploiter pour pirater votre site.
2. Existe-t-il différents types d’attaques de type “cross site scripting” ?
Il existe trois principaux types d’attaques XSS :
- XSS stocké (également connu sous le nom de XSS persistant) : Les attaquants stockent leur charge utile sur un serveur compromis, ce qui permet au site web de diffuser un code malveillant à d’autres visiteurs.
- XSS réfléchi : lacharge utile est stockée dans les données envoyées par le navigateur au serveur.
- DOM XSS : ici, ce n’est pas le serveur lui-même qui est vulnérable au XSS, mais plutôt le JavaScript de la page.
- Autoscripting intersite : Les attaquants peuvent exploiter une vulnérabilité qui nécessite un contexte très spécifique et des modifications manuelles. La victime ne peut être que vous-même.
- Le cross-site scripting aveugle : Dans ces attaques, la vulnérabilité se trouve généralement sur une page à laquelle seuls les utilisateurs autorisés peuvent accéder. L’attaquant ne peut pas voir le résultat d’une attaque.
3. Comment puis-je m’assurer qu’il n’y a pas d’autres problèmes de sécurité sur mon site ?
Veillez à ce qu’un plugin de sécurité soit toujours installé sur votre site web. C’est une nécessité pour tous les types de sites web, y compris WooCommerce, les blogs et les sites de petites entreprises. Nous recommandons Sucuri, mais vous pouvez également consulter Wordfence, MalCare et SiteLock. Consultez nos meilleures recommandations ici : 9 meilleurs plugins de sécurité WordPress comparés.
4. WordPress est-il protégé contre les XSS ?
WordPress a mis en place plusieurs mesures de sécurité pour aider à se protéger contre les attaques de type Cross-Site Scripting (XSS), mais l’efficacité de ces mesures dépend de la façon dont le site web est configuré, des thèmes et des plugins utilisés, et de la qualité de sa maintenance. Vous devez veiller à prendre vos propres mesures pour protéger votre site contre de telles attaques.
5. Le CSP de WordPress est-il efficace contre les attaques XSS ?
WordPress a introduit les en-têtes Content Security Policy (CSP) dans les versions récentes. Une CSP bien configurée peut être efficace pour prévenir les attaques XSS en spécifiant quelles sources de contenu sont autorisées à être exécutées sur une page web. Imaginez que votre site web soit un château et que vous souhaitiez le protéger contre les attaques. Le CSP est comme un ensemble de règles qui indiquent aux gardiens (votre navigateur web) quelles personnes (scripts) peuvent entrer dans le château (votre site web).
C’est tout ce que nous avons pour vous aujourd’hui. Nous espérons que cet article vous a apporté tout ce dont vous avez besoin pour sécuriser votre site web.
Pour en savoir plus sur la sécurité des sites web, consultez nos ressources :
- Le guide complet de la sécurité de WordPress (pour les débutants)
- 5 meilleurs scanners de vulnérabilité WordPress pour trouver des menaces
- 9 meilleurs plugins de journal d’activité pour suivre et auditer votre site WordPress
Ces articles vous donneront d’autres moyens de colmater les failles et de protéger votre site web contre tous les risques.
Commentaires laisser une réponse