SecuDojo.io
61% des WordPress hackés le sont à cause de plugins et thèmes obsolètes.
On sait comment ça marche : on installe un plugin, on le configure, on l'oublie, et quand l'administration nous prévient qu'une nouvelle version est disponible, on se dit qu'il faudra s'en occuper, mais on ne le fait pas tout de suite.
Le problème, c'est que quand notre CMS (Content Management System) est utilisé par quasiment la moitié des sites du monde (43% pour être précis), ça fait des envieux. Des scripts tournent sans relâche pour tester les failles répertoriées sur votre site, et s'engouffrent dans la moindre vulnérabilité.
Pourquoi ? Les objectifs peuvent varier en fonction de ce que l'attaque ouvre comme droits à l'assaillant. Souvent, vous vous retrouverez avec de nombreuses pages supplémentaires, faisant commerce de produits douteux, directement sur votre site. Souvent aussi, vous vous retrouverez avec des liens vers des sites tout aussi peu recommendables. En plus de heurter votre référencement naturel, ces situations peuvent même engager votre responsabilité civile ou pénale...
Avec plus de 60000 plugins et 9000 thèmes gratuits, les occasions pour les hackers de s'infiltrer dans votre site ne manquent pas.
Le concept
Partant de ce constat, nous avons décidé de mettre en place un service relativement simple, qui évoluera avec le temps, et qui vous permet de vous intéresser à la sécurité de votre blog. Vous installez un plugin, vous le connectez à votre compte en deux clics, et la magie opère : on récupère la liste des thèmes et plugins installés, on surveille si tout est OK, et on vous prévient immédiatement en cas de faille.
L'idée de SecuDojo, c'est de vous aider à comprendre les méthodes utilisées par les attaques courantes et de comprendre comment vous pouvez devenir un acteur proactif pour améliorer la sécurité de votre blog, sans forcément avoir des compétences informatiques poussées. Démocratiser la sécurité, voilà une belle ambition !
Pour aller plus loin, nous proposerons bientôt un WAF (Web Application Firewall), qui stoppe les attaques les plus répandues en temps réel.