Les problèmes sur son site web sont l’une des rencontres les plus frustrantes pour les propriétaires de sites. Comme un jeu de taupe, lorsque vous pensez avoir trouvé et supprimé tout ce qui est malveillant, d’autres contenus malveillants apparaissent. Certains facteurs à prendre en compte sont probablement à l’origine de cette situation. Nous allons les examiner, ainsi que certaines mesures préventives/post-hack qui peuvent réparer votre site web piraté.
Versions de CMS, thèmes et plugins obsolètes
Ce n’est un secret pour personne que les logiciels obsolètes sont la principale cause de vulnérabilité des sites web. Comme la plupart des sites web modernes, l’utilisation d’extensions tierces telles que des plugins et des thèmes, est fréquente et il est important de considérer que chacune de ces installations peut être un point d’intrusion potentiel. Dans certains cas, les développeurs ne tiennent pas compte des menaces que leur code peut introduire. (par exemple, l’utilisation d’API non sécurisées, l’absence de validation standard, de journalisation, de traitement des erreurs, etc.) Si vous avez de la chance, un correctif peut être publié avant la diffusion d’un exploit potentiel.
Il est important de suivre toutes les mises à jour publiées ou, si une mise à jour risque de casser quelque chose, de disposer d’un pare-feu capable de bloquer le trafic malveillant qui tente d’exploiter un logiciel vulnérable.
Mots de passe faibles
L’utilisation de mots de passe faibles et par défaut est de plus en plus souvent un facteur de réinfection sur le web. Les fuites de bases de données étant de plus en plus nombreuses, il devient plus facile d’utiliser des outils de récupération de mots de passe pour prévoir les bons. Les attaques violentes sur un site web peuvent conduire un pirate à en prendre le contrôle total. Une fois qu’il en a le contrôle, il peut même retirer l’accès aux propriétaires du site. Si une infection se produit par le biais de méthodes de contrôle d’accès et que les mots de passe ne sont pas mis à jour par la suite, vous pouvez facilement vous retrouver à nouveau à la case départ.
Contamination intersites
Lorsqu’il s’agit d’héberger des sites, la plupart utilisent un environnement d’hébergement partagé, où les clients partagent le même serveur où résident des centaines de sites Web. Cela peut permettre au propriétaire d’un site d’économiser beaucoup de temps et d’argent, mais comme la plupart des choses, la commodité comporte aussi sa part de risques. La contamination intersites est une infection qui se propage d’un site à d’autres sites dans le même environnement partagé. Dans certains cas, si un site ou un serveur qui a été infecté n’a pas été nettoyé suffisamment en profondeur, il peut y avoir des restes d’infection qui peuvent repousser et se propager à d’autres fichiers.
Il est recommandé, en cas de contamination croisée, de mettre les sites en quarantaine les uns par rapport aux autres et de supprimer tous les anciens sites web qui ne sont plus utilisés. Veillez également à limiter au maximum les fichiers, les thèmes et les plugins pour que le site fonctionne correctement. Les différents sites web ne doivent pas avoir d’accès en écriture les uns sur les autres (par exemple, les domaines complémentaires dans les environnements cPanel, ou les environnements WHM avec une protection symlink désactivée).
Trop de privilèges
Une bonne pratique à suivre est le principe du moindre privilège. Lorsque trop d’utilisateurs ont trop d’accès, cela peut entraîner des risques plus importants en termes de sécurité. Si vous trouvez des utilisateurs inconnus, il est préférable de les supprimer. Des pirates pourraient utiliser ces comptes pour obtenir un accès. Chaque rôle attribué à un compte qui n’est pas évalué augmente les chances que quelque chose se passe mal.
De temps à autre, une vulnérabilité de type « escalade des privilèges » est découverte dans un composant logiciel. Cela peut conduire à ce qu’un compte inoffensif de bas niveau obtienne un accès d’administrateur, d’où la nécessité de recourir à l’authentification multifactorielle pour les panneaux d’administration. Si votre site Web ne l’exige pas, vous devriez également désactiver complètement la création de comptes.
Conseil de pro : Nous vous recommandons de n’avoir qu’un seul utilisateur administrateur et de définir tous les autres rôles d’utilisateur avec le minimum de privilèges nécessaires.
Portes dérobées
Lorsque les environnements CMS (Content Management System) sont compromis, cela peut conduire à des vulnérabilités telles que le téléchargement de fichiers. Ce type de vulnérabilité peut accorder des capacités d’exécution de code à distance au pirate. L’objectif du pirate est de ne pas être détecté le plus longtemps possible tout en obtenant des informations d’identification plus sensibles et en élevant ses privilèges. Les portes dérobées peuvent être difficiles à trouver pour le propriétaire de site moyen, et des outils de détection supplémentaires peuvent parfois être nécessaires. Il est également important de mentionner que les CC swipers ont le taux de réinfection le plus élevé. Comme il s’agit du type d’attaque le plus « ciblé », les attaquants ont tout à gagner.
La meilleure méthode pour remonter jusqu’à l’origine d’une porte dérobée consiste à examiner minutieusement les plugins et les thèmes afin de détecter les vulnérabilités ou les modifications de fichiers récemment détectées. Examinez également tout fichier récemment modifié et prêtez attention à l’utilisateur associé aux modifications. Un attaquant pourrait avoir obtenu un accès par le biais d’un compte utilisateur spécifique. Des outils tels que WPScan peuvent également être utiles dans ce cas.
Veuillez noter que toute sauvegarde effectuée alors qu’une infection est encore présente peut entraîner la réapparition de l’infection si le site est restauré à cette version spécifique. Une fois qu’une infection est complètement nettoyée, une nouvelle sauvegarde doit être effectuée.
En conclusion
Ce ne sont là que quelques-uns des cas les plus courants de réinfection d’un site Web, mais la liste est longue. Les propriétaires de sites doivent toujours prendre en compte les principaux facteurs de piratage répété de leur site. Une fois chacun de ces facteurs pris en compte, la récurrence devrait s’atténuer. Les infections par des logiciels malveillants peuvent être l’événement le plus redoutable pour une entreprise en ligne, il est donc indispensable de rester proactif et vigilant.
Si vous êtes victime de piratages répétés comme celui-ci et que vous avez besoin d’une assistance supplémentaire, n’hésitez pas à nous contacter. Pour rester au courant des dernières attaques, suivez toutes nos actualités sur notre blog.
Source : Sucuri blog
https://blog.sucuri.net/2022/03/5-risks-that-can-cause-your-website-to-get-reinfected.html
