La sécurité par obfuscation – une approche dangereuse qui ne fonctionne que dans votre imagination

Cacher / renommer votre connexion ne fait pas grand-chose. Bien que vous puissiez imaginer que c’est une excellente protection pour votre site Web, la « sécurité par obfuscation » n’est pas vraiment une protection.

Que signifie « sécurité par obfuscation » ?

La sécurité par obfuscation est principalement basé sur la dissimulation d’informations importantes et l’application du secret comme principale technique de sécurité. Certaines personnes croient qu’en utilisant la sécurité par obfuscation, ils peuvent minimiser le risque d’une attaque.

Voici un exemples concrets :
Cachez la clé de votre porte d’entrée sous une pierre ou un paillasson.
Le principe est simple : votre maison est « sûre » jusqu’à ce qu’un voleur découvre la cachette. Ensuite, votre maison devient vulnérable aux attaques.

C’est la même chose avec WordPress.

Disons que vous voulez que ce soit difficile de découvrir que vous utilisez WordPress et d’autres éléments. Ces mesures visent à accroître votre sécurité, mais aucune n’est aussi précieuse que de verrouillez littéralement la porte.

Vous pouvez bien sûr utiliser la sécurité par obfuscation comme méthode de protection contre les attaques. Mais si votre porte d’entrée n’est pas verrouillée, la sécurité par obfuscation ne servira à rien. Si vous remplacer une vraie sécurité WordPress par du masquage tout sera inutile lorsque vos secrets seront exposés. Les pirates et les bots peuvent (et vont) essayer d’exploiter vos plugins et vos thèmes ; qu’ils sachent ce que vous avez installé ou non. Cacher ce que vous utilisez ne les arrêtera pas !

Tout d’abord, vous devez déterminer comment cacher les détails important

Par exemple, si vous cachez les noms de vos plugins et thèmes dans un fichier .htaccess caché dans les profondeurs de votre serveur, les pirates auront besoin de connaître ce fichier pour savoir quels plugins vous utilisez et quels thèmes vous avez.

Il est très difficile de se protéger contre un pirate informatique qui a accès à votre serveur et à ses fichiers. Et une fois qu’ils ont accès aux fichiers de votre serveur, ils ont accès à tous les fichiers et contenus de votre site Web. S’ils parviennent à le faire, ils ont toutes les informations dont ils ont besoin pour abuser de votre site Web.

Étonnamment, il est plus facile pour les pirates de savoir ce que vous avez installé que de le garder secret. La meilleure façon de protéger votre site Web WordPress est de « garder la porte verrouillée » et de vous assurer de ne pas l’ouvrir à quiconque sans d’abord vérifier leurs informations d’identification et savoir qui ils sont.

Ce qui évitera les problèmes, c’est de s’assurer que tous vos plugins et thèmes sont tenus à jour – alors peu importe ce qu’ils essaient ou ce qu’ils savent. En outre, la modification de votre URL de connexion pourrait affecter négativement le fonctionnement de certains de vos plugins.

Ce qui contribue à la sécurité du site web sans vous protéger complètement

1. Le site Web est sécurisé car il dispose d’un certificat SSL

https://www

La sécurité fournie par un certificat SSL est purement transactionnelle – il protège les données transmises entre le site Web et ses visiteurs. Plus précisément, les visiteurs qui fournissent des informations sensibles telles que les numéros de carte de crédit, les contacts, mots de passe…

Ce que les utilisateurs de WordPress peuvent ignorer, c’est qu’il ne crypte que le trafic, pas les fichiers et les données qui résident sur le site. Les sites Web qui ne sont pas protégés par un pare-feu sont toujours vulnérables aux pirates, même lorsque SSL est utilisé.

2. La modification du préfixe de la base de données améliore la sécurité

Il s’agit en fait d’une recommandation courante. L’idée est de changer le préfixe « wp_ » en une valeur différente et ainsi éviter les attaques sur la base de données (injection SQL). Bien qu’il semble que la sécurité soit améliorée, peu de choses sont accomplies.

