Salut Ă  tous et bienvenue dans le “Point SĂ©cu” avec Julio et aujourd’hui on va voir comment un site se fait pirater.

Allez c’est parti !

Alors du coup Julio, comment un site se fait pirater, c’est quoi : les causes des piratages en gĂ©nĂ©ral ?

Julio : Il y a beaucoup de gens qui pourraient penser que ça peut ĂŞtre les mots de passe, il y a d’autres gens qui pensent que c’est Ă  cause des plugins, il y a Ă©normĂ©ment de personnes qui pensent que c’est Ă  cause du core de WordPress, surtout ceux qui ne sont pas des utilisateurs de WordPress, pour un petit peu essayer d’enfoncer un clou lĂ  oĂą il n’y en a pas besoin.

Alex : Oui oui, il y a du WordPress bashing !

Julio : Du WordPress bashing exactement !

Alors, j’ai mon petit carnet avec les statistiques d’attaques

Sommaire

  1. Le core de WordPress
    1. On ne sait pas toujours qui a piraté
      1. La faute d’un plugin ou d’un thème
        1. Le brute force
          1. Le vol de mot de passe
            1. La faute de l’hĂ©bergeur
              1. D’anciens fichiers du core de WordPress
                1. Et le reste…

                  Le core de WordPress

                  Si je prends justement l’exemple de WordPress, il n’y a que 3 % des sites piratĂ©s dont la raison est le core de WordPress finalement… en plus ça veut dire que c’est des personnes qui ne se sont pas tenues Ă  jour…

                  Alex : C’est ce que j’allais te dire… ce n’est pas une mise Ă  jour… ce n’est pas la dernière version quoi !

                  Julio : VoilĂ  c’est pas Ă  cause d’une dernière version en plus, c’est quelqu’un qui ne se met pas Ă  jour suffisamment longtemps pour subir des attaques, qui arrivent ensuite Ă  un piratage de site web. C’est seulement 3 sites sur 100.

                  Alex : Si tu as WordPress 3.2, il ne faut pas venir te plaindre que ton site se fasse pirater.

                  Julio : Il n’y a pas besoin d’une 3.2 aujourd’hui, Ă  l’heure de la vidĂ©o, on est en 4.8, il suffirait d’avoir une 4.7 ou une 4.6 pour potentiellement se faire attaquer.

                  Alex : C’est ça, il y a des failles qui sont corrigĂ©es continuellement.

                  Julio : C’est ça ! Tenez-vous Ă  jour, on le rĂ©pète une fois de plus, mais en tout les cas, ce n’est pas la faute de WordPress principalement.

                  On ne sait pas toujours qui a piraté

                  En fait, principalement, il faut savoir qu’il y a 60 % des gens qui ne savent pas pourquoi ils se sont fait pirater. Ce n’est pas simple de savoir d’oĂą ça vient. MĂŞme si on recrute quelqu’un.

                  Parfois on me demande “OK, est-ce que dans vos services, vous pouvez me dire d’oĂą ça vient et tout ça…”

                  Je leur dis “Oui je peux chercher…”

                  Mais ça va ĂŞtre trop long sans ĂŞtre certain de savoir d’oĂą ça vient et finalement tout ça ce sera payĂ© et Ă  quoi ça vous sert cette information… Ă  rien.

                  Autant se dire : OK, si on ne trouve pas facilement ce n’est pas grave, on avance, on rectifie le machin, on se sécurise et voilà.

                  Alex : D’autant qu’il y a moyen de s’offusquer quand on pirate un site, au final on ne sait jamais vraiment qui a fait ça quoi…

                  Julio : A moins de dire : “VoilĂ  je viens de vous effacer”, mais si on ne fait pas ça, on ne peut pas savoir…

                  Alex : Avant que le pirate donne ça dans un Tweet directement… Salut je t’ai n🤬ton site.

