{"id":251404,"date":"2022-12-27T15:25:00","date_gmt":"2022-12-27T12:25:00","guid":{"rendered":"https:\/\/inform.click\/comment-verifier-si-votre-systeme-wordpress-est-securise-contre-les-attaques-xss\/"},"modified":"2022-12-27T16:11:00","modified_gmt":"2022-12-27T13:11:00","slug":"comment-verifier-si-votre-systeme-wordpress-est-securise-contre-les-attaques-xss","status":"publish","type":"post","link":"https:\/\/inform.click\/fr\/comment-verifier-si-votre-systeme-wordpress-est-securise-contre-les-attaques-xss\/","title":{"rendered":"Comment v\u00e9rifier si votre syst\u00e8me WordPress est s\u00e9curis\u00e9 contre les attaques XSS"},"content":{"rendered":"

\n Dans le monde, pr\u00e8s de 48 % de tous les sites Web sont vuln\u00e9rables au cross-site scripting (XSS). Dans le monde, presque exactement 25% de tous les sites Web utilisent la plate-forme WordPress.\n<\/p>\n

\n Il s’ensuit que dans le diagramme de Venn des sites Web vuln\u00e9rables \u00e0 XSS et des sites Web ex\u00e9cutant la plate-forme WordPress, le chevauchement doit \u00eatre assez important.\n<\/p>\n

\n Ce n’est pas un coup sur la plate-forme elle-m\u00eame. L’\u00e9quipe WordPress a fait de la s\u00e9curit\u00e9 une partie int\u00e9grante de son \u00e9nonc\u00e9 de mission et corrige de mani\u00e8re agressive les vuln\u00e9rabilit\u00e9s chaque fois qu’elles sont connues. Pourtant, cela n'emp\u00eache pas les gens de coder des th\u00e8mes non s\u00e9curis\u00e9s ou d’installer des plugins non s\u00e9curis\u00e9s. Ces probl\u00e8mes sont les deux principales portes d’entr\u00e9e des attaques XSS sur les sites WordPress, et cet article explique comment les arr\u00eater.\n<\/p>\n

\n Introduction aux scripts intersites
\n<\/h4>\n

\n Voyons d’abord comment les attaques XSS sont men\u00e9es. Il existe plus d’un type d’attaque XSS, je vais donc commencer par une d\u00e9finition simplifi\u00e9e. En r\u00e8gle g\u00e9n\u00e9rale, les attaques XSS commencent par des entr\u00e9es non \u00e9pur\u00e9es \u2013 formulaires de commentaires, zones de commentaires, barres de recherche, etc. Ces attaques varient consid\u00e9rablement en sophistication. Vous savez de quoi je parle: \u00abMerci pour cet excellent article. Au fait, voici mon site sur lequel je gagne 5 000 $ par semaine en travaillant \u00e0 domicile : www.only-an-idiot-would-click-this-link.co.uk.\u00a0\u00bb\n<\/p>\n

\n D’une certaine mani\u00e8re, les commentaires de spam sont l’exemple parfait d’une attaque XSS. Une entit\u00e9 malveillante subvertit l’infrastructure de votre site (la zone de commentaire) pour placer son contenu (le lien malveillant) sur votre site. Bien qu’il s’agisse d’un bon exemple illustratif, une attaque XSS plus r\u00e9aliste sera beaucoup plus subtile. Un commentaire de spam prend environ cinq secondes \u00e0 quelqu’un pour cr\u00e9er. Une attaque XSS est quelque chose sur laquelle un v\u00e9ritable hacker passera un peu plus de temps.\n<\/p>\n

\n Un vrai chapeau noir essaiera de tirer parti de tous les aspects de votre site qui soumettent des donn\u00e9es au serveur, les utilisant essentiellement comme un \u00e9diteur de texte miniature. Si vos entr\u00e9es ne sont pas prot\u00e9g\u00e9es, cela signifie qu’elles peuvent litt\u00e9ralement prendre leur code et forcer votre application \u00e0 l’ex\u00e9cuter et \u00e0 s’afficher dans le navigateur d’un utilisateur (et cela peut inclure votre navigateur). Contrairement aux commentaires de spam, seul un examen d\u00e9taill\u00e9 du code modifi\u00e9 de votre site ou un examen approfondi des interactions du site Web peut r\u00e9v\u00e9ler une violation. Comme on peut l’imaginer, il n’y a pas de fin au nombre de choses peu recommandables qui pourraient r\u00e9sulter d’une telle violation.\n<\/p>\n

