Attaques par force brute sur WordPress
L'un des moyens les plus simples d'attaquer un site Web est de le faire via un Système de gestion de contenu comme WordPress d'obtenir un accès. À cette fin, les pirates tentent de forcer une connexion à l'installation WordPress d'un site en utilisant des mots de passe fréquemment utilisés. Ce type d'attaque est appelé attaque par force brute.
L'essor des attaques par force brute à grande échelle
La plupart des sites web ont mis au point des contre-mesures qui limitent le nombre d'inscriptions. Les pirates ont donc mis au point différents types d'attaques par force brute. Au lieu de lancer des millions de tentatives de connexion sur un seul site, ils utilisent désormais des tentatives de connexion limitées sur des millions de sites différents.
Ce type d'attaque par force brute à grande échelle exploite le fait que les utilisateurs font souvent plusieurs tentatives de connexion lorsqu'ils oublient ou écrivent mal leurs mots de passe. Il est difficile de distinguer ces incidents des tentatives de piratage, c'est pourquoi les administrateurs laissent pour ainsi dire la porte ouverte. En bloquant l'accès après plusieurs tentatives de connexion infructueuses, ils risquent d'exclure les utilisateurs légitimes.
Lorsqu'une attaque par force brute complète sur un compte WordPress réussit, un attaquant peut souvent modifier un thème pour y insérer du code de porte dérobée, comme illustré ici :
Les attaques à grande échelle sont un problème croissant
L'équipe de produits Imunify360 a étudié plus de 2000 domaines WordPress attaqués dans le monde entier le 22 avril 2020 (AUCUN site web n'a été attaqué/piraté par nous) et a tiré les conclusions et prévisions suivantes :
Ce qu'on a trouvé, c'est ça :
Les 10 000 mots de passe les plus utilisés l'ont été dans la moitié des tentatives de connexion.
En moyenne, un attaquant doit essayer 64 domaines, avec 14 tentatives de connexion chacun, pour identifier un compte avec un mot de passe faible.
Des mots de passe faibles ont été utilisés pour environ 10% des tentatives de connexion réussies. Cela signifie que les sites Web utilisant des mots de passe d'utilisateur faibles peuvent être piratés ou l'ont déjà été.
Fondamentalement, notre analyse a montré que les mots de passe utilisateur faibles dans WordPress sont comme une autoroute à plusieurs voies sur laquelle les pirates peuvent prendre le contrôle des sites Web.
Imunify360 protège contre les attaques de grande envergure
La dernière version d'Imunify360, version 4.7, a été développée pour bloquer les attaques par force brute de grande envergure. Pour ce faire, les mots de passe utilisés lors des tentatives de connexion sont vérifiés à l'aide d'une liste de mots de passe faibles connus. Si l'un de ces mots de passe est utilisé lors d'une tentative de connexion, l'utilisateur est redirigé vers une page l'invitant à modifier son mot de passe :
Lorsque l'utilisateur clique sur le bouton "Réinitialiser le mot de passe", il est redirigé vers la page de réinitialisation du mot de passe WordPress. La fonctionnalité de WordPress n'est pas affectée, car la réinitialisation du mot de passe ne nécessite pas que l'utilisateur soit connecté.