Salut à tous et bienvenue dans le “Point Sécu” avec Julio et aujourd’hui on va voir comment un site se fait pirater.
Allez c’est parti !
Alors du coup Julio, comment un site se fait pirater, c’est quoi : les causes des piratages en général ?
Julio : Il y a beaucoup de gens qui pourraient penser que ça peut être les mots de passe, il y a d’autres gens qui pensent que c’est à cause des plugins, il y a énormément de personnes qui pensent que c’est à cause du core de WordPress, surtout ceux qui ne sont pas des utilisateurs de WordPress, pour un petit peu essayer d’enfoncer un clou là où il n’y en a pas besoin.
Alex : Oui oui, il y a du WordPress bashing !
Julio : Du WordPress bashing exactement !
Alors, j’ai mon petit carnet avec les statistiques d’attaques
Sommaire
Le core de WordPress
Si je prends justement l’exemple de WordPress, il n’y a que 3 % des sites piratés dont la raison est le core de WordPress finalement… en plus ça veut dire que c’est des personnes qui ne se sont pas tenues à jour…
Alex : C’est ce que j’allais te dire… ce n’est pas une mise à jour… ce n’est pas la dernière version quoi !
Julio : Voilà c’est pas à cause d’une dernière version en plus, c’est quelqu’un qui ne se met pas à jour suffisamment longtemps pour subir des attaques, qui arrivent ensuite à un piratage de site web. C’est seulement 3 sites sur 100.
Alex : Si tu as WordPress 3.2, il ne faut pas venir te plaindre que ton site se fasse pirater.
Julio : Il n’y a pas besoin d’une 3.2 aujourd’hui, à l’heure de la vidéo, on est en 4.8, il suffirait d’avoir une 4.7 ou une 4.6 pour potentiellement se faire attaquer.
Alex : C’est ça, il y a des failles qui sont corrigées continuellement.
Julio : C’est ça ! Tenez-vous à jour, on le répète une fois de plus, mais en tout les cas, ce n’est pas la faute de WordPress principalement.
On ne sait pas toujours qui a piraté
En fait, principalement, il faut savoir qu’il y a 60 % des gens qui ne savent pas pourquoi ils se sont fait pirater. Ce n’est pas simple de savoir d’où ça vient. Même si on recrute quelqu’un.
Parfois on me demande “OK, est-ce que dans vos services, vous pouvez me dire d’où ça vient et tout ça…”
Je leur dis “Oui je peux chercher…”
Mais ça va être trop long sans être certain de savoir d’où ça vient et finalement tout ça ce sera payé et à quoi ça vous sert cette information… à rien.
Autant se dire : OK, si on ne trouve pas facilement ce n’est pas grave, on avance, on rectifie le machin, on se sécurise et voilà.
Alex : D’autant qu’il y a moyen de s’offusquer quand on pirate un site, au final on ne sait jamais vraiment qui a fait ça quoi…
Julio : A moins de dire : “Voilà je viens de vous effacer”, mais si on ne fait pas ça, on ne peut pas savoir…
Alex : Avant que le pirate donne ça dans un Tweet directement… Salut je t’ai n🤬ton site.
La faute d’un plugin ou d’un thème
Julio : Ensuite par contre, là c’est important, il y a quand même un quart, donc 25 % des piratages dont la raison est un plugin ou un thème.
On l’a dit plusieurs fois dans des vidéos précédentes, un plugin ou un thème qu’est ce que c’est, c’est simplement un script PHP que vous acceptez d’introduire dans votre site web, vous voyez bien le danger qui arrive.
Eh bien voilà, il y a un site sur quatre c’est énorme ! qui se fait pirater à cause d’un plugin ou d’un thème, à jour ou non à jour par contre. Là, un plugin qui contient des failles, il y a des gens dont… j’avais dit une équipe chez WordFence et Sucuri qui passent du temps dédié à la découverte de failles, j’ai envie de dire bénévolement, pour la communauté.
Eux ils sont payés bien évidemment par les sociétés WordFence et Sucuri pour faire ce travail, mais derrière c’est juste pour redonner à la communauté sur leur blog respectif pour dire : “Voilà, attention à ci, attention à ça…”
Inversement, il y a des gens dont le passe-temps est de trouver les failles, les garder pour eux, les exploiter, et essayer de casser du site web.
