Exécuter le Code distant: Guide de l’utilisateur WordPress

Si vous prenez la sécurité de votre site au sérieux, il est temps de comprendre les dangers des vulnérabilités d’exécution de code à distance et comment y faire face. Le terme d’exécution de code à distance (RCE) fait référence à différentes techniques de piratage et attaques de réseau, mais elles ont toutes un point commun important. RCE, parfois appelé injection de code, est une façon de plus en plus courante pour les hackers de détruire divers sites, y compris ceux qui exécutent WordPress comme système de gestion de contenu. Dans ce guide, nous expliquerons en détail à quoi ressemble une attaque d’exécution de code à distance et quelles mesures précises vous devez prendre pour l’éviter. Voyons voir.
Dans ce guide, qu’est – ce qu’une attaque d’exécution de code à distance (RCE)? L’exécution de code à distance (ECR) est une vulnérabilité qui permet aux pirates informatiques d’accéder et de modifier des ordinateurs ou des bases de données appartenant à d’autres personnes. Lors d’une attaque RCE, un hacker contourne un serveur ou un ordinateur en utilisant un logiciel malveillant (n’importe quel logiciel malveillant). Les attaques d’exécution de code à distance sont effectuées sans l’autorisation du propriétaire du matériel, où que les données soient stockées dans le monde. Il peut être utile d’expliquer les attaques RCE qui traitent les attaques d’exécution de code à distance comme des infections de termites:
Les termites creusent des trous sous la maison. Le propriétaire ne savait pas que s’il avait su ce que les termites avaient l’intention de faire, il n’aurait certainement pas invité les termites. L’alumine érode les fondations de la maison jusqu’à ce qu’elle ne soit plus debout. Bien que cette métaphore ne fonctionne pas exactement comme une attaque RCE, une attaque RCE est en fait pire. Contrairement aux termites qui doivent être chez vous (ou chez vous), les hackers peuvent accéder à votre site à partir de n’importe où. En fait, les attaques RCE sont très dangereuses parce que les hackers peuvent
Sur un serveur vulnérable. Si un hacker RCE qualifié accède à votre site WordPress, il n’y a aucune limite aux dommages qu’il peut causer à votre site.
Exemple d’exécution de code à distance en 2018, Microsoft a découvert une vulnérabilité d’exécution de code à distance dans un logiciel Excel. Un attaquant peut exploiter cette vulnérabilité pour exécuter du Code arbitraire dans le contexte de l’utilisateur actuel. Si l’utilisateur actuel est connecté avec les privilèges d’administrateur, un attaquant peut prendre le contrôle du système affecté. L’attaquant peut alors installer le programme; Afficher, modifier ou supprimer des données; Ou créer un nouveau compte avec des privilèges d’utilisateur complets. Les utilisateurs dont les comptes sont configurés pour avoir moins de privilèges d’utilisateur sur le système peuvent être moins touchés que ceux qui ont des privilèges d’utilisateur administratifs. Quels sont les différents types d’exécution de code à distance? Pour mieux comprendre les hackers RCE, vous devez connaître les différents types d’exécution de code à distance: Injection SQL sur votre site WordPress en utilisant la base de données MySQL. L’injection SQL se produit lorsqu’un attaquant accède à toutes les données de la base de données WordPress et du site Web. Avec l’injection SQL, un attaquant pourrait créer un nouveau compte utilisateur au niveau de l’administrateur qui pourrait ensuite être utilisé pour se connecter et obtenir un accès complet au site WordPress. L’Injection SQL peut également être utilisée pour insérer de nouvelles données dans la base de données, y compris des liens vers des sites Web malveillants ou des pourriels.