                  La faute d’un plugin ou d’un thème

                  Julio : Ensuite par contre, lĂ  c’est important, il y a quand mĂŞme un quart, donc 25 % des piratages dont la raison est un plugin ou un thème.

                  On l’a dit plusieurs fois dans des vidĂ©os prĂ©cĂ©dentes, un plugin ou un thème qu’est ce que c’est, c’est simplement un script PHP que vous acceptez d’introduire dans votre site web, vous voyez bien le danger qui arrive.

                  Eh bien voilĂ , il y a un site sur quatre c’est Ă©norme ! qui se fait pirater Ă  cause d’un plugin ou d’un thème, Ă  jour ou non Ă  jour par contre. LĂ , un plugin qui contient des failles, il y a des gens dont… j’avais dit une Ă©quipe chez WordFence et Sucuri qui passent du temps dĂ©diĂ© Ă  la dĂ©couverte de failles, j’ai envie de dire bĂ©nĂ©volement, pour la communautĂ©.

                  Eux ils sont payĂ©s bien Ă©videmment par les sociĂ©tĂ©s WordFence et Sucuri pour faire ce travail, mais derrière c’est juste pour redonner Ă  la communautĂ© sur leur blog respectif pour dire : “VoilĂ , attention Ă  ci, attention Ă  ça…”

                  Inversement, il y a des gens dont le passe-temps est de trouver les failles, les garder pour eux, les exploiter, et essayer de casser du site web.

                  Ces gens-lĂ  utilisent des failles qui sont dans des plugins qui sont aujourd’hui Ă  jour et après c’est grâce Ă  ça que “tiens j’ai aperçu que… je me suis aperçu que ce site lĂ  se fait attaquer, en fait c’est Ă  cause de tel plugin, donc on va le corriger et ensuite il n’y a pas de sharing”.

                  C’est ce qu’on appelle les “black hats”, des mauvais pirates qui utilisent Ă  des mauvaises fins… Parfois ce n’est mĂŞme pas pour gagner de l’argent, il faut savoir que c’est juste des fois pour le plaisir.

                  Entre amis se dire : tiens, et si on cassait du site web, malheureusement ça existe.

                  Un site sur 4 c’est quand mĂŞme Ă©norme.

                  Le brute force

                  Ensuite on descend Ă©normĂ©ment parce qu’on arrive tout de suite sur 6,5 % des sites qui sont piratĂ©s Ă  cause du mot de passe qui aurait Ă©tĂ© trouvĂ© grâce Ă  un “brute force”.

                  âš Petit rappel : un brute force c’est un script qui va permettre de trouver un mot de passe en boucle, en faisant des tests encore et encore et encore…

                  Donc seulement 6,5, mais tout de mĂŞme 6,5 %. Comme le net est suffisamment large, si vous prenez 100 sites piratĂ©s, il y a quand mĂŞme 6 sites qui vont se faire pirater Ă  cause d’un mot de passe trop faible.

                  S’il est “brute forcĂ©”, ça veut dire qu’il Ă©tait trop faible. Si votre mot de passe est long et suffisamment complexe, comme on l’a dĂ©jĂ  dit dans d’autres vidĂ©os, ça devrait passer, mais s’il est trop faible, trop court, ou trop facilement devinable : votre date de naissance, votre nom, etc. on l’a dĂ©jĂ  dit ! Vous Ă©vitez ça !

                  Sinon il risque de se faire “brute forcer” : 6,5 % des sites hackĂ©s Ă  cause de ça.

                  Le vol de mot de passe

                  Inversement, j’ai l’autre stat pour le vol de mot de passe, donc si on vous vole votre mot de passe, si quelqu’un le trouve, l’a vu sur un papier, sur une vidĂ©o de prĂ©sentation de tutoriel, etc. C’est seulement 0,5 %.