\n Le vandalisme simple est un r\u00e9sultat relativement courant des attaques XSS, ce qui fait que vos utilisateurs voient des images grotesques ou de la propagande politique \u00e0 la place de votre contenu. Les sp\u00e9cialistes du marketing ayant peu de plans \u00e0 long terme ou des pr\u00e9occupations \u00e9thiques les utiliseront pour faire de la publicit\u00e9 aupr\u00e8s des gens contre leur gr\u00e9. Une attaque plus nuanc\u00e9e et subtile pourrait voler les identifiants de connexion de vos utilisateurs. Si l’un d’eux a des privil\u00e8ges d’administrateur, toutes les informations personnelles que vous stockez sur votre site peuvent \u00eatre r\u00e9cup\u00e9r\u00e9es. Alternativement, ils peuvent utiliser l’attaque XSS initiale comme levier pour ouvrir votre site et installer des logiciels malveillants encore plus avanc\u00e9s.\n<\/p>\n

\n Arr\u00eater les attaques
\n<\/h4>\n

\n Si vous \u00eates une personne raisonnablement avertie en mati\u00e8re de code et que vous \u00eates l’unique propri\u00e9taire d’un site WordPress relativement petit, les pratiques de codage s\u00e9curis\u00e9 seront probablement le meilleur moyen de verrouiller votre site contre les attaques de script intersite. J’inclus cette mise en garde car si vous faites partie d’une organisation plus grande ex\u00e9cutant une application plus complexe, il ne vous sera peut-\u00eatre pas humainement possible de trouver tous les domaines o\u00f9 un attaquant malveillant pourrait injecter du code. Les sites Web modernes peuvent \u00eatre \u00e0 grande \u00e9chelle, et il pourrait vous incomber d'embaucher un professionnel chevronn\u00e9 et de consacrer votre temps \u00e0 d’autres activit\u00e9s pour rendre votre site Web encore meilleur pour vos lecteurs.\n<\/p>\n

\n Un autre avertissement est que si vous n’\u00eates pas particuli\u00e8rement averti en mati\u00e8re de code et que quelqu’un d’autre cr\u00e9e votre site pour vous, ne pr\u00e9sumez pas qu’il a utilis\u00e9 des pratiques de codage s\u00e9curis\u00e9es. M\u00eame les d\u00e9veloppeurs les plus exp\u00e9riment\u00e9s sont connus pour laisser la s\u00e9curit\u00e9 de c\u00f4t\u00e9 ou faire des erreurs mineures sans que quelqu’un d’autre v\u00e9rifie leur travail. D’autres d\u00e9veloppeurs peuvent tout simplement ne pas savoir ce qu’ils font en termes de s\u00e9curit\u00e9, et d’autres continuent de passer sous silence la s\u00e9curit\u00e9 pour sauver du temps pour eux (malgr\u00e9 le manque de professionnalisme \u00e0 cet \u00e9gard). En r\u00e9sum\u00e9, assurez-vous d'embaucher un professionnel r\u00e9put\u00e9 qui ne l\u00e9sine pas sur le d\u00e9veloppement et la protection de votre site Web.\n<\/p>\n

\n Cette pr\u00e9occupation \u00e9tant exprim\u00e9e, l’une des premi\u00e8res et des plus simples choses que vous puissiez faire pour emp\u00eacher les scripts intersites est de valider les donn\u00e9es des utilisateurs.\n<\/p>\n

\n Disons que vous avez un formulaire d’inscription sur votre site et que ce formulaire demande \u00e0 l’utilisateur de saisir son nom. Un utilisateur malveillant pourrait plut\u00f4t taper quelque chose comme :\n<\/p>\n

