WordPress : de l’importance de protéger votre identifiant et votre mot de passe
Si vous êtes propriétaire d’un site WordPress, vous savez sûrement que les cybercriminels aimeraient l’utiliser pour propager des logiciels malveillants.
Le mois dernier, le Lab de F-Secure a détecté un pic de redirections Flash amenant automatiquement les utilisateurs vers un site ayant pour objectif de les infecter via des logiciels malveillants, notamment le kit d’exploitation Angler. Ces problèmes provenaient de sites web infectés, en particulier de sites WordPress.
Si ces attaques n’ont rien de nouveau pour le laboratoire, mais la méthode utilisée est en revanche inédite : elle consiste à rechercher les identifiants WordPress.
Pourquoi se concentrer sur les identifiants ?
« Après avoir obtenu un identifiant, le cybercriminel n’a plus qu’à trouver le mot de passe », explique Patricia, membre du Lab F-Secure. « Pour procéder à l’identification, les pirates ont utilisé un outil générant automatiquement des mots de passe. Après 1 200 essais, ils ont réussi à s’identifier. »
Si le logiciel trouve votre mot de passe, votre site servira alors à propager des logiciels malveillants, dangereux pour vos visiteurs. Vous risquez également d’être désindexé par Google.
Il est donc primordial de mettre à jour régulièrement vos serveurs et plugins. Ces attaques soulignent également l’importance de protéger correctement votre identifiant WordPress et de TOUJOURS utiliser un mot de passe unique avec un niveau de sécurité suffisant.
« Par ailleurs, afin de mieux lutter contre ce piratage ciblé, il est désormais fortement recommandé de ne pas utiliser de compte administrateur WordPress pour publier du contenu », précise Patricia.
Il est également possible de protéger votre serveur des attaques visant à récupérer les identifiants de vos visiteurs. Pour ce faire, consultez notre blog News from the Labs.
Il est assez effrayant de découvrir tout ce que l’on peut apprendre sur un utilisateur rien qu’avec son identifiant et son mot de passe. C’est pourquoi lorsque vous êtes propriétaire d’un site web, activité qui peut faire partie intégrante de votre quotidien, la seule manière de ne pas vous faire pirater est de vous assurer que votre mot de passe ne puisse jamais être deviné. Et si ce n’est pas déjà fait, optez pour l’authentification en deux étapes.
Catégories