Comment corriger et prévenir les attaques XSS dans WordPress

Vous craignez que des pirates n'attaquent votre site web ?

Le cross-site scripting, également appelé XSS, est l'une des attaques les plus courantes sur les sites WordPress. Les pirates trouvent des vulnérabilités sur votre site et les utilisent pour voler des informations et détourner votre site web.

Pire encore, si vous ne le corrigez pas immédiatement, ces piratages pourraient entraîner des dommages plus graves – du genre dont il est très difficile de se remettre.

Vous pouvez prévenir ces piratages en installant un pare-feu sur votre site WordPress.

Si votre site web est déjà attaqué, nous vous montrerons comment le corriger immédiatement dans un langage simple et adapté aux débutants. Nous minimiserons le jargon de la cybersécurité dans ce tutoriel. Nous vous montrerons également comment prévenir les attaques futures.

Tout d'abord, comprenons rapidement ce qui se passe lors d'une attaque XSS afin que vous soyez mieux équipé pour la gérer.

Qu'est-ce qu'une attaque XSS dans WordPress ?

XSS signifie Cross Site Scripting, qui est une sorte d'attaque par injection où les pirates injectent des scripts malveillants dans un site web.

Ces scripts sont déguisés en bon code sur un site web de confiance. Ensuite, lorsqu'un utilisateur arrive sur ce site web, son navigateur exécute tout le code, y compris le script malveillant, car il pense qu'il s'agit d'instructions de confiance.

En termes plus simples, imaginez que vous êtes un espion et que vous venez de recevoir un e-mail officiel du gouvernement concernant une mission top secrète. Il contient toutes les instructions que vous devez suivre à la lettre.

Ce que vous ne savez pas, c'est que quelqu'un a intercepté cet e-mail et y a ajouté quelques instructions supplémentaires. Le gouvernement n'en a aucune idée et vous ne prenez pas la peine de vérifier car vous faites confiance à la source.

Certaines instructions n'ont pas de sens, mais vous êtes entraîné à obéir à chaque ordre pour accomplir votre mission.

Dans ce scénario, le gouvernement est votre site web, et l'espion est le navigateur de l'utilisateur. Le navigateur suit les instructions de votre site web et ne peut pas faire la différence entre les scripts bons et mauvais.

Ces scripts sont généralement en Javascript, l'un des langages de programmation les plus populaires et les plus utilisés. Bien que ces attaques puissent avoir lieu en utilisant n'importe quel langage côté client.

Il existe maintenant de nombreuses façons de mener une attaque XSS. Une façon est d'envoyer un lien à des utilisateurs peu méfiants pour les inciter à cliquer dessus. Une fois qu'ils cliquent dessus, l'attaque peut potentiellement faire une ou plusieurs des choses suivantes :

• Rediriger les utilisateurs vers un site malveillant
• Capturer les frappes au clavier de l'utilisateur
• Exécuter des exploits basés sur le navigateur web
• Voler les informations de cookies de l'utilisateur connecté à un compte

Si le pirate parvient à voler les informations de cookies, il peut compromettre complètement le compte de l'utilisateur. Par exemple, si vous êtes connecté au panneau wp-admin de votre site web, le pirate peut voler vos identifiants et se connecter à votre site.

Pour prévenir ces attaques, vous devez vous assurer que toutes les données utilisateur sont validées et assainies correctement avant qu'elles n'entrent sur votre site web. De cette façon, aucune entrée utilisateur ne peut être du code Javascript malveillant. De plus, vous devez vous assurer qu'il n'y a pas de vulnérabilités XSS sur votre site qui pourraient permettre à un pirate d'attaquer.

Nous n'avons fait qu'effleurer la surface des attaques XSS, mais nous espérons que vous avez une bonne compréhension du fonctionnement d'une attaque XSS sur WordPress. Maintenant, si vous suspectez que votre site est piraté, suivez notre tutoriel facile étape par étape ci-dessous.