Il existe différentes méthodes utilisées par les pirates pour accéder à votre base de données en exploitant les vulnérabilités des plugins et des thèmes que vous utilisez.

Il n’y a aucune preuve que cette méthode améliore la sécurité de votre site Web, et si le changement n’est pas fait correctement, il peut planter votre site Web. Pour vous protéger contre de telles attaques, vous devez adopter une approche à trois volets – utilisez un pare-feu, surveillez le site pour détecter les logiciels malveillants et mettez à jour les plugins, les thèmes et le noyau WordPress.

3. Vous pouvez empêcher les attaques par force brute en masquant les pages wp-admin et wp-login

La plupart des robots malveillants tentent d’utiliser une attaque par force brute pour obtenir des noms d’utilisateur et des mots de passe afin d’obtenir un accès administratif à l’arrière-plan de votre site, en ciblant une page de connexion sur le site. Ils ciblent généralement des noms d’utilisateur courants comme « admin » avec des dizaines de milliers de mots de passe dans l’espoir que l’un d’entre eux fonctionnera. Il est courant pour les administrateurs WordPress de masquer la page de connexion ou le dossier wp-admin afin d’empêcher cet accès.

Bien qu’il existe de nombreux plugins qui aident à masquer la page de connexion, il y a des raisons pour lesquelles cela ne devrait pas être une priorité.

– De nombreux plugins dépendent du dossier wp-admin et s’attende à le trouver où il est censé être. Si le chemin de ce dossier est modifié, le plugin peut cesser de fonctionner correctement.

– Dans le cas de pirates qui possèdent les outils appropriés pour localiser le dossier déplacé, cacher la page de connexion ou le point d’accès ne fournit pas une protection adéquate. En outre, la plupart des attaques ne sont pas dirigées vers la page de connexion, mais vers XMLRPC, une autre application utilisée pour communiquer avec votre site Web.

Par conséquent, cette méthode n’est pas efficace et peut causer plus de problèmes que d’avantages.

4. Un mot de passe fort et un nom d’utilisateur suffisent à protéger le site Web

Il est important d’avoir un nom d’utilisateur et un mot de passe complexes. Il est certainement recommandé d’utiliser des lettres majuscules et minuscules, des chiffres, de la ponctuation et d’autres symboles uniques lors de la création d’un mot de passe, mais cela ne vous protégera pas de toutes les attaques.

Bien sûr, si l’un de vos noms d’utilisateur n’est pas, par exemple, « admin », vous avez une longueur d’avance, mais les pirates utilisent d’autres méthodes – vulnérabilités dans des thèmes ou des modules complémentaires obsolètes, manipulations pour obtenir des informations confidentielles (par exemple, vol d’identité), etc.

Une autre couche de sécurité que vous pouvez envisager sur votre site est l’authentification en deux étapes, où vous obtenez un code chaque fois que vous vous connectez à l’aide de votre téléphone mobile.

5. Mon site Web est sécurisé par un CDN ou un pare-feu basé sur le cloud

Les réseaux de diffusion de contenu (CDN) et les pare-feu basés sur le cloud comme Cloudflare assurent la sécurité des sites Web en redirigeant le trafic vers leurs serveurs, en le filtrant selon les règles du pare-feu, puis en transférant le trafic qui respecte les règles vers votre site Web.

Cette méthode de protection est destinée à masquer votre serveur d’origine, car toute personne qui visite votre site Web est automatiquement redirigée vers les serveurs du fournisseur de protection.

Cette méthode de protection peut en fait être contournée et l’adresse IP d’origine peut être retrouvée et attaquée directement.

La protection des terminaux est plus robuste et plus fiable car elle protège vos données là où elles résident. La protection de vos données à leur emplacement d’origine est la meilleure défense directe contre les pirates informatiques et autres formes d’attaque.

6. Ma page est « petite » et en tant que telle pas intéressante

De toute évidence, une telle affirmation n’est pas vraie. En particulier, les petits blogs et sites sont les cibles idéales pour les pirates.