                  Le fait de dĂ©rober un mot de passe Ă  quelqu’un pour se connecter c’est très faible et ça arrive Ă  0 % si vous utilisez une double authentification, de nouveau on le rappelle, ça permet de faire en sorte que le mot de passe ne soit plus suffisant pour se connecter.

                  0,5 % voilĂ , moins de peur pour le vol de mot de passe.

                  La faute de l’hĂ©bergeur

                  J’ai une autre stat qui est 1,5 % c’est la cause de l’hĂ©bergeur, on a aussi parlĂ© dans les vidĂ©os prĂ©cĂ©dentes des hĂ©bergeurs, choisissez les bien.

                  Je crois aujourd’hui que WPServeur a peut ĂŞtre je ne sais pas moi, 7 Ă  8 000 sites web, ça commence Ă  lui faire quasiment une centaine de sites qui se feraient pirater, il n’a pas du tout envie, en tant qu’hĂ©bergeur, d’avoir une centaine de sites piratĂ©s, de sa faute en fait.

                  C’est quelque chose qui serait super gĂŞnant pour lui. Je fais une stat en plus globale, mais quand un hĂ©bergeur se fait attaquer, le hack tombe sur tout le monde en fait.

                  Globalement si on prenait tous les hĂ©bergeurs, ça voudrait dire qu’il y a un hĂ©bergeur qui se ferait attaquer sur tous ses sites. Choisissez bien votre hĂ©bergeur, si un hĂ©bergeur est attaquĂ©, vous ĂŞtes dans le tas de toute façon.

                  Alex : C’est ça ! J’ai un lecteur qui a mis ça sur l’article sur l’hĂ©bergement WordPress que j’avais fait et il avait dit que… je ne sais plus quel Ă©tait le nom de cet hĂ©bergeur… mais ils avaient tout perdu, les serveurs remis Ă  zĂ©ro, tous les clients, plus rien, plus un site. Alors lĂ  si t’as fait tes sauvegardes sur ton site, sur ton serveur, t’es foutu.

                  Julio : Et là le business, ça doit faire mal aussi !

                  Alex : C’est ça ! Après je ne sais pas ce qu’est devenu cet hĂ©bergeur, est-ce qu’ils sont repartis ou pas, je ne sais plus, mais ouais… ça pique, ça pique ! Donc voilĂ  surtout, les sauvegardes pensez-y.

                  Julio : Bon choix d’hĂ©bergeur tout de suite c’est encore mieux. Qu’est ce que j’ai encore après, j’ai d’autres petites stats qui sont très très faibles comme 0,5 % Ă  cause des mauvais droits sur les fichiers, ça vous dit peut-ĂŞtre quelque chose le 777 sur les fichiers.

                  Donc voilĂ  c’est quelque chose Ă  Ă©viter. Il faut rĂ©duire ça au minimum, je vous mettrais le lien du Codex pour vous indiquer quels sont les bons droits.

                  Sachant que si vous utilisez SecuPress, il va vous permettre de vous dire, ceux-lĂ  n’ont pas les bons droits et il est capable de les remettre Ă  votre place.

                  Comme c’est assez technique, on n’a pas besoin de le faire Ă  la main, il y a beaucoup de fichiers mis Ă  l’install, c’est Ă  peu près 1 500 fichiers, on ne peut pas les faire un par un, c’est pour ça qu’on a les scanners qui sont faits pour ça.

                  D’anciens fichiers du core de WordPress

                  Qu’est-ce qu’il me reste encore… Ă©coutez… il me reste un petit 0,6 % qui sont dus Ă  d’anciens fichiers du core WordPress qui seraient restĂ©s sur l’installation, parce qu’il y a deux façons de se mettre Ă  jour de WordPress, vous cliquez sur une mise Ă  jour automatique, lĂ  le core est supprimĂ© et il est remplacĂ© par un nouveau dossier, lĂ  c’est propre.