Comment trouver et corriger une attaque XSS dans WordPress

Pour trouver tout type de malware ou de piratage sur votre site, vous devrez effectuer un scan approfondi de l'ensemble de votre site web, y compris ses fichiers et sa base de données.

Nous utiliserons Sucuri pour analyser et nettoyer votre site piraté. Sucuri vous offre une configuration de sécurité robuste comprenant un pare-feu, un scanner de logiciels malveillants et un nettoyeur de logiciels malveillants.

Sucuri propose un scanner gratuit de malwares pour sites web que vous pouvez installer sur votre site WordPress en naviguant vers l'onglet Plugins » Ajouter nouveau.

Nous recommandons l'utilisation du scanner côté serveur premium. Celui-ci examinera votre site web en profondeur pour trouver toute trace de logiciel malveillant.

En plus de cela, voici quelques-uns de ses points forts :

• Surveille le spam et les scripts malveillants
• Vérifie les portes dérobées cachées créées par les pirates
• Détecte les modifications apportées au DNS (système de noms de domaine) et au SSL
• Vérifie les listes noires auprès des moteurs de recherche et d'autres autorités
• Surveille la disponibilité du site Web
• Alertes instantanées par e-mail, SMS, Slack et RSS

Pour plus de détails, lisez notre Avis sur Sucuri.

Sucuri coûte 199,99 $ par an. Si cela dépasse votre budget, vous pouvez essayer d'autres plugins de sécurité. Voir notre liste : 9 meilleurs plugins de sécurité WordPress comparés.

Lors de la sélection d'un plugin de sécurité, assurez-vous qu'il vous offre toutes les fonctionnalités de cybersécurité dont vous avez besoin pour trouver et corriger les infections de logiciels malveillants et protéger votre site Web.

Étape 1 : Analyse de votre site Web

Pour commencer, vous devrez vous inscrire à un plan avec Sucuri. Ensuite, connectez-vous au tableau de bord Sucuri où vous pourrez ajouter votre site.

Ici, vous devrez connecter votre site Web en entrant vos identifiants FTP. Si vous ne connaissez pas vos identifiants FTP, vous pouvez les obtenir auprès de votre hébergeur.

Une fois votre site connecté, Sucuri effectuera automatiquement un scan approfondi de votre site Web. Une fois terminé, il vous présentera un rapport détaillé sous l'onglet « Mes sites ».

Vous pouvez maintenant cliquer sur le bouton « Détails » à côté du message d'avertissement. Cela ouvrira la page Surveillance où vous pourrez voir les détails du piratage ou de l'infection.

Étape 2 : Demande de nettoyage de logiciels malveillants

Sur la page Surveillance, vous pouvez voir quel type de logiciel malveillant a infecté votre site. Sucuri ajoute une note pour indiquer le niveau de risque. Donc, s'il s'agit d'un risque critique ou élevé, vous savez que vous devez le corriger immédiatement. De plus, il vous indiquera également si votre site a été mis sur liste noire par des moteurs de recherche.

Maintenant que vous savez que votre site est infecté, vous devez le nettoyer et Sucuri vous facilite grandement la tâche. Pour commencer le processus, cliquez sur le bouton « Nettoyer mon site ».

Sur la page suivante, cliquez sur le bouton Nouvelle demande de suppression de logiciel malveillant et un formulaire apparaîtra où vous pourrez entrer les détails de votre site.

Remplissez simplement le formulaire et soumettez-le. Une fois terminé, les experts en sécurité de Sucuri nettoieront votre site pour vous. Si vous ne connaissez aucun des détails dont vous avez besoin pour le formulaire, vous pouvez les demander à votre hébergeur.

Vous vous demandez peut-être combien de temps il faudra pour que votre site soit nettoyé.

Sucuri donne la priorité aux utilisateurs du plan Business. Ils garantissent un délai de traitement de 6 heures. Pour les autres plans, cela dépend de la complexité de l'infection de votre site et du volume de requêtes en attente.

