Qu'est-ce qui fait d'un site Web une cible d'attaque ? Votre site web est-il une cible potentielle ? Savez-vous si votre site Web est ciblé ?
Je ne sais pas ce qui rend un site Web particulièrement attrayant pour les pirates. Certaines personnes ont juste trop de temps libre, je suppose. Le but de cet article est de partager quelques idées sur la façon d'être prévenu de la possibilité que votre site Web Joomla soit dans le collimateur des cyber-pirates et, par conséquent, si les propriétaires de sites peuvent avoir besoin de mettre en œuvre des mesures de sécurité supplémentaires que les propriétaires de sites ont mis en place (ou non mis en place) pour prévenir de telles attaques.
Trop souvent, nous lisons des histoires sur des forums de discussion sur Internet de personnes demandant la source d'attaques réussies sur leurs sites Web (y compris la découverte qu'ils ont faite de fichiers « particuliers », c'est-à-dire étranges/inexpliqués, qui ont été ajoutés à leurs sites Web). Habituellement et malheureusement, ces questions sont soulevées après que des sites Web ont été piratés et vandalisés.
Après des années d'exploitation de leur(s) site(s) Web, de nombreuses personnes se demandent pourquoi d'autres personnes pourraient être intéressées à les attaquer. Les gens demandent également comment ils peuvent être prévenus d'un danger imminent.
Je n'ai pas toutes les réponses à ces questions. Personne ne devrait jamais être satisfait de la sécurité du site, bien sûr, mais nous devons tous rester vigilants face à la possibilité - et, dans le pire des cas, au succès éventuel - d'une attaque.
Indications d'éventuelles attaques de sites
Si vous êtes un propriétaire de site Web expérimenté, la source des attaques possibles se trouve généralement dans les fichiers journaux du serveur de votre ou vos sites Web. Ce n'est pas le seul endroit où vous devriez regarder, mais cela peut vous donner une indication d'une activité suspecte se produisant sur votre ou vos sites. Lorsque quelqu'un (ou quelque chose ) planifie une attaque, il peut visiter un site pour voir quel type de logiciel est utilisé. Une première indication que votre site Web est sondé peut commencer par des URL d'apparence inoffensive dans le sitelog, telles que des tentatives d'accès à une URL comme celle-ci : http://www.example.com/wp-login.php *
Une autre façon de voir si un site Web est sondé est de voir si votre site renvoie des codes de réponse "404". Heureusement, il existe un mécanisme plus "convivial" intégré à Joomla pour vous aider à voir quelles URL génèrent des "404" et quels types d'URL sont utilisés.
La plupart des gens n'utilisent pas la fonctionnalité Composants » Redirections : pour utiliser cette fonctionnalité, il faut activer le System - Redirect plugin . À titre expérimental, j'ai activé le plugin et, en l'espace de moins de 48 heures, le redirection a collecté de nombreuses URL étranges (voir l'image à droite)). D'où ces choses sont-elles originaires ? Voilà la question à 64 000 $ !
Ce que nous savons, c'est que des personnes ou des processus automatisés exécutent un script d'exploits connus pour voir si un site Web renvoie un code de "succès" HTTP.
Bien que le Redirects de Joomla ne soit pas une méthode garantie pour détecter d'éventuelles attaques, il est inutile en cas d'attaque soutenue où un site Web est continuellement bombardé par suffisamment de requêtes qui empêchent le site de continuer à fonctionner du tout ! Cette forme d'attaque est généralement appelée déni de service . Maintenant que nous avons réglé ce problème, creusons davantage pour voir ce que nous pouvons faire avec le Redirections .
Enabling the System - Redirect plugin adds new records to the _redirect_linksC'est probablement une bonne idée de garder un œil sur la façon dont la liste des « 404 » s'allonge ; normalement, le taux de croissance est lent et, après quelques semaines, vous ne verrez peut-être pas plus d'une douzaine d'entrées ajoutées à la _redirect_links si tout se passe bien. Si, toutefois, il y a une augmentation de l'activité "404", il peut être judicieux de purger les entrées du redirection et de désactiver le plug-in en attendant une enquête plus approfondie.
Malheureusement, la seule "fonctionnalité" qui manque dans le redirection est l'information sur la provenance de ces URL. Comme je l'ai mentionné précédemment, ces informations sont stockées dans les fichiers journaux du serveur et feront l'objet d'un futur article dans lequel je pourrai discuter de la manière dont vous pouvez exploiter ces informations de manière plus pratique au lieu de vider le fichier journal pour rechercher ces "404". entrées vous-même.
Ce que vous pouvez faire si quelqu'un fouine sur votre site Web
Si votre site Web est sondé sporadiquement - entre 1 et 10 fois par jour, par exemple - vous pouvez utiliser le Redirections pour rediriger ces URL vers une cible différente (par exemple, rediriger ces URL vers www.google.com). Si vous le souhaitez, vous pouvez rediriger les URL vers une procédure que vous concevez vous-même qui piège les informations, vous envoie un e-mail ou enregistre les détails de l'adresse IP d'origine. La façon dont vous utilisez le Redirections est entièrement votre affaire.
Si tout cet espionnage aléatoire commence à vous inquiéter, l'essentiel est de ne pas paniquer. Il existe des moyens d'empêcher les visiteurs indésirables de consulter votre site Web (y compris l'exploration par les moteurs de recherche) ; parfois, vous devrez peut-être renforcer votre .htaccess fichier avec quelques règles supplémentaires, telles que
RewriteCond %{REQUEST_URI} /wp\-
RewriteRule ^ https://www.google.com [L,R]ou éventuellement
Deny from 193.106.30.99si ces choses vraiment vous montent
Le point principal est qu'il existe des moyens de détecter les activités suspectes sur votre site Web ; il existe de nombreuses façons d'empêcher que cette activité suspecte ne se transforme en cauchemar. Comme toujours, un élément essentiel de la sécurité de votre site Web consiste à vous assurer que le logiciel est à jour et que vous n'utilisez pas de logiciel connu pour être vulnérable aux attaques. Il vaut mieux être prévenu que d'être ignorant. Le destin de votre site Web est entre vos mains. Ne vous laissez pas devenir une autre statistique, victime d'une attaque réussie sur votre site Web.
Conclusion
Bien qu'il y ait une part de vérité dans l'adage "un peu de connaissances peut être une chose dangereuse" - c'est certainement vrai du point de vue d'un cyber-terroriste qui utilisera toutes les connaissances qu'il a sur votre ou vos sites Web - il y a un tout aussi proverbe important :
Le seul bien est la connaissance ; le seul mal est l'ignorance. Hérodote, ch. 484-425 avant JC
Remarques:
* Il s'agit de la syntaxe utilisée sur les sites Wordpress pour accéder à un formulaire de connexion utilisateur. Les sites Web créés dans Joomla ou d'autres applications CMS n'utilisent pas ces URL et renverront normalement une HTTP 404 - Page introuvable si quelqu'un les essaie. Si le site Web renvoie une HTTP 200 - Succès , cela pourrait marquer le début d'une force brute sur le site.
