- Damien Tremblay
- 20 février 2023
Les attaques XSS ou cross-site scripting de WordPress sont les mécanismes de piratage les plus courants sur le web aujourd’hui. Elles ciblent les visiteurs de votre site web, en voulant voler leurs informations. Le pire dans les attaques XSS est que les attaquants utilisent les vulnérabilités de votre site Web WordPress pour y parvenir.
À première vue, les attaques XSS ne semblent pas très menaçantes, surtout si on les compare à d’autres attaques comme la force brute ou les injections SQL.
L’attaque par script intersite est réalisée à l’aide de JavaScript, et JavaScript est étroitement contrôlé par le navigateur. Il devrait donc avoir un accès très limité au reste de l’appareil d’une personne. C’est le cas, mais cela ne se traduit pas par un danger moindre.
L’attaque XSS de WordPress est une passerelle vers des attaques plus dommageables et doit être traitée comme un danger à part entière.
Qu’est-ce qu’une attaque XSS de WordPress ?
Une attaque de type cross-site scripting, ou XSS pour faire court, se produit lorsqu’un attaquant injecte un code JavaScript malveillant dans un site Web. Lorsqu’un visiteur arrive sur ce site, son navigateur exécute le code. Le script malveillant est supposé provenir d’une source de confiance, en l’occurrence le site web.
Les attaques XSS sont possibles parce que le site Web présente une vulnérabilité de type « cross-site scripting ». Cette vulnérabilité tient au fait que le site Web utilise des données externes dans les résultats qu’il génère, sans les valider ou les vérifier au préalable.
Pour ceux d’entre nous qui n’ont pas de connaissances techniques, cette explication pourrait aussi bien être en hiéroglyphes. Prenons une analogie non technique pour comprendre le fonctionnement du XSS :
Imaginez un instant que vous travaillez pour la société ABC. On vous remet un dossier contenant le travail que vous devez effectuer. Vous le lisez et commencez à faire le travail, en faisant confiance au fait que le dossier a été compilé par ABC. Cependant, supposons que la société ABC laisse ses dossiers de travail à l’air libre, où n’importe qui peut entrer et insérer une page dans un dossier. Bien que la logique voudrait qu’elle le fasse, la société ABC ne vérifie aucune des pages insérées. Au lieu de cela, ils vous remettent directement le dossier. Vous supposez que le dossier est digne de confiance, car il appartient à ABC.
Cependant, un attaquant pourrait avoir inséré dans le dossier une page contenant de mauvaises instructions. ABC ne sait pas qu’elle est mauvaise, et vous pensez qu’elle est bonne parce qu’elle appartient à ABC et vous allez de l’avant. Cette analogie est évidemment simpliste, car vous pouvez distinguer le bon du mauvais, mais pas votre navigateur. Il suit les instructions à la lettre.
Conséquences d’une attaque XSS sur WordPress
Les principales cibles des attaques XSS sont les visiteurs de votre site Web, ou plus précisément leurs informations. Par conséquent, si une attaque XSS réussit, le script malveillant aura accès à toutes les informations du navigateur du visiteur auxquelles votre site Web a accès. Cela inclut les cookies, les informations de session, etc.
Beaucoup de choses peuvent mal tourner à ce stade :
- Le pirate a accès aux données privées du visiteur et peut prendre le contrôle de son compte sur votre site Web. À partir de là, les choses peuvent dégénérer rapidement.
- Le pirate peut se faire passer pour le visiteur parce qu’il a accès à ses données.
- Le script malveillant peut envoyer le visiteur sur un autre site Web ou lui montrer un contenu qui ne provient pas du site original qu’il a visité. Le script malveillant peut même modifier la façon dont la page s’affiche sur le navigateur.
- Dans les cas les plus graves, l’attaquant peut cibler le visiteur avec une attaque d’ingénierie sociale comme le phishing.
Pour le site web, l’impact d’une attaque WordPress XSS peut varier. Les sites Web WordPress peuvent avoir de sérieux problèmes lorsqu’ils stockent des données privées d’utilisateurs qui peuvent être volées par des pirates. Si l’utilisateur en question est un administrateur ou une personne disposant de privilèges suffisants, le pirate peut se faire passer pour lui et compromettre entièrement le site web.
Comment vérifier si votre site Web présente une vulnérabilité XSS WordPress ?
Les vulnérabilités XSS existent dans le code, que ce soit le code principal de WordPress ou celui des plugins et des thèmes. À moins que vous ne développiez du code personnalisé pour votre site Web, il est peu probable que vous traitiez directement les données de l’utilisateur, et donc que vous cherchiez à les sécuriser.
Le seul véritable moyen de vérifier si votre site Web WordPress est sensible aux attaques XSS est d’utiliser un scanner comme XSS Hunter, ou de faire appel aux services d’un testeur de pénétration.
Cependant, cela ne signifie pas que vous ne pouvez pas protéger les visiteurs de votre site Web contre les vulnérabilités XSS potentielles de votre site. L’installation d’un pare-feu WordPress empêche les attaques et contribue grandement à la protection de vos visiteurs.