Immédiatement après une attaque, nous vous recommandons vivement de déconnecter tous les utilisateurs de votre site et de changer vos identifiants de connexion pour plus de sécurité.

Comment prévenir les attaques XSS sur votre site WordPress

Il est toujours préférable de protéger votre site web et de prévenir ce type d'attaques de logiciels malveillants sur votre site. C'est beaucoup plus facile et moins cher que d'essayer de réparer un site piraté. Voici nos meilleures étapes recommandées pour prévenir les attaques XSS sur votre site.

1. Activer un pare-feu d'application web (WAF)

Sucuri dispose de l'un des meilleurs pare-feux pour les sites WordPress. Il bloque non seulement les attaques XSS, mais aussi toutes sortes d'autres attaques de logiciels malveillants comme le DDoS, le Brute Force, le Phishing et les injections SQL.

Le pare-feu se placera devant votre site web et analysera chaque utilisateur qui arrive. Il identifiera et bloquera les mauvais robots avant qu'ils n'atteignent votre site.

Pour activer le pare-feu Sucuri, accédez à l'onglet Pare-feu sur votre tableau de bord Sucuri.

Sélectionnez votre site, et vous verrez les instructions de configuration que vous pouvez suivre. Sucuri vous offre 2 options pour configurer le pare-feu :

1. Intégration automatique : Entrez simplement vos identifiants d'hébergement en utilisant cPanel ou Plesk. Cette méthode nécessite que vous donniez à Sucuri l'accès au serveur de votre site web pour configurer automatiquement le pare-feu sur votre site.

2. Intégration manuelle : Vous pouvez configurer le pare-feu vous-même sans accorder d'accès interne à Sucuri. Pour commencer, cliquez sur le lien du domaine interne et assurez-vous qu'il se charge.

Ensuite, vous pouvez configurer votre DNS pour diriger votre trafic web vers le pare-feu Sucuri. Pour cela, vous devrez accéder aux enregistrements DNS de votre compte d'hébergement. Ici, vous pouvez modifier l'enregistrement 'A' de votre site et saisir les adresses IP fournies par Sucuri.

Si vous craignez que tout cela soit trop compliqué, vous pouvez demander de l'aide à votre hébergeur web et il vous guidera tout au long du processus. De plus, vous pouvez également ouvrir un ticket de support auprès de Sucuri et leur équipe de support vous aidera à modifier les enregistrements DNS.

Pour ouvrir un ticket, vous trouverez un lien dans les instructions du manuel sur la même page.

Une fois la configuration du pare-feu terminée, il faut généralement quelques heures pour que les modifications soient effectives. Vous pouvez vous attendre à un délai d'attente maximum de 48 heures.

Lorsque vous activez le pare-feu, il ajoutera automatiquement des en-têtes de sécurité à votre site pour le protéger contre les attaques XSS.

En cas de tentative d'attaque XSS, Sucuri la bloquera et vous en informera dans l'onglet Rapports.

Ce que nous aimons particulièrement avec le pare-feu Sucuri, c'est sa facilité d'utilisation pour tous, y compris les débutants. Vous n'avez pas besoin d'être un expert en cybersécurité ni de connaître le codage.

Vous pouvez activer toutes sortes de fonctionnalités de protection en un seul clic dans l'onglet Paramètres » Sécurité.

Ainsi, par exemple, vous pouvez activer la protection DDoS et le géoblocage pour rendre plus difficile l'attaque de votre site par les pirates.

Pour activer une fonctionnalité de sécurité ici, il vous suffit de cocher la case et d'enregistrer vos paramètres. Lorsque vous devez la désactiver, il vous suffit de décocher la case.

En dehors de cela, le plugin Sucuri :

• Analyser et surveiller régulièrement le spam et le code malveillant
• Vous alertera de toute vulnérabilité de script inter-sites
• Bloquer les mauvais bots et les pirates
• Vérifier les listes noires auprès des moteurs de recherche et d'autres autorités
• Surveiller la disponibilité du site Web
• Détecter les modifications apportées au DNS (système de noms de domaine) et au SSL
• Vous alerter instantanément en cas de problème de sécurité par e-mail, SMS, Slack et RSS

Ainsi, votre site sera protégé à tout moment.