De nombreuses vulnérabilités RCE attaquent la façon dont les déclarations SQL WordPress sont construites. Par exemple, si l’application doit lire le nom d’utilisateur de la base de données, le développeur peut utiliser par erreur le code suivant pour r
Sur mesure, l’attaquant lancera l’application à travers le répertoire avec le nom.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \.. \… Etc \ mot de passe. Si vous n’implémentez pas des fonctions de sécurité importantes telles que le filtrage d’entrée, les hackers peuvent accéder directement au fichier principal de votre serveur, ce qui est une mauvaise nouvelle pour la sécurité de votre site. Comment prévenir les attaques d’exécution de code à distance (RCE)? Les détails fournis dans ce guide ne vous intimident pas ou ne vous intimident pas. Il vise plutôt à souligner l’importance d’exécuter toujours les mesures de sécurité les plus puissantes sur les sites WordPress. Il vous rappelle également de mettre à jour les plug – ins à tout moment pour vous assurer qu’ils ne sont pas touchés par de nouvelles vulnérabilités RCE. La grande majorité des attaques des ECR peuvent être atténuées ou complètement empêchées en restant au courant des attaques des ECR et en se préparant avant qu’elles ne se produisent. En tant que propriétaire du site WordPress, il est important de prévoir et de comprendre comment nos serveurs Web traitent les informations fournies par les utilisateurs. Comment prévenir les attaques d’exécution de code à distance (RCE): 5 étapes la première façon de s’assurer que votre site est à l’abri des vulnérabilités de RCE est d’utiliser un système de défense polyvalent. En d’autres termes, même si une ligne de défense échoue, vous êtes toujours à l’abri des attaques potentielles. Cela dit, examinons les mesures les plus importantes que vous devriez prendre pour prévenir ces attaques malveillantes et souvent dangereuses. Plusieurs facteurs rendent votre site WordPress plus vulnérable aux attaques réussies. Télécharger et installer le plug – in themes Security pro pour commencer à protéger votre site Web, Téléchargez et installer le plug – in themes Security pro. Obtenez themes Security pro 2 maintenant. Activer la gestion des versions pour m
In: installe automatiquement les dernières mises à jour du plug – in. L’activation de ce paramètre désactive la fonctionnalité du plug – in de mise à jour automatique wordpress pour éviter les conflits. Mise à jour du thème: installe automatiquement les dernières mises à jour du thème. Activer ce paramètre désactivera la fonction de mise à jour automatique des thèmes wordpress pour éviter les conflits. Renforcer le site lors de l’exécution de logiciels obsolètes: ajoute automatiquement une protection supplémentaire au site lorsqu’aucune mise à jour disponible n’est installée depuis un mois. Numériser les anciens sites WordPress: numériser quotidiennement les comptes gérés des anciens sites WordPress, ce qui pourrait permettre aux attaquants de compromettre le serveur. Un site WordPress obsolète avec une vulnérabilité pourrait permettre à un attaquant de détruire tous les autres sites sur le même compte d’hébergement. Mise à jour automatique après correction d’une vulnérabilité: Cette option est utilisée en conjonction avec la numérisation du site Internet d’ithemes Security pro pour vérifier la présence de vulnérabilités WordPress, plugins et thèmes connus sur votre site et appliquer des correctifs lorsque disponibles. Plugins et mises à jour de thème examinons maintenant de plus près la configuration des plugins et des mises à jour de thème. Avant de commencer, il suffit de rappeler que l’activation des paramètres de mise à jour du plugin et du thème désactivera la fonction de mise à jour automatique de wordpress pour éviter les conflits. Il existe trois options pour les paramètres de mise à jour du plug – in et du thème. NULL \ None: Laissez les paramètres en blanc et WordPress peut gérer les mises à jour des plugins et des thèmes. Personnalisation: les options de personnalisation vous permettent de personnaliser les mises à jour exactement comme vous le souhaitez. On en reparlera plus tard. Tout le contenu – tout le contenu mettra à jour tous vos plug – ins ou sujets lorsque les mises à jour seront disponibles
Amendements. Examinons maintenant de plus près les options personnalisées. Sélectionnez l’option personnaliser pour fournir trois options différentes pour les mises à jour des plug – ins et des sujets. Comme nous l’avons vu, la mise en place de mises à jour automatiques personnalisées offre plus de flexibilité que l’activation ou l’arrêt des mises à jour automatiques WordPress. 3. Scanner votre site Web pour trouver des plug – ins et des sujets vulnérables le scanner de site Internet themes Security pro est une autre raison principale pour protéger les sites WordPress contre tous les hackers logiciels: plug – ins obsolètes et sujets avec des vulnérabilités connues. Le scanner de site vérifie les vulnérabilités connues sur le site et applique automatiquement les correctifs, s’ils sont disponibles. 3 types de vulnérabilités vérifiées vulnérabilité WordPress vulnérabilité du plug – in vulnérabilité thème vulnérabilité pour activer la numérisation du site sur une nouvelle installation, allez aux paramètres themes Security pro et cliquez sur le bouton activer dans le module paramètres de numérisation du site. Pour activer la numérisation manuelle du site, cliquez sur le bouton Scan Now sur le Widget de numérisation du site situé dans la barre de droite des paramètres de sécurité. Les résultats de la numérisation du site sont affichés dans le Widget. Si la numérisation du site détecte une vulnérabilité, cliquez sur le lien vulnérabilité pour voir la page détails. Sur la page vulnérabilité de numérisation du site, vous verrez s’il y a un correctif pour cette vulnérabilité. Si un correctif est disponible, vous pouvez cliquer sur le bouton mettre à jour le plug – in pour appliquer le correctif sur votre site Web. Il peut y avoir un délai entre la disponibilité du correctif et la mise à jour de la base de données des vulnérabilités de sécurité d’themes pour refléter les corrections. Dans ce cas, vous pouvez désactiver la notification pour arrêter de recevoir des alertes de vulnérabilité. Important: ne pas
