{"id":369132,"date":"2022-03-30T02:20:11","date_gmt":"2022-03-30T02:20:11","guid":{"rendered":"https:\/\/www.lafactory.online\/?p=369132"},"modified":"2022-06-01T17:16:24","modified_gmt":"2022-06-01T17:16:24","slug":"injections-sql-ce-que-les-utilisateurs-de-wordpress-doivent-savoir","status":"publish","type":"post","link":"https:\/\/www.lafactory.com\/blog\/injections-sql-ce-que-les-utilisateurs-de-wordpress-doivent-savoir\/","title":{"rendered":"Injections SQL : Ce que les utilisateurs de WordPress doivent savoir"},"content":{"rendered":"
La s\u00e9curisation de votre site WordPress pour le prot\u00e9ger des pirates, des robots et des vuln\u00e9rabilit\u00e9s en ligne est une responsabilit\u00e9 \u00e0 plusieurs volets. L’un des nombreux aspects de la s\u00e9curit\u00e9 du site qui devrait \u00eatre sur votre radar est la protection de votre base de donn\u00e9es contre une attaque par injection SQL. Si vous voulez vous assurer que vos donn\u00e9es sont prot\u00e9g\u00e9es (sans parler des donn\u00e9es attribu\u00e9es aux utilisateurs de votre site), vous devez vous assurer que cette base de cybers\u00e9curit\u00e9 est couverte.<\/p>\n

Vous vous demandez comment prot\u00e9ger votre site Web contre les injections SQL ? Cet article vous explique les principes de base, alors lisez ce qui suit.<\/p>\n

Qu’est-ce qu’une attaque par injection SQL ?<\/h2>\n

Une attaque par injection SQL se produit lorsque des pirates ins\u00e8rent des instructions SQL dans un site Web ou une base de donn\u00e9es pour acc\u00e9der aux donn\u00e9es personnelles, sensibles ou exclusives des utilisateurs. Les pirates peuvent voler ces informations, les exposer ou les exploiter via un ransomware ou d’autres activit\u00e9s n\u00e9fastes. Une fa\u00e7on courante pour les pirates d’acc\u00e9der aux donn\u00e9es stock\u00e9es sur un site Web, par exemple, consiste \u00e0 compromettre les zones de votre site o\u00f9 les visiteurs saisissent leurs informations personnelles, comme les commentaires, les enqu\u00eates, les formulaires, les quiz interactifs, etc.<\/p>\n

En outre, ils peuvent supprimer ou modifier les informations des bases de donn\u00e9es auxquelles ils ont acc\u00e8s. L’injection SQL permet l’usurpation d’identit\u00e9 et la modification d’enregistrements et de transactions financi\u00e8res. Les pirates qui pratiquent les injections SQL peuvent \u00e9galement se transformer en administrateurs et prendre le contr\u00f4le des sites ou des bases de donn\u00e9es qu’ils infiltrent.<\/p>\n

Selon cet article de Cyware<\/a>, les injections SQL sont un outil important dans la panoplie des pirates informatiques depuis plus de deux d\u00e9cennies. Malgr\u00e9 le temps qui passe, cette m\u00e9thode de piratage reste un moyen \u00e0 la fois efficace et incroyablement courant pour les voleurs de collecter des donn\u00e9es auxquelles ils n’ont pas l\u00e9galement acc\u00e8s.<\/p>\n

Un rapport de l’OWASP<\/a> indique que les applications construites avec ASP et PHP sont plus vuln\u00e9rables aux attaques par injection SQL. Bien que WordPress ait construit une plateforme s\u00e9curis\u00e9e pour ses utilisateurs, il existe encore des mesures sp\u00e9cifiques que vous devez prendre si vous g\u00e9rez un site WordPress h\u00e9berg\u00e9 de mani\u00e8re ind\u00e9pendante.<\/p>\n

Exemples d’attaques par injection SQL<\/h2>\n

Les attaques par injection SQL sont courantes et permettent d’obtenir une grande quantit\u00e9 de donn\u00e9es utilisateur et financi\u00e8res. Les cibles populaires de ces types d’attaques sont les grandes marques de distribution, les universit\u00e9s, les institutions financi\u00e8res, les jeux vid\u00e9o, le gouvernement, l’industrie et les organisations similaires. Ces types de piratage, comme tout autre piratage, sont ill\u00e9gaux dans la plupart des cas.<\/p>\n

Un exemple r\u00e9cent d’attaque par injection SQL concerne un piratage r\u00e9cent<\/a> de l’application de facturation BillQuick Web Suite, qui a permis aux pirates de contr\u00f4ler les serveurs du r\u00e9seau de BillQuick. Le pirate a ensuite d\u00e9ploy\u00e9 un ransomware. Selon Huntress Labs, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 qui a enqu\u00eat\u00e9 sur le piratage, l’injection SQL semble avoir \u00e9t\u00e9 ex\u00e9cut\u00e9e sur la page de connexion du site.<\/p>\n

Entre 2016 et 2017, un pirate informatique appel\u00e9 Raspoutine a utilis\u00e9 des injections SQL<\/a> pour acc\u00e9der \u00e0 de multiples institutions au Royaume-Uni et aux \u00c9tats-Unis, notamment la Commission d’assistance \u00e9lectorale am\u00e9ricaine, plusieurs universit\u00e9s de premier plan et un large \u00e9ventail d’institutions gouvernementales et \u00e9ducatives \u00e9tatiques et f\u00e9d\u00e9rales.<\/p>\n

Il existe trois types d’injections SQL<\/a> que les pirates peuvent utiliser pour exploiter votre site Web WordPress : les injections SQL en bande (qui comprennent les injections SQL bas\u00e9es sur les erreurs et les unions), les injections SQL hors bande et les injections SQL d\u00e9ductives (aveugles) (qui comprennent les injections SQL bool\u00e9ennes et temporelles). Chaque type d’injection SQL utilise un fil conducteur diff\u00e9rent pour ins\u00e9rer une vuln\u00e9rabilit\u00e9 dans votre base de donn\u00e9es, puis en extraire des informations.<\/p>\n

Comment pr\u00e9venir une injection SQL dans WordPress ?<\/h2>\n

Vous vous demandez comment pr\u00e9venir une attaque par injection SQL sur votre site Web WordPress ? Il existe plusieurs mesures que vous pouvez prendre pour s\u00e9curiser vos donn\u00e9es et emp\u00eacher les pirates d’entrer.<\/p>\n

Avant de commencer \u00e0 mettre en \u0153uvre les \u00e9tapes ci-dessous, nous vous sugg\u00e9rons d’effectuer un audit de s\u00e9curit\u00e9 complet de votre site WordPress pour voir quelles lacunes vous pourriez avoir \u00e0 combler. Nous avons r\u00e9dig\u00e9 un guide pour vous aider \u00e0 le faire ici.<\/p>\n

1. Couvrez les bases de la s\u00e9curit\u00e9 de votre site WordPress<\/h3>\n

Afin de prot\u00e9ger votre base de donn\u00e9es, vous devez commencer par s\u00e9curiser votre site WordPress dans son ensemble. Couvrez les \u00e9l\u00e9ments de base, tels que :<\/p>\n