Comme toute autre application Web avec un formulaire de connexion, WordPress soumet votre nom d'utilisateur et votre mot de passe dans une requête HTTP lors de la connexion. Par défaut, HTTP n'est pas un protocole crypté. Cela signifie qu'à moins que votre site Web WordPress n'utilise HTTPS, la communication entre vous et le serveur Web est susceptible d'être écoutée.
Les pirates informatiques malveillants peuvent facilement intercepter et modifier le trafic HTTP en texte clair (non chiffré) de votre site Web WordPress. Naturellement, l'une des informations les plus intéressantes pour un attaquant serait vos informations d'identification d'administrateur WordPress.
Le logiciel utilisé pour mener les attaques Man-in-the-Middle (MitM) est disponible gratuitement et largement. Cet article couvrira des exemples concrets de la façon dont MitM peut être utilisé pour prendre le contrôle de votre site Web WordPress. Ensuite, il recommande la meilleure façon de se défendre contre eux.
Sommaire
Une attaque Man-in-the-Middle (MitM) est un terme général pour désigner les attaques où un pirate se positionne comme un intermédiaire entre un expéditeur et un destinataire. Par exemple, entre votre navigateur et le site Web que vous visitez. Cela permet à l'attaquant d'écouter et, dans de nombreux cas, de modifier également le contenu à mesure qu'il est envoyé et reçu entre les deux parties. Dans la plupart des cas, s'ils capturent les informations d'identification, ils peuvent se connecter et pirater votre site Web WordPress.
Les attaques Man-in-the-Middle (MitM) impliquent généralement (pas toujours) qu'un attaquant se trouve sur le même réseau local (LAN) que vous. L'une des attaques MitM les plus courantes implique l'usurpation d'ARP. Les détails concrets de l'usurpation d'ARP dépassent le cadre de cet article. Cependant, le résultat d'une attaque par usurpation ARP réussie entraînerait la fraude de votre commutateur réseau ou routeur en pensant que la machine de l'attaquant est votre machine et vice-versa.
Le résultat est qu'au lieu que chaque partie s'envoie directement des données, elle les envoie d'abord à l'attaquant. Pour que les choses semblent normales, l'attaquant transfère le trafic vers la bonne destination. Cependant, cela donne à l'attaquant la possibilité d'inspecter et même de modifier le contenu de la transmission.
Afin de comprendre comment les informations d'identification WordPress seraient volées, examinons d'abord une requête HTTP contenant les informations d'identification soumises à l'aide des outils de développement intégrés du navigateur.
Notez que c'est ne pas une attaque Man-in-the-Middle (MitM), mais cela permet d'illustrer ce qu'il faut rechercher plus tard.
Voyons maintenant ce qu'un attaquant verrait lors de l'inspection du trafic HTTP non chiffré. Dans cet exemple, nous utilisons Wireshare, est un outil d'analyse de réseau gratuit et populaire.
En plus de voler les mots de passe / informations d'identification WordPress, un attaquant peut également simplement voler votre cookie d'authentification pour se faire passer pour vous.
HTTP est un protocole sans état. En HTTP, le serveur n'attache aucune signification particulière aux requêtes arrivant sur le même socket TCP. Cela signifie qu'à moins que vous ne souhaitiez saisir votre mot de passe chaque fois que vous demandez une page, le navigateur doit stocker un jeton temporaire.
Ce jeton est connu sous le nom de jeton de session. Le navigateur envoie ce jeton automatiquement à chaque demande. Heureusement, les navigateurs ont un mécanisme intégré pour cela - les cookies. C'est pourquoi la suppression des cookies de votre navigateur vous déconnectera de tous les sites Web.
Cela implique qu'un attaquant n'a même pas besoin de votre mot de passe pour se faire passer pour vous. La seule chose dont ils ont besoin est de mettre la main sur votre jeton de session.
Une fois de plus, les mêmes informations sont accessibles à un attaquant au sein de Wireshark. En utilisant une extension de navigateur gratuite telle que Cookie-Editor, un attaquant peut facilement utiliser la valeur du cookie volé dans son navigateur et commencer à naviguer dans l'administrateur WordPress comme vous.
Les attaques Man-in-the-Middle telles que celle illustrée dans cet article nécessitent très peu d'effort pour un attaquant. Surtout dans les réseaux publics ou mal sécurisés comme un WiFi public. Heureusement, vous protéger de ces attaques de piratage est très simple - assurez-vous d'activer et d'appliquer HTTPS sur votre site Web WordPress.
HTTPS crypte le trafic entre votre navigateur et le serveur. Si un attaquant devait tenter de lire le contenu du trafic HTTPS, tout ce qu'il verra, c'est beaucoup de texte chiffré dénué de sens et déformé.
Bien que vous deviez incontestablement activer HTTPS sur votre site Web comme votre première priorité pour contrecarrer les attaques Man-in-the-Middle (MitM), voici de bonnes pratiques de suivi pour améliorer l'étayage.
La sécurité est très importante sur WordPress. Attention donc à bien gérer votre page et à optimiser tout ce qui pourrait vous permettre de ne pas être piraté. On vous donne quelques conseils sur le sujet mais également sur les multiples façons de gérer des erreurs elles aussi importantes, comme la 28 cURL !