Ces gens-là utilisent des failles qui sont dans des plugins qui sont aujourd’hui à jour et après c’est grâce à ça que “tiens j’ai aperçu que… je me suis aperçu que ce site là se fait attaquer, en fait c’est à cause de tel plugin, donc on va le corriger et ensuite il n’y a pas de sharing”.
C’est ce qu’on appelle les “black hats”, des mauvais pirates qui utilisent à des mauvaises fins… Parfois ce n’est même pas pour gagner de l’argent, il faut savoir que c’est juste des fois pour le plaisir.
Entre amis se dire : tiens, et si on cassait du site web, malheureusement ça existe.
Un site sur 4 c’est quand même énorme.
Le brute force
Ensuite on descend énormément parce qu’on arrive tout de suite sur 6,5 % des sites qui sont piratés à cause du mot de passe qui aurait été trouvé grâce à un “brute force”.
⚠Petit rappel : un brute force c’est un script qui va permettre de trouver un mot de passe en boucle, en faisant des tests encore et encore et encore…
Donc seulement 6,5, mais tout de même 6,5 %. Comme le net est suffisamment large, si vous prenez 100 sites piratés, il y a quand même 6 sites qui vont se faire pirater à cause d’un mot de passe trop faible.
S’il est “brute forcé”, ça veut dire qu’il était trop faible. Si votre mot de passe est long et suffisamment complexe, comme on l’a déjà dit dans d’autres vidéos, ça devrait passer, mais s’il est trop faible, trop court, ou trop facilement devinable : votre date de naissance, votre nom, etc. on l’a déjà dit ! Vous évitez ça !
Sinon il risque de se faire “brute forcer” : 6,5 % des sites hackés à cause de ça.
Le vol de mot de passe
Inversement, j’ai l’autre stat pour le vol de mot de passe, donc si on vous vole votre mot de passe, si quelqu’un le trouve, l’a vu sur un papier, sur une vidéo de présentation de tutoriel, etc. C’est seulement 0,5 %.
Le fait de dérober un mot de passe à quelqu’un pour se connecter c’est très faible et ça arrive à 0 % si vous utilisez une double authentification, de nouveau on le rappelle, ça permet de faire en sorte que le mot de passe ne soit plus suffisant pour se connecter.
0,5 % voilà, moins de peur pour le vol de mot de passe.
La faute de l’hébergeur
J’ai une autre stat qui est 1,5 % c’est la cause de l’hébergeur, on a aussi parlé dans les vidéos précédentes des hébergeurs, choisissez les bien.
Je crois aujourd’hui que WPServeur a peut être je ne sais pas moi, 7 à 8 000 sites web, ça commence à lui faire quasiment une centaine de sites qui se feraient pirater, il n’a pas du tout envie, en tant qu’hébergeur, d’avoir une centaine de sites piratés, de sa faute en fait.
C’est quelque chose qui serait super gênant pour lui. Je fais une stat en plus globale, mais quand un hébergeur se fait attaquer, le hack tombe sur tout le monde en fait.
Globalement si on prenait tous les hébergeurs, ça voudrait dire qu’il y a un hébergeur qui se ferait attaquer sur tous ses sites. Choisissez bien votre hébergeur, si un hébergeur est attaqué, vous êtes dans le tas de toute façon.
Alex : C’est ça ! J’ai un lecteur qui a mis ça sur l’article sur l’hébergement WordPress que j’avais fait et il avait dit que… je ne sais plus quel était le nom de cet hébergeur… mais ils avaient tout perdu, les serveurs remis à zéro, tous les clients, plus rien, plus un site. Alors là si t’as fait tes sauvegardes sur ton site, sur ton serveur, t’es foutu.
Julio : Et là le business, ça doit faire mal aussi !
Alex : C’est ça ! Après je ne sais pas ce qu’est devenu cet hébergeur, est-ce qu’ils sont repartis ou pas, je ne sais plus, mais ouais… ça pique, ça pique ! Donc voilà surtout, les sauvegardes pensez-y.
Julio : Bon choix d’hébergeur tout de suite c’est encore mieux. Qu’est ce que j’ai encore après, j’ai d’autres petites stats qui sont très très faibles comme 0,5 % à cause des mauvais droits sur les fichiers, ça vous dit peut-être quelque chose le 777 sur les fichiers.