\n<script>\n<![CDATA[\nCoughUpYourPreciousData();\n]]>\n<\/script><\/code><\/pre>\n
\n  Cela pourrait, par exemple, amener la prochaine personne qui visite cette page \u00e0 envoyer une copie de ses cookies \u00e0 un attaquant.\n<\/p>\n
\n  Vous pouvez voir que dans cet exemple, la cha\u00eene de code ci-dessus ne ressemble en rien au nom de quelqu’un. Votre serveur ne le sait pas, mais en utilisant quelques param\u00e8tres d\u00e9finis, vous pouvez lui apprendre. Par exemple, vous pouvez dire \u00e0 ce champ de rejeter les caract\u00e8res sp\u00e9ciaux, tels que ,() et ; (ils ne sont pas particuli\u00e8rement n\u00e9cessaires dans une section de commentaires). Vous pouvez indiquer \u00e0 ce champ que le nom d’une personne ne contient probablement pas de chiffres. Si vous \u00eates pr\u00eat \u00e0 \u00eatre un peu draconien, vous pouvez indiquer \u00e0 ce champ de rejeter les entr\u00e9es de plus de quinze caract\u00e8res (ou vous pouvez modifier les valeurs comme vous le souhaitez). Prendre ces mesures limitera consid\u00e9rablement la quantit\u00e9 de d\u00e9g\u00e2ts qu’un attaquant peut faire avec un champ particulier.\n<\/p>\n
\"\"<\/a><\/p>\n
\n  M\u00eame avec la validation des donn\u00e9es, il peut y avoir des formulaires ou des champs o\u00f9 vous ne pouvez pas limiter de mani\u00e8re r\u00e9aliste le type de caract\u00e8res utilis\u00e9s, comme dans un formulaire de contact ou un champ de commentaire. Ce que vous pouvez faire, c’est nettoyer les donn\u00e9es. Ce processus rend impossible l’ex\u00e9cution de HTML dans un champ donn\u00e9, convertissant tout ce qui pourrait \u00eatre reconnaissable comme un morceau de code ex\u00e9cutable en caract\u00e8res non codants. Par exemple, un lien hypertexte n’appara\u00eetra pas l\u00e0 o\u00f9 il pourrait en exister un.\n<\/p>\n
\n  Enfin, il existe des cas dans lesquels votre site peut finir par afficher des donn\u00e9es dangereuses pour les utilisateurs. Supposons que quelqu’un r\u00e9dige un commentaire malveillant sur l’une de vos pages, qui est ensuite index\u00e9 par la fonction de recherche de votre site Web. Chaque fois qu’un de vos utilisateurs effectue une recherche, ce code malveillant est ex\u00e9cut\u00e9 lorsque son navigateur charge les r\u00e9sultats de la recherche. Ceci est \u00e9vit\u00e9 en \u00e9chappant aux donn\u00e9es, ce qui garantit que lorsque votre site fournit des donn\u00e9es \u00e0 un utilisateur, le seul code qui s’ex\u00e9cute est le code que vous souhaitez ex\u00e9cuter.\n<\/p>\n
\n  Pour en savoir plus sur la validation des donn\u00e9es, la d\u00e9sinfection des donn\u00e9es et l’\u00e9chappement des donn\u00e9es, le WordPress Codex<\/a> dispose d’une excellente ressource. Il expliquera les concepts ci-dessus en d\u00e9tail et donnera plus d’exemples qui peuvent \u00eatre appliqu\u00e9s universellement.\n<\/p>\n
\n  Autres m\u00e9thodes
\n<\/h4>\n
\n  Les grandes entreprises ont de plus grands sites Web; c’est un fait. Peut-\u00eatre que des milliers de personnes utilisent votre site chaque jour. Peut-\u00eatre qu’au lieu de formulaires et de champs standard, il existe \u00e9galement des animations, divers portails, des parties \u00e9crites en Java, etc. M\u00eame si vous gardez une trace de tout cela, il y a peut-\u00eatre un jour z\u00e9ro dans l’une de vos applications, et vous n’avez aucun moyen de vous d\u00e9fendre.\n<\/p>\n
