Les piratages de CMS sont courants. parfois en petit feu localisé et parfois en incendie plus conséquent. Depuis quelques jours, c’est un feu qui se répand très rapidement…
Ce qui était une rumeur d’ici de là se confirme avec notamment des articles de site US dédiés aux hackings.
Un type d’attaque des CMS WordPress depuis 2017
Il semble que ces attaques par vagues existent depuis 2017, mais semble devenir de plus en plus massive au fur et à mesure.
Massive, mais aussi se diversifie pour finalement permettre de détourner des informations de différents programmes présents sur les machines hôtes.
Les sites sont détournés pour diffuser des fausses publicités pour des anti-malwares, sauf que bien sûr…
Bien entendu, ces fausses publicités servent à diffuser des logiciels malveillants… Et c’est quasi imparable, vos visiteurs ayant l’habitude seront en confiance, surtout quand en votre nom, il se voit proposé une protection gratuite de leurs installations informatiques.
Et ce n’est pas encore le pire, car les vols de données issues de ces piratages peuvent conduire à perdre comptes et donnée, même bancaire et aussi conduire à diffuser à ses contacts de faux messages, les exposants, eux aussi, à un piratage de leurs données…
Comme toujours, soyons pragmatique, la solution…
Pour les plus techniques d’entre vous, je vous laisse jeter un œil sur l’article le plus complet trouvé sur hackernews.com.
Pour les autres l’affaire est simple, comme pour la majorité des logiciels ou programmes, les mises à jour sont centrales, elles intègrent des correctifs de sécurité que les développeurs mettent au point pour combler les failles de sécurité…
Si vos installations ou sites sont gérés, il est très intéressant de se renseigner si votre prestataire de service web à une réelle stratégie de veille sur ces phénomènes.
Si vous avez géré vous-même, il serait sans doute bon dans un temps perdu de faire le bilan “gains/ pertes” et finalement soit vous mètre à niveau (après avoir construit votre maison, réparé votre voiture, et coaché Thomas Pesquet sur sa prochaine mission…) ou a minima être suivi par des personnes dont c’est le métier.
De même, il existe des bonnes pratiques essentielles de base comme enlever les plugins plus soutenues, faire les mises à jour ou plus avancées comprises dans une stratégie de veille technique.
L’aspect tenue technique des sites est souvent minoré et certainement le risque sous-estimés sauf comme souvent une fois dans la panade…
Les conséquences
Bien entendu, si votre site est un blog ludique sur l’apprentissage de la flute bretonne, l’impact sera moindre, même si au fond Josette et Robert garderont le souvenir de leurs ordinateurs HS…
Mais, ici, on parle de WordPress, l’un CMS les plus utilisées notamment par les entreprises pour leurs communications internet. Et là, c’est vrai que l’impact sur l’expérience visiteur des sites internet des PME et TPE voir pire pour ceux faisons du commerce électronique est désastreux.
Il est à noter que si n’avez pas ou votre prestataire de service web su sécuriser vos plateformes, votre stratégie de curation sera sans nul doute comme votre stratégie de prévention…
- L’expérience visiteur anéanti durablement
- Perte de chiffre d’affaires
- Image de marque ternie
- Destruction totale de votre site
…
Il est sûr qu’un investissement en image de marque, en marketing durant des années demande un minimum de considération. À l’instar de l’ensemble de l’informatique, la partie de créations d’un site ou d’une plateforme n’est que la partie visible d’un champ de corrélation bien plus étendu, c’est d’ailleurs aussi juste pour la maintenance technique que le travail de référencement ou encore l’image de marques…