2. Utilisez des formulaires sécurisés

Sur un site web vulnérable, les formulaires sont l'une des cibles les plus courantes pour les pirates. Si votre formulaire n'est pas sécurisé, cela signifie que n'importe qui peut simplement entrer du code malveillant dans vos champs de formulaire.

Notre recommandation pour sécuriser les formulaires de votre site web est WPForms. C'est le constructeur de formulaires WordPress n°1 qui dispose d'une sécurité intégrée pour que vos formulaires soient protégés dès le départ.

Par défaut, les formulaires ont une protection anti-spam activée. De plus, vous pouvez même ajouter un CAPTCHA à vos formulaires pour bloquer les robots spammeurs.

Vous pouvez activer un captcha invisible ou le type où un utilisateur devra résoudre un petit puzzle ou cocher une case pour prouver qu'il est humain.

3. Définir les permissions des rôles utilisateurs

Lorsque plusieurs personnes travaillent sur votre site web, il n'est pas judicieux de donner à tout le monde un accès administrateur. Il est préférable de leur attribuer des rôles en fonction des permissions dont ils ont besoin.

WordPress vous permet de créer des rôles pour :

• Super Administrateur
• Administrateur
• Éditeur
• Author
• Contributeur
• Abonné

Maintenant, si un pirate prend le contrôle du compte d'un utilisateur, il sera limité dans ce qu'il peut faire sur votre site.

4. Déconnexion automatique des utilisateurs inactifs

Les pirates peuvent accéder aux comptes utilisateurs en détournant leurs sessions de navigateur et en volant des cookies.

Vous pouvez minimiser ce risque en déconnectant les utilisateurs WordPress inactifs.

De nombreux plugins de sécurité disposent d'une fonction de déconnexion de session inactive ou vous pouvez utiliser le plugin Inactive Logout.

5. Mettez à jour votre site web régulièrement

Les plugins WordPress, les thèmes et même votre installation WordPress reçoivent régulièrement des mises à jour. Vous les verrez dans votre tableau de bord WordPress lorsqu'elles seront disponibles :

De nombreux propriétaires de sites web ignorent les mises à jour pendant longtemps, mais cela peut exposer votre site web aux pirates. Les mises à jour apportent généralement des corrections de bugs, de nouvelles fonctionnalités et des améliorations au logiciel. Elles peuvent également contenir des correctifs de sécurité. Vous pouvez voir si une mise à jour contient un correctif de sécurité en consultant les détails de la mise à jour.

Cela signifie qu'une vulnérabilité a été trouvée dans le logiciel que les pirates peuvent utiliser pour attaquer votre site. Lorsque les développeurs trouvent des problèmes de sécurité, ils les corrigent et publient une nouvelle version du logiciel.

Tout ce que vous avez à faire est de mettre à jour le logiciel sur votre site.

Donc, si vous voyez qu'il s'agit d'un correctif de sécurité, mettez-le à jour immédiatement pour éviter tout risque de piratage.

L'une des principales raisons pour lesquelles les propriétaires de sites ignorent les mises à jour est qu'elles peuvent parfois casser votre site ou causer des problèmes de compatibilité. Nous vous recommandons de tester la mise à jour sur un site de staging, puis de l'exécuter sur votre site en direct.

Avec cela, vous avez appris comment corriger et prévenir les attaques XSS sur votre site WordPress.

Avant de conclure, nous vous donnerons un autre conseil de sécurité. Effectuez toujours des sauvegardes régulières de votre site Web.

Même avec les mesures de sécurité les plus solides sur votre site, de nombreuses choses peuvent mal tourner. Par exemple, un utilisateur peut commettre une simple erreur humaine qui fait planter votre site Web.

