Identifier la faille

Étant donné que plusieurs piratages indépendants peuvent avoir lieu, même si vous êtes en mesure de trouver et de corriger une faille, nous vous recommandons de continuer à en rechercher d'autres. Commencez par lire les principales méthodes de piratage des sites Web par les spammeurs.

Pour ce faire, vous devez disposer des éléments suivants :

  • Accès administrateur de l'interface système ou du terminal aux serveurs de votre site: Web, base de données et fichiers
  • Vous connaissez les commandes de l'interface système ou du terminal.
  • d'une bonne compréhension des codes (tels que PHP ou JavaScript) ;
  • La possibilité d'exécuter deux analyseurs antivirus

Actions suivantes

Nous évoquerons plusieurs manières courantes de pirater un site. Nous espérons que l'une d'elles s'appliquera à votre site, ou du moins vous éclairera sur d'autres possibilités.

Sachez que les détecteurs de failles sont différents des détecteurs de virus. Les analyseurs de vulnérabilité peuvent être beaucoup plus invasifs et ont plus de chances de causer des dommages indésirables à votre site. Suivez toutes les instructions (sauvegarder votre site, par exemple) avant d'exécuter l'outil d'analyse.

Vulnérabilités potentielles {potential-vulnerabilities}

Les failles potentielles à examiner sont les suivantes:

Ordinateur de l'administrateur infecté par un virus

Sur l'ordinateur infecté par un virus d'un administrateur, le pirate informatique peut avoir installé un logiciel espion pour enregistrer les frappes de l'administrateur du site.

  • Recherchez les virus sur les systèmes des administrateurs. Nous vous recommandons d'exécuter plusieurs antivirus fiables sur chaque ordinateur utilisé par un administrateur pour se connecter au site. Étant donné que de nouvelles infections par des logiciels malveillants sont constamment conçues pour échapper aux outils d'analyse, il ne s'agit pas d'une méthode infaillible de détection de virus. L'exécution de plusieurs analyseurs permet d'éviter les faux positifs et de fournir davantage de points de données pour déterminer l'existence d'une faille. Pour plus de sécurité, envisagez également d'analyser à la fois votre serveur Web et tous les appareils utilisés pour effectuer une mise à jour ou publier sur le site.
    • Si le logiciel antivirus détecte un logiciel espion, un virus, un cheval de Troie ou tout autre programme suspect, examinez les journaux du serveur du site pour vérifier l'activité de l'administrateur propriétaire de l'ordinateur infecté.
    • Le pirate informatique a peut-être modifié les fichiers journaux. Si ce n'est pas le cas, établir une corrélation entre le nom d'utilisateur de l'administrateur et des commandes suspectes dans le fichier journal constitue une autre preuve qu'un virus sur le système d'un administrateur a rendu le site vulnérable.

Mots de passe faibles ou réutilisés

Les mots de passe peu sécurisés peuvent être facilement découverts par les pirates informatiques et leur permettent d'accéder directement à votre serveur. Les mots de passe sécurisés sont constitués d'une combinaison de lettres et de chiffres, de signes de ponctuation, et ne contiennent pas de mots ni d'argot qui peuvent se trouver dans un dictionnaire. Les mots de passe ne doivent être utilisés que pour une seule application, et non réutilisés sur le Web. Lorsque les mots de passe sont réutilisés, il suffit d'une seule brèche de sécurité sur une application pour qu'un pirate informatique trouve un identifiant et un mot de passe qu'il peut utiliser ailleurs.

Dans le journal du serveur, vérifiez la présence d'activités indésirables, telles que plusieurs tentatives de connexion d'un administrateur ou un administrateur effectuant des commandes inattendues. Notez le moment où l'activité suspecte s'est produite, car comprendre le moment où le piratage s'est produit pour la première fois permet de déterminer quelles sauvegardes peuvent encore être saines.

Logiciel obsolète

Vérifiez que vos serveurs ont installé la dernière version du système d'exploitation, du système de gestion de contenu, de la plate-forme de blog, des applications, des plug-ins et de tout autre logiciel utilisé par le site.

  • Effectuez des recherches sur tous les logiciels installés (éventuellement à l'aide d'une recherche sur le Web) pour déterminer si votre version contient un avertissement de sécurité. Si c'est le cas, il est probable qu'un logiciel obsolète a rendu votre site vulnérable.
  • Veillez à toujours maintenir les logiciels de vos serveurs à jour, qu'ils soient ou non à l'origine de ces problèmes de faille particuliers.

4. Pratiques de codage permissives, telles que des URL de redirection ouvertes et des injections SQL

URL de redirections ouvertes

Les redirections ouvertes sont codées dans le but de permettre à la structure d'URL d'ajouter une autre URL afin que les utilisateurs puissent accéder à un fichier ou à une page utile sur le site. Exemple :

http://example.com/page.php?url=http://example.com/good-file.pdf

ou

http://example.com/page.php?url=malware-attack-site>

  • Si votre site est détourné par des redirections ouvertes, vous avez probablement remarqué que le message de la Search Console fournit des exemples d'URL incluant des redirections ouvertes vers une destination indésirable.
  • Pour éviter les redirections ouvertes à l'avenir, vérifiez les points suivants :
    • Ce paramètre indique si l'option "Autoriser les redirections ouvertes" est activée par défaut dans votre logiciel.
    • Indique si votre code peut interdire les redirections en dehors du domaine.
    • Indique si vous pouvez signer la redirection afin que seules les redirections comportant des URL correctement hachées et la signature cryptographique appropriée puissent se poursuivre.

Injections SQL

Les injections SQL se produisent lorsqu'un pirate informatique est en mesure d'ajouter des commandes non autorisées aux champs de saisie utilisateur exécutés par votre base de données. Les injections SQL mettent à jour les enregistrements de votre base de données avec du contenu indésirable ou malveillant, ou débarquent des données précieuses dans une sortie pour le pirate informatique. Si votre site utilise une base de données, et en particulier si vous avez été infecté par un logiciel malveillant, il est possible qu'il ait été piraté par injection SQL.

  • Connectez-vous au serveur de base de données et recherchez la présence de contenu suspect dans la base de données, comme des champs de texte ordinaires affichant à présent des iFrames ou des scripts.
  • Pour les valeurs suspectes, vérifiez que l'entrée utilisateur est validée et correctement échappée, ou qu'elle est peut-être fortement typée afin qu'elle ne puisse pas être exécutée en tant que code. Si les entrées utilisateur ne sont pas vérifiées avant le traitement de la base de données, l'injection SQL peut être l'une des failles principales de votre site.