\n  Dans une situation comme celle-ci, si vous avez l’influence et le budget n\u00e9cessaires pour le faire, je vous recommande d’investir dans un pare-feu d’application Web (WAF). Un bon WAF aura des r\u00e8gles de corr\u00e9lation qui identifient et bloquent automatiquement les cha\u00eenes HTML qui sont le plus souvent associ\u00e9es aux attaques par injection de code. Ils peuvent \u00e9galement vous avertir lorsque des applications commencent \u00e0 exfiltrer des donn\u00e9es alors qu’elles ne sont pas cens\u00e9es le faire ou qu’elles le font dans un volume inhabituel, aidant ainsi \u00e0 se d\u00e9fendre contre les attaques zero-day et autres menaces avanc\u00e9es. Un WAF n’est pas une solution miracle, mais c’est un outil inestimable pour les professionnels de la s\u00e9curit\u00e9 et les propri\u00e9taires de sites Web qui souhaitent prot\u00e9ger des applications complexes.\n<\/p>\n
\n  Il existe \u00e9galement un certain nombre de plugins qui pr\u00e9tendent se d\u00e9fendre contre les attaques XSS. En fait, je ne les recommande pas. Plut\u00f4t que de r\u00e9duire les risques, bon nombre de ces plugins ne repr\u00e9sentent qu’une autre surface d’attaque \u00e0 exploiter par un pirate informatique. M\u00eame l’un des plugins de s\u00e9curit\u00e9 les plus connus et les plus utilis\u00e9s, Akismet, s’est av\u00e9r\u00e9 vuln\u00e9rable aux attaques XSS<\/a> l’ann\u00e9e derni\u00e8re. Lorsqu’il s’agit de d\u00e9tourner les attaques XSS, ne comptez pas sur des demi-mesures. D\u00e9veloppez les comp\u00e9tences n\u00e9cessaires et utilisez l’ensemble d’outils appropri\u00e9 pour assurer la s\u00e9curit\u00e9 de votre site Web.\n<\/p>\n
\n  Autres applications pratiques
\n<\/h4>\n
\n  Ces informations peuvent \u00eatre un peu complexes pour les non-initi\u00e9s, mais je d\u00e9testerais que les gens soient d\u00e9courag\u00e9s par la complexit\u00e9 potentielle de ces informations. Si une attaque XSS se produit, vous pouvez \u00eatre certain que le nettoyage des cons\u00e9quences d’un tel \u00e9v\u00e9nement sera beaucoup plus complexe que d’apporter les modifications \u00e0 votre site Web. Nettoyer les co\u00fbts de r\u00e9putation de votre site Web (les lecteurs r\u00e9guliers fuiront votre site Web assez facilement) sera un probl\u00e8me suppl\u00e9mentaire dont vous ne voulez pas avoir \u00e0 vous soucier.\n<\/p>\n
\n  M\u00eame si vous demandez \u00e0 quelqu’un d’autre de g\u00e9rer le d\u00e9veloppement et la s\u00e9curit\u00e9 de votre site Web pour vous, faites ce que vous pouvez pour au moins \u00eatre en mesure de r\u00e9pondre \u00e0 une urgence et de savoir o\u00f9 se trouvent vos points faibles. Savoir comment v\u00e9rifier votre syst\u00e8me sera une comp\u00e9tence essentielle \u00e0 long terme et sera la base d’autres sujets de s\u00e9curit\u00e9 et de projets de d\u00e9veloppement de sites Web. Tout est interconnect\u00e9 en ligne et bien que les attaques XSS puissent \u00eatre une chose des derni\u00e8res ann\u00e9es sur toute la ligne (aussi peu probable que cela soit), conna\u00eetre les tenants et les aboutissants de votre site Web ne sera jamais obsol\u00e8te.\n<\/p>\n
\n  Derni\u00e8res pens\u00e9es
\n<\/h4>\n
\n  Le paysage de la s\u00e9curit\u00e9 Internet change constamment. Vous ne pouvez jamais \u00eatre enti\u00e8rement certain de la mani\u00e8re dont une attaque XSS pourrait appara\u00eetre ou de la mani\u00e8re dont elle pourrait \u00eatre utilis\u00e9e contre vous, mais vous vous devez, \u00e0 vous-m\u00eame et \u00e0 vos lecteurs, de vous assurer que vous faites tout ce qui est en votre pouvoir pour les arr\u00eater. Continuez \u00e0 vous informer sur cette menace et v\u00e9rifiez r\u00e9guli\u00e8rement (je recommanderais au moins une fois par mois) tout d\u00e9veloppement pertinent dans le monde de la cybers\u00e9curit\u00e9.\n<\/p>\n