1. plus le site est petit, moins il est susceptible d’être maintenu par des administrateurs compétents qui répondraient rapidement à une attaque de pirate.

Les chercheurs ont constaté que la plupart des attaques de piratage se produisent sur les petites et moyennes entreprises qui n’ont pas les ressources nécessaires pour se défendre contre de telles attaques, par opposition aux sites plus grands et plus robustes.

Un site Web n’a pas besoin d’avoir des millions de visiteurs pour intéresser les pirates. Votre site peut être détruit une fois qu’ils y ont accès, et ils peuvent utiliser votre serveur pour propager des logiciels malveillants, envoyer du spam ou rediriger le trafic vers des sites malveillants.

2. même si les propriétaires de petits sites Web pensent qu’ils sont protégés parce qu’ils sont surpeuplés par d’autres sites Web – ce sont les propriétaires de blogs qui essaient de se démarquer de la foule et d’attirer autant de trafic que possible sur votre site Web, et si vous travaillez pour attirer l’attention, vous attirerez sûrement les indésirables.

Les hacks d’aujourd’hui utilisent des robots qui recherchent des milliers de sites Web à la recherche de pages vulnérables, se concentrant davantage sur la quantité que sur la qualité. Aucun site Web n’est trop petit pour être piraté, et tous les propriétaires doivent prendre des précautions pour se protéger.

La sécurité par obfuscation : le bon, la brute, le truand

La confidentialité par masquage peut être considérée comme mauvaise car elle implique souvent que l’obfuscation est le principal moyen de confidentialité. La confidentialité est acceptable tant qu’elle n’est pas découverte, mais une fois que quelqu’un découvre votre méthode, votre système est à nouveau vulnérable.

Ne comptez jamais sur le secret comme principale méthode de sécurité. Si quelqu’un découvre vos méthodes de sécurité, vous êtes à nouveau vulnérable. Le secret n’est sûr que s’il n’est pas découvert.

La sécurité ne consiste pas à cacher quelque chose, il s’agit de rendre difficile pour quelqu’un d’y accéder. Dans le monde d’aujourd’hui, il existe de nombreuses façons de protéger les informations : un mot de passe, un coffre-fort ou le verrouillage dans un coffre-fort bancaire. La véritable sécurité ne consiste pas seulement à cacher des informations, mais aussi à s’assurer que personne d’autre ne peut y accéder.

La sécurité par l’obfuscation n’est pas mauvaise, c’est la sécurité seulement par l’obfuscation qui est risquée.

Conclusion

Malgré le fait que WordPress puisse être plus sensible aux attaques que d’autres CMS, WordPress lui-même n’est pas intrinsèquement non sécurisé. La plus grande vulnérabilité de WordPress provient du fait que les utilisateurs ne prennent pas de mesures pour protéger leur propre site.

WordPress se compose d’un noyau WordPress, ainsi que de plugins et de thèmes WordPress externes. Jusqu’à 80% des incidents de piratage se produisent à la suite de logiciels obsolètes (modules complémentaires et thèmes qui ne sont pas mis à jour).

Le moyen le plus simple de pirater un site Web est d’utiliser un mot de passe ou un plugin obsolète, et cela s’applique à tout CMS, pas seulement à WordPress. Ce n’est pas la faute de WordPress si votre site est piraté – c’est votre erreur. Mettez à jour vos thèmes et plugins régulièrement.

WordPress dispose d’une communauté internationale active d’utilisateurs et de développeurs qui travaillent ensemble pour trouver et corriger les vulnérabilités de sécurité dans les fichiers du coeur, ainsi que dans l’écosystème des modules complémentaires et des thèmes.

Lorsque vous concevez et construisez un site Web avec WordPress, vous êtes également responsable de la sécurité à long terme du site. Aucun site Web ne peut être considéré comme 100% à l’abri du piratage, mais l’application de mesures de sécurité peut réduire la vulnérabilité d’un site Web. Mon partenaire Virusdie peut vous aider à gérer vous même un niveau de sécurité élevé et bénéficie d’un excellent support en cas de problème.

mickael@houet.dev