Donc voilà c’est quelque chose à éviter. Il faut réduire ça au minimum, je vous mettrais le lien du Codex pour vous indiquer quels sont les bons droits.
Sachant que si vous utilisez SecuPress, il va vous permettre de vous dire, ceux-là n’ont pas les bons droits et il est capable de les remettre à votre place.
Comme c’est assez technique, on n’a pas besoin de le faire à la main, il y a beaucoup de fichiers mis à l’install, c’est à peu près 1 500 fichiers, on ne peut pas les faire un par un, c’est pour ça qu’on a les scanners qui sont faits pour ça.
D’anciens fichiers du core de WordPress
Qu’est-ce qu’il me reste encore… écoutez… il me reste un petit 0,6 % qui sont dus à d’anciens fichiers du core WordPress qui seraient restés sur l’installation, parce qu’il y a deux façons de se mettre à jour de WordPress, vous cliquez sur une mise à jour automatique, là le core est supprimé et il est remplacé par un nouveau dossier, là c’est propre.
Ou si vous faites comme moi je faisais avant, par le FTP, je télécharge le zip, je prends tous les fichiers et je les envoie, donc ça écrase les anciens, mais ça ne supprime pas les fichiers que WordPress a supprimés de son core, parce que ça arrive que certains fichiers soient obsolètes.
Finalement ça cumule, mais si dans ces fichiers il y a des failles qui sont contenues, finalement vous n’êtes pas vraiment à jour, puisque vous avez laissé des fichiers qu’il ne fallait pas, donc il y a quand même 0,6 % de sites piratés dont la cause est d’anciens fichiers WordPress alors que vous êtes à jour de WordPress, mais vous avez laissé des fichiers qui ne devraient plus être là.
Donc c’est un peu dommage et ce n’est pas forcément flagrant. Donc encore une fois, le scanner de SecuPress là par contre sait le faire, il sait vous dire : tous ces fichiers sont des anciens du core, je vous conseille de les supprimer, en un clic c’est fait.
Et le reste…
Et ma dernière stat, elle regroupe tout le reste, c’est 0,4 % du reste, c’est les personnes qui n’ont pas sécurisé leur boîte mail, on en a parlé dans une vidéo précédente, qui cliquent sur du phishing, qui n’ont pas mis d’anti virus ou ne le maintiennent pas à jour, qui ont un logiciel FTP dans lequel ils ont enregistré les mots de passe, on en a parlé aussi, ou qui n’est pas à jour encore une fois.
Qu’est ce que j’ai… en fait tout ce qui n’est pas à jour ! Tout ce qui est autour de WordPress et qui pourrait ne pas être à jour : un OS pas à jour, vous avez Windows et vous n’avez pas mis les derniers patch, etc.
Vous pouvez tomber malheureusement dans des vagues d’attaques qui pénètreront votre ordinateur pour voler des informations, etc., et finalement c’est votre WordPress qui va en pâtir, c’est 0,4 pour le tout, c’est-à-dire 0,1 % pour ça, c’est pas grand-chose, mais ne soyez pas ce 0,1 %, faites tomber cette stat à 0.
Alex : Eh bien voilà ! C’est une bonne phrase de conclusion
Allez… Allez…
Formez-vous à WordPress en 3 mois
Apprenez à concevoir des sites WordPress sécurisés, rapides et conformes aux obligations légales avec la formation à distance la plus généreuse du marché (éligible au CPF).
Donc voilà, sur ce merci d’avoir suivi cette vidéo, j’espère que maintenant vous êtes un petit peu plus calé sur les raisons des attaques, mais en tout cas rappelez-vous bien qu’il y a 60 % des attaques dont on ne sait pas d’où elles proviennent, on ne sait pas de qui, de quoi, on ne sait pas comment ils ont fait.
Voilà, essayez de vous prémunir au maximum avec tous les conseils qu’on a pu vous donner tout au long de cette série vidéo et aussi, abonnez-vous à la chaîne YouTube de WPMarmite pour recevoir les vidéos suivantes et… les pouces bleus et aussi allez sur SecuPress.me pour sécuriser votre site.
Merci de nous avoir suivi et à très vite dans une prochaine vidéo.
Salut, ciao 👋