Principales méthodes de piratage des sites par les spammeurs

Pour protéger votre site contre les attaques futures, il est important de comprendre comment il a été piraté. Ce document aborde certaines des failles de sécurité qui peuvent entraîner le piratage de votre site.

La vidéo suivante décrit les types de piratage et explique comment les pirates prennent le contrôle de votre site.

Mots de passe découverts

Les pirates peuvent obtenir votre mot de passe en essayant différentes combinaisons jusqu'à ce qu'ils trouvent la bonne. Les attaques par devinage de mot de passe utilisent des méthodes telles que l'essai de mots de passe courants ou l'analyse de combinaisons aléatoires de lettres et de chiffres. Pour éviter cela, créez un mot de passe sécurisé et difficile à deviner. Vous trouverez des conseils pour créer un mot de passe sécurisé dans cet article du centre d'aide Google.

N'oubliez pas deux points importants.

  1. Évitez de réutiliser des mots de passe sur différents services. Une fois que les pirates ont identifié une combinaison de nom d'utilisateur et de mot de passe fonctionnelle, ils essaient ces identifiants sur le plus grand nombre de services possible. Utilisez un mot de passe unique pour éviter que d'autres comptes ne soient piratés.
  2. Utilisez l'authentification à deux facteurs (2FA), comme la validation en deux étapes de Google. La 2FA ajoute une deuxième couche d'identifiants, via un code envoyé par SMS ou un code PIN généré de manière dynamique, pour empêcher les pirates d'accéder à votre compte. Certains fournisseurs de CMS proposent des conseils sur la configuration de la 2FA :

Mises à jour de sécurité manquantes

Les versions logicielles antérieures peuvent présenter des failles de sécurité à haut risque qui permettent aux pirates de compromettre un site entier. Les pirates recherchent activement les anciens logiciels présentant des failles. Ignorer les failles augmente le risque d'attaque.

Exemple :

  • Logiciel de serveur Web (si vous hébergez vos propres serveurs)
  • Votre système de gestion de contenu (CMS) Par exemple, les mises à jour de sécurité de Wordpress, Drupal, et Joomla!.
  • Tous les plug-ins et modules complémentaires que vous utilisez sur votre site

Thèmes et plug-ins non sécurisés

Les plug-ins et thèmes CMS ajoutent des fonctionnalités utiles. Toutefois, les thèmes et plug-ins obsolètes ou non corrigés sont une source majeure de failles. Maintenez les thèmes et plug-ins à jour. Supprimez les thèmes ou plug-ins qui ne sont plus mis à jour.

Soyez extrêmement prudent avec les plug-ins ou thèmes sans frais provenant de sites non fiables. Les pirates ajoutent souvent du code malveillant aux versions sans frais de plug-ins ou de thèmes payants. Lorsque vous supprimez un plug-in, veillez à supprimer tous ses fichiers de votre serveur plutôt que de le désactiver.

Ingénierie sociale

L'ingénierie sociale exploite la nature humaine pour contourner la sécurité. Ces attaques incitent les utilisateurs à fournir des informations confidentielles, telles que des mots de passe. L'hameçonnage est une forme courante d'ingénierie sociale. Lors d'une tentative d'hameçonnage, un pirate envoie un e-mail en se faisant passer pour une organisation légitime afin de demander des informations confidentielles.

Ne partagez jamais d'informations sensibles (par exemple, des mots de passe, des numéros de carte de crédit, des informations bancaires ou même votre date de naissance) à moins d'être sûr de l'identité du demandeur. Si plusieurs personnes gèrent votre site, organisez des formations pour sensibiliser à l'ingénierie sociale. Pour obtenir des conseils de base sur la protection contre l'hameçonnage, consultez le centre d'aide Gmail.

Failles dans les règles de sécurité

Si vous êtes administrateur système ou si vous hébergez votre propre site, des règles de sécurité médiocres peuvent permettre aux pirates de compromettre votre site. Voici quelques exemples :

  • Autoriser les utilisateurs à créer des mots de passe faibles
  • Accorder un accès administrateur à des utilisateurs qui n'en ont pas besoin
  • Ne pas activer le protocole HTTPS et autoriser les utilisateurs à se connecter via HTTP
  • Autoriser les utilisateurs non authentifiés à importer des fichiers sans vérification du type

Voici quelques conseils pour protéger votre site :

  • Configurez votre site Web avec des contrôles de sécurité élevés en désactivant les services inutiles.
  • Testez les contrôles d'accès et les droits des utilisateurs.
  • Utilisez le chiffrement pour les pages qui gèrent des informations sensibles, telles que les pages de connexion.
  • Consultez régulièrement vos journaux pour détecter toute activité suspecte.

Fuites de données

Des fuites de données se produisent lorsque des données confidentielles sont importées et mal configurées pour être accessibles au public. Par exemple, les messages d'erreur des applications Web peuvent divulguer des informations de configuration. En utilisant une méthode appelée "dorking", les acteurs malveillants peuvent exploiter la fonctionnalité des moteurs de recherche pour trouver ces données.

Assurez-vous que votre site ne révèle pas d'informations sensibles en effectuant des vérifications régulières et en limitant les données confidentielles. Si vous découvrez des informations sensibles sur votre site qui doivent être supprimées de la recherche Google de toute urgence, utilisez l' outil de suppression d'URL.