En outre, vous pouvez garder un œil sur les plugins et les thèmes installés. Si l’un d’eux révèle des vulnérabilités XSS, assurez-vous de le mettre à jour dès que possible.
Que faire si une attaque XSS fait apparaître un logiciel malveillant sur votre site web ?
Les visiteurs du site sont ostensiblement les cibles des attaques XSS, mais ce groupe peut également inclure les administrateurs du site. S’il existe une vulnérabilité de type Cross-site scripting sur votre site web et que le compte d’un administrateur a été compromis, vous devez supposer que la sécurité de votre site web est également compromise.
En plus de voler les données des individus, les attaques XSS sont également utilisées pour perpétuer d’autres attaques comme les exécutions de code à distance.
Ainsi, même si une attaque XSS de WordPress ne se traduit pas immédiatement par un logiciel malveillant, il est préférable de faire preuve de prudence. Si votre site Web contient un logiciel malveillant, traitez-le immédiatement.
Analysez votre site Web
La seule façon de savoir si votre site Web est réellement infecté par un logiciel malveillant est de l’analyser. Il existe plusieurs façons de le faire, mais elles ne sont pas toutes aussi efficaces.
Nous vous recommandons de procéder à une analyse approfondie de votre site Web à l’aide d’un scanner de sécurité afin de trouver les plus petites traces de logiciels malveillants sur votre site ou dans votre base de données. C’est la meilleure façon de déterminer si votre site Web contient des logiciels malveillants.
Tout bon hébergeur WordPress doit vous fournir un scanner d’installation. Retrouvez notre sélection des meilleurs hébergeurs WP du moment en suivant ce lien !
Protection WordPress XSS : 5 façons de prévenir les attaques XSS
Les vulnérabilités de script intersite de WordPress sont trouvées dans le code, et il y a peu de choses qu’un administrateur de WordPress puisse faire pour supprimer ces vulnérabilités. Cependant, il y a certainement des choses que vous pouvez faire pour protéger les visiteurs de votre site contre les attaques XSS.
1. Installez un pare-feu d’application Web
Les pare-feu sont votre meilleure défense face à une menace en constante évolution. Les pare-feu ont des règles spéciales qui recherchent les requêtes pouvant contenir du texte suspect que l’on trouve généralement dans les attaques XSS.
Lecture recommandée : Comment bloquer l’adresse IP d’un pays dans WordPress
2. Mettez à jour tous vos plugins et thèmes
Les vulnérabilités de sécurité de WordPress sont découvertes dans les plugins et les thèmes en permanence. Les développeurs responsables publient des correctifs de sécurité pour eux, afin que les sites Web ne soient pas en danger.
Une fois les correctifs disponibles, les personnes qui ont découvert les vulnérabilités publient des informations. Par conséquent, les sites Web qui n’ont pas mis à jour leurs plugins et leurs thèmes deviennent des cibles pour les pirates.
3. Installez un bon plugin de sécurité WordPress
Les attaques XSS sont vraiment dangereuses pour les propriétaires de sites Web, si l’utilisateur visé est un administrateur. Le XSS peut être utilisé pour obtenir des identifiants de connexion, puis infecter le site web avec des logiciels malveillants. Un bon plugin de sécurité vous aidera à surveiller les utilisateurs pour détecter toute activité inhabituelle, et les analyses quotidiennes permettront de repérer rapidement tout logiciel malveillant.
4. Mettez en œuvre le durcissement de WordPress
Le durcissement de WordPress est une série de mesures que vous pouvez prendre pour rendre votre site WordPress plus sûr en général. Parmi celles-ci, nous recommandons tout particulièrement l’authentification à deux facteurs.
Le plus grand danger des attaques XSS est le vol d’identifiants de connexion et d’identités, donc l’authentification à deux facteurs contribue grandement à empêcher l’utilisation d’identifiants volés pour accéder à votre site. D’autres mesures de renforcement, comme la désactivation de XML-RPC, sont également bonnes à mettre en œuvre.
5. Suivez la politique de l’utilisateur le moins privilégié
Si le compte d’un utilisateur est compromis en raison d’une attaque XSS, les dommages qu’il peut potentiellement causer sont limités par ses autorisations sur le site Web.
Si vous êtes un développeur WordPress, vérifiez toujours les entrées des utilisateurs. Votre site Web doit vérifier que chaque entrée ne contient pas de code malveillant, notamment avant de l’afficher en sortie.
Conclusion
Les attaques XSS de wordPress sont très courantes et ciblent les visiteurs du site pour voler des données. En tant qu’administrateur de site Web responsable, vous souhaitez protéger vos visiteurs. L’installation d’un pare-feu WordPress vous permettra d’y parvenir.
Plus d'actu WordPress
Elementor – Les offres promotionnelles pour le Black Friday 2024
WP Rocket – Offres promotionnelles pour le Black Friday 2024
WordPress 6.4 contient 100 améliorations de performance
