Piratage de WordPress via des attaques Man-in-the-Middle

13 janvier 2021

Une explication détaillée de la façon dont les attaquants utilisent Man-in-the-Middle (MitM) pour pirater les sites Web WordPress et les informations de connexion. Cet article est uniquement à des fins éducatives.

Comme toute autre application Web avec un formulaire de connexion, WordPress soumet votre nom d'utilisateur et votre mot de passe dans une requête HTTP lors de la connexion. Par défaut, HTTP n'est pas un protocole crypté. Cela signifie qu'à moins que votre site Web WordPress n'utilise HTTPS, la communication entre vous et le serveur Web est susceptible d'être écoutée.

Les pirates informatiques malveillants peuvent facilement intercepter et modifier le trafic HTTP en texte clair (non chiffré) de votre site Web WordPress. Naturellement, l'une des informations les plus intéressantes pour un attaquant serait vos informations d'identification d'administrateur WordPress.

Le logiciel utilisé pour mener les attaques Man-in-the-Middle (MitM) est disponible gratuitement et largement. Cet article couvrira des exemples concrets de la façon dont MitM peut être utilisé pour prendre le contrôle de votre site Web WordPress. Ensuite, il recommande la meilleure façon de se défendre contre eux.

Qu'est-ce qu'une attaque Man-in-the-Middle (MitM)?

Une attaque Man-in-the-Middle (MitM) est un terme général pour désigner les attaques où un pirate se positionne comme un intermédiaire entre un expéditeur et un destinataire. Par exemple, entre votre navigateur et le site Web que vous visitez. Cela permet à l'attaquant d'écouter et, dans de nombreux cas, de modifier également le contenu à mesure qu'il est envoyé et reçu entre les deux parties. Dans la plupart des cas, s'ils capturent les informations d'identification, ils peuvent se connecter et pirater votre site Web WordPress.

L'homme au milieu attaque

Comment un attaquant se situe-t-il au milieu?

Les attaques Man-in-the-Middle (MitM) impliquent généralement (pas toujours) qu'un attaquant se trouve sur le même réseau local (LAN) que vous. L'une des attaques MitM les plus courantes implique l'usurpation d'ARP. Les détails concrets de l'usurpation d'ARP dépassent le cadre de cet article. Cependant, le résultat d'une attaque par usurpation ARP réussie entraînerait la fraude de votre commutateur réseau ou routeur en pensant que la machine de l'attaquant est votre machine et vice-versa.

Le résultat est qu'au lieu que chaque partie s'envoie directement des données, elle les envoie d'abord à l'attaquant. Pour que les choses semblent normales, l'attaquant transfère le trafic vers la bonne destination. Cependant, cela donne à l'attaquant la possibilité d'inspecter et même de modifier le contenu de la transmission.

Piratage de sites Web WordPress - Vol de mots de passe et d'identifiants de connexion

Afin de comprendre comment les informations d'identification WordPress seraient volées, examinons d'abord une requête HTTP contenant les informations d'identification soumises à l'aide des outils de développement intégrés du navigateur.

Notez que c'est ne pas une attaque Man-in-the-Middle (MitM), mais cela permet d'illustrer ce qu'il faut rechercher plus tard.

Requête HTTP contenant les informations d'identification soumises

Voyons maintenant ce qu'un attaquant verrait lors de l'inspection du trafic HTTP non chiffré. Dans cet exemple, nous utilisons Wireshare, est un outil d'analyse de réseau gratuit et populaire.

Trafic HTTP non chiffré de Wireshark

Voler les cookies d'authentification

En plus de voler les mots de passe / informations d'identification WordPress, un attaquant peut également simplement voler votre cookie d'authentification pour se faire passer pour vous.

Quel est le lien entre les cookies et l'authentification?

HTTP est un protocole sans état. En HTTP, le serveur n'attache aucune signification particulière aux requêtes arrivant sur le même socket TCP. Cela signifie qu'à moins que vous ne souhaitiez saisir votre mot de passe chaque fois que vous demandez une page, le navigateur doit stocker un jeton temporaire. Ce jeton est connu sous le nom de jeton de session. Le navigateur envoie ce jeton automatiquement à chaque demande. Heureusement, les navigateurs ont un mécanisme intégré pour cela - les cookies. C'est pourquoi la suppression des cookies de votre navigateur vous déconnectera de tous les sites Web.

Cela implique qu'un attaquant n'a même pas besoin de votre mot de passe pour se faire passer pour vous. La seule chose dont ils ont besoin est de mettre la main sur votre jeton de session.

Jeton de session

Une fois de plus, les mêmes informations sont accessibles à un attaquant au sein de Wireshark.

Jeton de session dans Wireshark

En utilisant une extension de navigateur gratuite telle que Cookie-Editor, un attaquant peut facilement utiliser la valeur du cookie volé dans son navigateur et commencer à naviguer dans l'administrateur WordPress comme vous.

Protégez-vous / votre site Web WordPress contre les attaques MitM

Les attaques Man-in-the-Middle telles que celle illustrée dans cet article nécessitent très peu d'effort pour un attaquant. Surtout dans les réseaux publics ou mal sécurisés comme un WiFi public. Heureusement, vous protéger de ces attaques de piratage est très simple - assurez-vous d'activer et d'appliquer HTTPS sur votre site Web WordPress.

HTTPS crypte le trafic entre votre navigateur et le serveur. Si un attaquant devait tenter de lire le contenu du trafic HTTPS, tout ce qu'il verra, c'est beaucoup de texte chiffré dénué de sens et déformé.

Trafic HTTPS chiffré

Précautions supplémentaires de renforcement de la sécurité WordPress

Bien que vous deviez incontestablement activer HTTPS sur votre site Web comme votre première priorité pour contrecarrer les attaques Man-in-the-Middle (MitM), voici de bonnes pratiques de suivi pour améliorer l'étayage.

  1. Ajoutez une authentification à deux facteurs (2FA) pour renforcer la sécurité de votre mécanisme d'authentification de site Web WordPress
  2. Appliquer des mots de passe WordPress forts pour rendre les attaques de devinettes de mots de passe beaucoup plus difficiles
  3. Gardez un journal d'activité WordPress pour surveiller les accès non autorisés à l'administrateur WordPress
  4. Installez un moniteur d'intégrité des fichiers WordPress pour détecter les modifications de fichiers malveillants sur votre installation WordPress
  5. Configurez un pare-feu et une solution de sécurité WordPress pour contrecarrer les attaques courantes des applications Web.