Etant la plus populaire des plateformes de gestion de sites Web, WordPress fait régulièrement l’objet de diverses attaques. Ces dernières sont notamment facilitées par la découverte de nombreuses failles par les pirates informatiques. Les utilisateurs peuvent cependant se trouver à l’abri de ces attaques avec la dernière mise à jour du CMS : WordPress 4.2.3.
Correctif d’une vingtaine de vulnérabilités
Les propriétaires de sites WordPress peuvent désormais soupirer. Un correctif au bug critique de type XXS ou cross-site scripting vient en effet de voir le jour. Il s’agit d’une mise à jour de la plus populaire des plateformes de gestion de sites Web. WordPress 4.2.3 est donc le remède contre la vulnérabilité qui donne la possibilité à des personnes malveillantes de mettre la main sur un site WordPress vulnérable, en obtenant, au préalable le statut de contributeur ou d’auteur. Même WordPress n’a pu cacher sa peur face à la menace en utilisant, dans un billet de blog désormais accessible en cache, le terme « critique » pour qualifier cette faille.
La vulnérabilité précitée n’est pas la seule pouvant être corrigée par cette nouvelle version de la célèbre plateforme de gestion de sites Web. Celle-ci est également prévue pour effacer 20 autres bugs. Comme on peut donc le voir, la popularité constitue également un handicap pour le CMS. Google n’a pu s’empêcher de mettre plus de 11 000 sites WordPress à la fin de l’année 2014 suite à la campagne de malware SoakSoak. Ce qui a entraîné une vague de mécontentement au sein de la communauté d’utilisateurs de l’outil de publication. Il y a également quelques mois, ce dernier a subi une vague d’attaques sous forme de défacements venant des pirates revendiquant leur appartenance à l’Etat Islamique. Celle-ci a été suivie d’une publication d’alerte de sécurité par le FBI.
Autres solutions pour sécuriser son site WordPress
Il ne faut pas se contenter de cette mise à jour pour être sûr de se trouver à l’abri d’éventuelles attaques plus sophistiquées. Il est également important pour tout propriétaire de site WordPress de protéger sa page de connexion, souvent ciblée par les hackers. La protection se fera via un meilleur choix de mots de passe, un blocage l’accès à wp-login.php et/ou une limitation du nombre de tentatives de connexion. Il est aussi temps d’abandonner le classique nom d’utilisateur « admin ». Ce dernier pourra en effet rendre plus facile le contrôle du site par les cybercriminels.
De nombreux spécialistes en sécurité informatique recommandent également aux utilisateurs une meilleure protection de leur fichier .htaccess et de wp-includes pour mettre un site WordPress à l’abri de toutes tentatives d’attaques. D’autres vont jusqu’à conseiller aux administrateurs de masquer leur version de WordPress. Cela ne permet pas, certes, d’empêcher des attaques, mais de réduire les tentatives, les cybercriminels ayant besoin de connaître la version WordPress d’un site pour bien mener leurs attaques.
Enfin, interdire l’accès au répertoire de fichier permet également de mieux prémunir un site contre toute tentative d’attaques d’un site WordPress.