                  Ou si vous faites comme moi je faisais avant, par le FTP, je télécharge le zip, je prends tous les fichiers et je les envoie, donc ça écrase les anciens, mais ça ne supprime pas les fichiers que WordPress a supprimés de son core, parce que ça arrive que certains fichiers soient obsolètes.

                  Finalement ça cumule, mais si dans ces fichiers il y a des failles qui sont contenues, finalement vous n’ĂŞtes pas vraiment Ă  jour, puisque vous avez laissĂ© des fichiers qu’il ne fallait pas, donc il y a quand mĂŞme 0,6 % de sites piratĂ©s dont la cause est d’anciens fichiers WordPress alors que vous ĂŞtes Ă  jour de WordPress, mais vous avez laissĂ© des fichiers qui ne devraient plus ĂŞtre lĂ .

                  Donc c’est un peu dommage et ce n’est pas forcĂ©ment flagrant. Donc encore une fois, le scanner de SecuPress lĂ  par contre sait le faire, il sait vous dire : tous ces fichiers sont des anciens du core, je vous conseille de les supprimer, en un clic c’est fait.

                  Et le reste…

                  Et ma dernière stat, elle regroupe tout le reste, c’est 0,4 % du reste, c’est les personnes qui n’ont pas sĂ©curisĂ© leur boĂ®te mail, on en a parlĂ© dans une vidĂ©o prĂ©cĂ©dente, qui cliquent sur du phishing, qui n’ont pas mis d’anti virus ou ne le maintiennent pas Ă  jour, qui ont un logiciel FTP dans lequel ils ont enregistrĂ© les mots de passe, on en a parlĂ© aussi, ou qui n’est pas Ă  jour encore une fois.

                  Qu’est ce que j’ai… en fait tout ce qui n’est pas Ă  jour ! Tout ce qui est autour de WordPress et qui pourrait ne pas ĂŞtre Ă  jour : un OS pas Ă  jour, vous avez Windows et vous n’avez pas mis les derniers patch, etc.

                  Vous pouvez tomber malheureusement dans des vagues d’attaques qui pĂ©nètreront votre ordinateur pour voler des informations, etc., et finalement c’est votre WordPress qui va en pâtir, c’est 0,4 pour le tout, c’est-Ă -dire 0,1 % pour ça, c’est pas grand-chose, mais ne soyez pas ce 0,1 %, faites tomber cette stat Ă  0.

                  Alex : Eh bien voilĂ  ! C’est une bonne phrase de conclusion

                  Allez… Allez…

                  Formez-vous Ă  WordPress en 3 mois

                  Apprenez à concevoir des sites WordPress sécurisés, rapides et conformes aux obligations légales avec la formation à distance la plus généreuse du marché (éligible au CPF).

                  DĂ©couvrir le programme
                  WPChef, la formation WordPress de référence

                  Donc voilĂ , sur ce merci d’avoir suivi cette vidĂ©o, j’espère que maintenant vous ĂŞtes un petit peu plus calĂ© sur les raisons des attaques, mais en tout cas rappelez-vous bien qu’il y a 60 % des attaques dont on ne sait pas d’oĂą elles proviennent, on ne sait pas de qui, de quoi, on ne sait pas comment ils ont fait.

                  VoilĂ , essayez de vous prĂ©munir au maximum avec tous les conseils qu’on a pu vous donner tout au long de cette sĂ©rie vidĂ©o et aussi, abonnez-vous Ă  la chaĂ®ne YouTube de WPMarmite pour recevoir les vidĂ©os suivantes et… les pouces bleus et aussi allez sur SecuPress.me pour sĂ©curiser votre site.

                  Merci de nous avoir suivi et à très vite dans une prochaine vidéo.

                  Salut, ciao đź‘‹

                  À propos de l'auteur

                  Alex

                  Créateur de WPMarmite et co-fondateur de WPChef, il a à coeur de vous proposer des ressources de qualité pour vous aider à créer, personnaliser et promouvoir des sites avec WordPress.