\n  Cela ne signifie pas non plus que vous pouvez ignorer les autres menaces. L’acc\u00e8s au r\u00e9seau public n\u00e9cessite toujours l’utilisation d’un VPN pour \u00eatre s\u00fbr. Vous ne pouvez pas n\u00e9gliger la s\u00e9curit\u00e9 de tout ordinateur que vous utilisez pour acc\u00e9der \u00e0 votre site Web. Les informations de connexion doivent encore \u00eatre modifi\u00e9es souvent et \u00eatre \u00e0 l’abri des attaques par force brute. Les attaques XSS sont brutales, mais elles ne sont pas la seule menace \u00e0 surveiller.\n<\/p>\n
\n  Il peut \u00e9galement vous incomber de partager ces informations (ou m\u00eame cet article) avec vos pairs et les parties int\u00e9ress\u00e9es afin de propager la r\u00e9sistance contre ces types d’attaques. Bien que vous ne puissiez pas en faire trop par vous-m\u00eame, si suffisamment de personnes se prot\u00e8gent correctement, nous pourrions voir une diminution g\u00e9n\u00e9rale de ces types d’attaques alors que les pirates tentent de trouver une autre fa\u00e7on de profiter des internautes pauvres.\n<\/p>\n
\n  Avez-vous vous-m\u00eame des id\u00e9es sur la fa\u00e7on de v\u00e9rifier les attaques XSS et de vous d\u00e9fendre contre elles \u00e0 l’avenir ? Existe-t-il d’autres strat\u00e9gies de d\u00e9tection et de suppression que vous utilisez vous-m\u00eame pour lutter contre cette menace ? Y a-t-il des outils que vous recommanderiez \u00e0 vos coll\u00e8gues lecteurs? Si tel est le cas, veuillez laisser un commentaire ci-dessous et poursuivre cette importante conversation avec vos coll\u00e8gues lecteurs.\n<\/p>\n<\/p>\n
\n  Source d’enregistrement: instantshift.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
Dans le monde, pr\u00e8s de 48 % de tous les sites Web sont vuln\u00e9rables au cross-site scripting (XSS). Dans le monde, presque exactement 25% de tous les sites Web utilisent la plate-forme WordPress. Il s’ensuit que dans le diagramme de Venn des sites Web vuln\u00e9rables \u00e0 XSS et des sites Web ex\u00e9cutant la plate-forme WordPress, le chevauchement doit \u00eatre assez important. Ce n’est pas un coup sur la plate-forme elle-m\u00eame. L’\u00e9quipe WordPress a fait de la s\u00e9curit\u00e9 une partie int\u00e9grante de son \u00e9nonc\u00e9 de mission et corrige de mani\u00e8re agressive les vuln\u00e9rabilit\u00e9s chaque fois qu’elles sont connues. Pourtant, cela n’emp\u00eache pas les gens de coder des th\u00e8mes non s\u00e9curis\u00e9s ou d’installer des plugins non s\u00e9curis\u00e9s. Ces probl\u00e8mes sont les deux principales portes d’entr\u00e9e\u2026<\/p>\n","protected":false},"author":1,"featured_media":222525,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[106,54],"tags":[],"class_list":["post-251404","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite-internet","category-web-et-wordpress"],"_links":{"self":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts\/251404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/comments?post=251404"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts\/251404\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/media\/222525"}],"wp:attachment":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/media?parent=251404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/categories?post=251404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/tags?post=251404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}