Vous devez désactiver la notification de vulnérabilité jusqu’à ce que vous confirmiez que la version actuelle contient un correctif de sécurité ou que la vulnérabilité n’affecte pas votre site. 4. Prévention des détournements de session vous devez fournir une protection contre les détournements de session aux administrateurs et aux éditeurs sur le site WordPress afin de vous protéger contre les vulnérabilités d’exécution de code à distance. La fonctionnalité des appareils de confiance dans themes Security pro fait du détournement de session un passé. Si l’appareil de l’utilisateur change pendant la session, Themes Security déconnecte automatiquement l’utilisateur afin d’empêcher toute activité non autorisée sur le compte de l’utilisateur, comme changer l’adresse e – mail de l’utilisateur ou télécharger un plug – in malveillant. La fonctionnalité des appareils de confiance dans themes Security pro identifie les appareils que vous et d’autres utilisateurs utilisez pour accéder aux sites WordPress. Une fois votre appareil identifié, nous pouvons empêcher les pirates de session et autres attaquants de détruire votre site Web. Lorsqu’un utilisateur se connecte à un appareil non reconnu, un appareil de confiance peut limiter sa fonctionnalité au niveau de l’Administrateur. Cela signifie que si un attaquant peut accéder à l’arrière – plan du site WordPress, il ne sera pas en mesure d’apporter des modifications malveillantes à votre site. Pour commencer à utiliser des appareils de confiance, activez – les sur la page d’accueil des paramètres de sécurité, puis cliquez sur le bouton configurer les paramètres. Dans les paramètres des appareils de confiance, décidez de l’utilisateur qui utilisera cette fonctionnalité, puis activez la fonctionnalité restrict et la protection contre les détournements de session. Lorsque vous activez les nouveaux paramètres du périphérique de confiance, les utilisateurs sont informés dans la colonne Amini
Extraction WordPress non reconnue sur l’appareil en attente. Si l’appareil actuel n’a pas été ajouté à la liste des appareils de confiance, cliquez sur le lien confirmer cet appareil pour envoyer un courriel d’autorisation. Cliquez sur le bouton confirmer l’appareil dans un courriel de connexion non reconnu pour ajouter l’appareil actuel à la liste des appareils de confiance. Une fois les périphériques de confiance activés, les utilisateurs peuvent gérer les périphériques à partir de la page de profil d’utilisateur WordPress. Sur cet écran, vous pouvez approuver ou rejeter les appareils de la liste des appareils de confiance. De plus, vous pouvez choisir d’enregistrer certaines API tierces pour améliorer l’exactitude de l’identification des appareils de confiance et utiliser la cartographie d’images fixes pour voir l’emplacement approximatif des accès non reconnus. Vérifiez les paramètres des périphériques de confiance pour voir quelles intégrations sont disponibles. 5. Activer l’authentification à deux facteurs pour tous les utilisateurs de l’Administrateur l’authentification à deux facteurs est un processus d’authentification de l’identité du personnel qui nécessite deux méthodes d’authentification distinctes. Google a partagé sur son blog que l’utilisation de l’authentification à deux facteurs peut bloquer 100% des attaques robotisées automatisées. Ce n’est pas une mauvaise opportunité! Le plug – in de sécurité themes vous permet d’activer l’authentification à deux facteurs pour les sites WordPress, de sorte que les utilisateurs doivent entrer un code secondaire pour se connecter. Les trois méthodes d’authentification à deux facteurs fournies par themes Security pro comprennent: application mobile: la méthode d’application mobile est la méthode d’authentification à deux facteurs la plus sûre fournie par themes Security pro. Cette méthode nécessite l’utilisation d’une application mobile gratuite à deux facteurs, comme authy ou Google authenticator. E – mail: la méthode d’e – mail à deux facteurs
Utilisateurs. Code de sauvegarde: un ensemble de code unique qui peut être utilisé pour l’accès en cas de perte de la méthode à deux facteurs. Pour commencer à utiliser l’authentification à deux facteurs sur votre site Web, activez – la sur la page de configuration principale d’themes Security pro. Suivez ces étapes pour continuer à configurer l’authentification à deux facteurs pour les sites WordPress. Si vous suivez nos recommandations et activez les exigences d’intensité pour les utilisateurs privilégiés, vous verrez ensuite où insérer le jeton à deux facteurs. Prévention des ECR: recommandations supplémentaires 1. L’utilisation d’applications logicielles établies et de procédures d ‘« évasion » plug – in seulement est très efficace comme première ligne de défense contre les vulnérabilités du RCE. Cependant, en plus des balises de script, le serveur et le navigateur peuvent interpréter le Code d’autres façons. Si votre objectif est de suivre chacun d’eux par vous – même, il sera très complexe et nécessitera beaucoup de temps et de ressources. Heureusement, les développeurs d’applications ont beaucoup réfléchi aux vulnérabilités du RCE. Il est préférable d’utiliser un CMS fiable (système de gestion de contenu) comme WordPress, car il existe des solutions intégrées dans la plateforme, ainsi que des thèmes et des plugins fonctionnant sur elle. Il est essentiel de garder toutes les applications logicielles et tous les plug – ins à jour lorsque vous publiez de nouvelles versions. Lorsque des vulnérabilités sont découvertes, les développeurs de logiciels travaillent 24 heures sur 24, 7 jours sur 7, pour se tenir au courant des vulnérabilités qu’ils découvrent. Ceci s’applique aux plug – ins et aux auteurs de sujets. Si vous utilisez un CMS personnalisé au lieu de WordPress, vous pouvez utiliser des requêtes paramétrées pour protéger votre site des injections SQL potentielles. Ce type de requête informe l’application à l’avance du type exact de requête que vous allez exécuter. Il reconnaît et supprime ensuite