Comment arrêter l’exploitation des portes dérobées sur WordPress pour de bon ?

Publié le 03 mars 2018 par Rhw @RevueHW

Avez-vous l’impression que votre site est constamment sous menace d’être piraté ? Voici les signes révélateurs : être constamment piraté, peu importe la fréquence de nettoyage de votre site, et WordPress vous indique qu’il existe un compte d’administrateur supplémentaire qui n’est pas répertorié.

Alors, peut-être que votre site n’est pas menacé actuellement… mais vous avez l’impression qu’il ne fonctionne pas correctement ! Ce qui est plus probable, c’est qu’il subit une exploitation de sécurité d’une porte dérobée. Heureusement, il existe de nombreuses options pour le réparer, aucun exorcisme n’est requis.

Dans cet article, vous verrez quels sont les types d’exploitation de porte dérobée existants, comment pouvez-vous prévenir contre l’un d’entre eux grâce à l’aide des extensions, pourquoi votre site a été piraté en premier lieu, et comment sécuriser votre site pour que cela ne se reproduise plus.

Qu’est-ce qu’une Exploitation de la porte dérobée ?

Lorsque votre site est compromis et que le pirate informatique ajoute son propre moyen d’accéder à votre site et au tableau de bord d’administration quand bon lui semble, cela s’appelle une exploitation de la porte dérobée. Là, on se concentre sur le moyen dont le pirate peut utiliser pour accéder à votre site sans se connecter dans la page de connexion.

C’est plus facile de s’en souvenir lorsque vous considérez votre site comme une maison. Toutes les personnes que vous invitez l’accèdent par la porte d’entrée, ça correspond à la page de connexion de votre site. Mais lorsqu’un intrus dérobe une porte située à l’arrière de votre maison et crée sa propre clé pour cette porte de fortune, il peut entrer dans votre maison à travers cette porte dérobée sans même que vous le sachiez.

De même, un pirate peut créer un script qui fonctionne comme une clé. Il l’ajoute dans votre site en créant leur propre porte dérobée afin qu’il puisse y accéder quand il le veut.

Alors que les utilisateurs réguliers – ainsi que les administrateurs de sites comme vous – auraient besoin d’accéder à votre site via la page de connexion, le pirate n’en aurait pas besoin et c’est ainsi qu’il peut accéder à tous sans être détecté.

Les pirates informatiques peuvent utiliser un programme qu’ils ont créé pour pirater systématiquement votre site, puis ils font le plus souvent l’une des choses suivantes :

  • Ils vont transférer ou créer un fichier dans votre site WordPress avec le script de porte dérobée joint.
  • Ils s’ajoutent en tant qu’administrateurs cachés, souvent en les associant à votre compte.
  • Ils exécutent le code PHP qu’ils envoient via un navigateur.
  • Ils collectent des informations personnelles à des fins de spam.
  • Ils changent n’importe quoi sur votre site pour leurs propres besoins, souvent pour spammer.
  • Ils envoient des spams à partir de votre site pour donner l’impression que c’est vous qui les avez envoyés.

Si un fichier est ajouté, il est souvent nommé pour ressembler à un fichier légitime qui fait partie des fichiers du noyau WordPress. Le fichier pourrait être nommé sunrise.php, php5.php, users-wp.php, wp-config.zip ou quelque chose comme ça.

Alors que les détails sur la détection d’une porte dérobée ne seront traités que plus tard, il peut être important de noter que certaines extensions incluent un fichier sunrise.php, mais s’il s’agit d’une porte dérobée, le fichier ne se trouve pas dans un dossier des plugins, mais pourrait être dans le dossier des téléchargements, par exemple. Etant similaires aux fichiers normaux, les portes dérobées peuvent s’infiltrer dans votre site sans être détectées.

Généralement, les pirates ajoutent le fichier de porte dérobée à vos dossiers wp-includes et wp-content dans thèmes, plugins ou fichiers transférés, mais ils peuvent aussi changer votre fichier wp-config.php.

Le simple fait de savoir qu’un pirate informatique pourrait faire tout cela dans votre site est terrifiant et c’est une pilule difficile à avaler, surtout quand vous pensez que votre site et les fichiers du noyau WordPress sont intouchables, n’est-ce pas ?

Comment les pirates entrent-ils dans votre site ?

Les fichiers du noyau WordPress

WordPress lui-même est sécurisé, mais il y a plusieurs moyens qu’un pirate puisse encore entrer dans votre site. C’est parce que les améliorations des fichiers du noyau WordPress sont faites régulièrement, mais parfois ces configurations ont des vulnérabilités imprévues.

Ces vulnérabilités agissent comme les intrigues d’un film. La plupart des téléspectateurs ne les remarqueront probablement pas, car ils apprécient le film, mais d’autres personnes plus astucieuses les remarqueront.

Dans WordPress, ces bugs sont souvent détectés à partir du test et supprimés avant même d’être appliqués sur votre site, mais tout comme les intrigues du film, ils sont parfois manqués pendant le processus de création avant qu’un administrateur puisse les corriger.

Parfois, une nouvelle version de WordPress est rendue disponible publiquement et elle comporte des failles de sécurité. Lorsque les pirates détectent ces vulnérabilités, ils peuvent les exploiter pour accéder à votre site, cependant, lorsque ces menaces sont détectées, l’équipe de sécurité de WordPress travaille sur un correctif et ils effectuent des mises à jour de sécurité fréquentes.

Même si des problèmes de sécurité peuvent être trouvés, cela ne signifie pas que WordPress n’est pas sécurisé. Si vous le tenez à jour, il est sécurisé puisqu’il ne présentera aucune vulnérabilité connue.

Si vous ne mettez pas à jour votre site WordPress de façon régulière, les correctifs de sécurité ne sont pas appliqués et votre site aurait toujours les mêmes vulnérabilités. Un pirate pourrait alors utiliser la faille de sécurité pour entrer dans votre site.