Vous pouvez configurer des sauvegardes automatisées à l'aide d'un plugin de sauvegarde comme UpdraftPlus. Pour plus d'options, consultez notre liste des meilleurs plugins de sauvegarde WordPress.

FAQ

1. WordPress est-il vulnérable aux attaques par script intersite ?

Le logiciel de base de WordPress est développé et maintenu par certains des meilleurs experts au monde. Leur logiciel est assez solide, mais gardez à l'esprit qu'aucun logiciel n'est exempt de vulnérabilités.

La raison pour laquelle les sites Web WordPress sont souvent attaqués est que la plateforme est très populaire. Et la plupart des utilisateurs installent des tonnes de thèmes et de plugins tiers. Des vulnérabilités peuvent se développer dans l'un de ces éléments et les pirates peuvent les exploiter pour pirater votre site.

2. Existe-t-il différents types d'attaques par script intersite ?

Oui. Il existe 3 types principaux d'attaques XSS :

• XSS stocké (également appelé XSS persistant) : Les attaquants stockent leur charge utile sur un serveur compromis, ce qui amène le site Web à livrer du code malveillant à d'autres visiteurs.
• XSS réfléchi : La charge utile est stockée dans les données envoyées du navigateur au serveur.
• XSS DOM : Ici, le serveur lui-même n’est pas vulnérable au XSS, mais plutôt le JavaScript de la page.
• Self cross-site scripting : Les attaquants peuvent exploiter une vulnérabilité qui nécessite un contexte très spécifique et des modifications manuelles. La victime ici ne peut être que vous-même.
• Cross-site scripting aveugle : Dans ces attaques, la vulnérabilité se trouve généralement sur une page à laquelle seuls les utilisateurs autorisés peuvent accéder. L'attaquant ne peut pas voir le résultat d'une attaque.

3. Comment m'assurer qu'il n'y a pas d'autres problèmes de sécurité sur mon site ?

Assurez-vous d'avoir toujours un plugin de sécurité installé sur votre site Web. C'est indispensable pour toutes sortes de sites Web, y compris WooCommerce, les blogs et les sites de petites entreprises. Nous recommandons Sucuri, mais vous pouvez également consulter Wordfence, MalCare et SiteLock. Voir plus de nos meilleures recommandations ici : 9 meilleurs plugins de sécurité WordPress comparés.

4. WordPress protège-t-il contre les XSS ?

WordPress dispose de plusieurs mesures de sécurité pour aider à se protéger contre les attaques par script inter-sites (XSS), mais l'efficacité de ces mesures dépend de la configuration du site Web, des thèmes et plugins utilisés, et de la qualité de sa maintenance. Vous devez vous assurer de prendre vos propres mesures pour protéger votre site contre de telles attaques.

5. Le CSP de WordPress est-il efficace contre les attaques XSS ?

WordPress a introduit les en-têtes de politique de sécurité du contenu (CSP) dans les versions récentes. Un CSP bien configuré peut être efficace pour prévenir les attaques XSS en spécifiant quelles sources de contenu sont autorisées à être exécutées sur une page Web. Imaginez que votre site Web est un château, et que vous voulez le protéger des mauvaises choses. Le CSP est comme un ensemble de règles qui indiquent aux gardes (votre navigateur Web) quelles personnes (scripts) peuvent entrer dans le château (votre site Web).

C'est tout pour aujourd'hui. Nous espérons que cet article vous a donné tout ce dont vous avez besoin pour sécuriser votre site web.

Pour en savoir plus sur la sécurité des sites web, consultez nos ressources sur :

• Le guide complet de la sécurité WordPress (adapté aux débutants)
• 5 meilleurs scanners de vulnérabilité WordPress pour trouver des menaces
• 9 meilleurs plugins de journal d'activité pour suivre et auditer votre site WordPress

Ces articles vous donneront plus de moyens de colmater les vulnérabilités et de protéger votre site Web contre tous les risques.