Une explication détaillée de la façon dont les attaquants utilisent l’Homme du milieu (MitM) pour pirater des sites Web WordPress et des identifiants de connexion. Cet article est uniquement à des fins éducatives.
Comme toute autre application web avec un formulaire de connexion, WordPress soumet votre nom d’utilisateur et votre mot de passe dans une requête HTTP lors de la connexion. Par défaut, HTTP n’est pas un protocole chiffré. Cela signifie qu’à moins que votre site Web WordPress utilise HTTPS, la communication entre vous et le serveur Web est susceptible d’être écoutée.
Les pirates avec une intention malveillante peuvent facilement intercepter et modifier le trafic HTTP en texte clair (non crypté) de votre site WordPress. Naturellement, l’une des informations les plus intéressantes pour un attaquant serait vos informations d’identification d’administrateur WordPress.
Le logiciel utilisé pour mener des attaques de l’Homme du milieu (MitM) est librement et largement disponible. Cet article couvrira quelques exemples concrets de la façon dont MitM peut être utilisé pour prendre le contrôle de votre site Web WordPress. Ensuite, il recommande la meilleure façon de se défendre contre eux.
- Qu’est-ce qu’une attaque de l’Homme du milieu (MitM) ?
- Comment un attaquant arrive-t-il au milieu?
- Piratage de sites Web WordPress – vol de mots de passe &identifiants de connexion
- Vol de cookies d’authentification
- Comment les cookies se rapportent-ils à l’authentification ?
- Protégez-vous / votre site Web WordPress contre les attaques MitM
- Précautions supplémentaires de renforcement de la sécurité WordPress
Qu’est-ce qu’une attaque de l’Homme du milieu (MitM) ?
Une attaque d’homme du milieu (MitM) est un terme général pour les attaques dans lesquelles un pirate se positionne comme un intermédiaire entre un expéditeur et un destinataire. Par exemple, entre votre navigateur et le site Web que vous visitez. Cela permet à l’attaquant d’écouter et, dans de nombreux cas, de modifier également le contenu au fur et à mesure qu’il est envoyé et reçu entre les deux parties. Dans la plupart des cas, s’ils capturent les informations d’identification, ils peuvent se connecter et pirater votre site Web WordPress.
Comment un attaquant arrive-t-il au milieu?
Les attaques de l’Homme du milieu (MitM) impliquent généralement (pas toujours) qu’un attaquant se trouve sur le même réseau local (LAN) que vous. L’une des attaques MitM les plus courantes implique l’usurpation d’ARP. Les détails de l’usurpation d’ARP dépassent le cadre de cet article. Cependant, le résultat d’une attaque d’usurpation d’ARP réussie conduirait votre commutateur réseau ou votre routeur à penser que la machine de l’attaquant est votre machine et vice-versa.
Le résultat de ceci est qu’au lieu que chaque partie s’envoie directement des données, elle les envoie d’abord à l’attaquant. Pour que les choses semblent normales, l’attaquant transmet le trafic à la destination légitime. Cependant, cela donne à l’attaquant la possibilité d’inspecter et même de modifier le contenu de la transmission.
Piratage de sites Web WordPress – vol de mots de passe &identifiants de connexion
Afin de comprendre comment les identifiants WordPress seraient volés, examinons d’abord une requête HTTP contenant les identifiants soumis à l’aide des outils de développement intégrés du navigateur.
Notez qu’il ne s’agit pas d’une attaque de l’Homme du milieu (MitM), mais cela aide à illustrer ce qu’il faut rechercher plus tard.
Examinons maintenant ce qu’un attaquant verrait lors de l’inspection du trafic HTTP non chiffré. Dans cet exemple, nous utilisons Wireshare, est un outil d’analyse de réseau gratuit et populaire.
En plus de voler des mots de passe/informations d’identification WordPress, un attaquant peut également simplement voler votre cookie d’authentification pour vous usurper l’identité.
HTTP est un protocole sans état. En HTTP, le serveur n’attache aucune signification particulière aux requêtes arrivant sur le même socket TCP. Cela signifie qu’à moins que vous ne souhaitiez saisir votre mot de passe chaque fois que vous demandez une page, le navigateur doit stocker un jeton temporaire. Ce jeton est connu sous le nom de jeton de session. Le navigateur envoie ce jeton automatiquement à chaque demande. Heureusement, les navigateurs ont un mécanisme intégré pour cela – les cookies. C’est pourquoi la suppression des cookies de votre navigateur vous déconnectera de tous les sites Web.
Cela implique qu’un attaquant n’a même pas besoin de votre mot de passe pour se faire passer pour vous. La seule chose dont ils ont besoin est de mettre la main sur votre jeton de session.
Une fois de plus, les mêmes informations sont accessibles à un attaquant dans Wireshark.
En utilisant une extension de navigateur gratuite telle que Cookie-Editor, un attaquant peut facilement utiliser la valeur du cookie volé dans son navigateur et commencer à naviguer sur l’administrateur WordPress en tant que vous.
Protégez-vous / votre site Web WordPress contre les attaques MitM
Les attaques de l’homme du milieu telles que celle démontrée dans cet article sont très peu d’efforts pour un attaquant. Surtout dans les réseaux publics ou mal sécurisés tels qu’un WiFi public. Heureusement, se protéger de ces attaques de piratage est très simple — assurez-vous d’activer et d’appliquer HTTPS sur votre site Web WordPress.
HTTPS crypte le trafic entre votre navigateur et le serveur. Si un attaquant devait tenter de lire le contenu du trafic HTTPS, tout ce qu’il verra, c’est beaucoup de texte crypté dénué de sens et brouillé.
Précautions supplémentaires de renforcement de la sécurité WordPress
Bien que vous deviez incontestablement activer HTTPS sur votre site Web en tant que première priorité pour contrecarrer les attaques de l’Homme du milieu (MitM), les bonnes pratiques de suivi suivantes sont bonnes pour examiner l’étayage.
- Ajoutez une authentification à deux facteurs (2FA) pour renforcer la sécurité de votre mécanisme d’authentification de site Web WordPress
- Appliquez des mots de passe WordPress puissants pour rendre les attaques de devinettes de mot de passe beaucoup plus difficiles
- Gardez un journal d’activité WordPress pour surveiller les accès non autorisés à l’administrateur WordPress
- Installez un moniteur d’intégrité de fichier WordPress pour détecter les modifications de fichiers malveillantes apportées à votre installation WordPress
- Configurez un pare-feu et une solution de sécurité WordPress pour contrecarrer les attaques courantes d’applications Web.