Comment hacker un blog WordPress : Techniques et outils de pirates

wordpress-code-image

Vous souhaitez savoir comment hacker un blog WordPress ? Depuis pas mal de temps, je reçoit des questions sur les techniques et les outils utilisés par les pirates. il est donc très important de les connaitre pour mieux vous proteger.

N’hésitez pas à aller lire l’article sur comment sécuriser votre blog WordPress. Vous découvrirez les techniques pour améliorer la sécurité et éviter les failles sur votre blog. Mais si vous souhaitez savoir comment les hackers font pour pirater un blog alors lisez la suite.

1 – Les techniques et les outils pour hacker un blog WordPress

Attaque via DDOS

World Live DDOS attack maps Live DDOS-Monitoring blackMORE Ops

L’attaque DDOS permet de mettre votre blog HS pendant un certain temps. Le but conciste à envoyer une très grande quantité de données pour que votre serveur ne soit plus capable de fonctionner normalement et ainsi le rendre HS.

Attaque par force brute

Brute force ssh hydra

Dans cette attaque le pirate vas essayer de trouver les comptes utilisateurs de votre blog, ensuite si il trouve un compte de type admin il vas essayer de trouver le mot de passe en essayant une très grande quantité de mot de passe soit en utilisant un dictionnaire soit en utilisant une itération de lettres, chiffres, minuscules, majuscule… Jusqu’a trouver le bon mot de passe.

Attaques par injection SQL

sql-injection-seringue-250

Cette technique exige un ensemble de compétences et d’expérience de piratage. Dans un premier temps le hacker analysera votre site, quels sont les plugins que vous utilisez, où se situe votre hébergement, comment est la sécurité, etc…

Le cas le plus fréquent, le pirate trouve une faille qui est faite par un plugin que vous utilisez (plugins actifs) et aussi le thème que vous utilisez (thème actif).

2 – Les outils pour hacker un blog WordPress

WPscan : l’outil indispensable pour connaitre les failles de sécurité de votre blog

WPscan est outil très complet de test de sécurité disponible sur les systèmes d’exploitations de type Linux comme par exemple Kali. Il permet de détecter tout un t’as de choses comme la version de votre blog WordPress, les noms d’utilisateurs, le thème utilisé et sa version, les plugins utilisés et leurs versions, tester les mots de passe par défaut des comptes utilisateurs trouvés.

Si votre blog ou un plugin n’est pas à jour il vous avertis et vous donne un lien d’explication. Vous trouverez souvent un PoC (preuve de la faille) qui vous explique ou est situé la faille ave un outil d’exemple pour l’exploiter.

Comment tester la sécurité d'un blog WordPress avec wpscan

Utilisation de thèmes et d’extensions faillible avec Backdoor

Certains thèmes et extensions sont livré avec une grosse faille de sécurité. Des que vous les installez, leur auteur reçoit une alerte lui permettant d’avoir un full contrôle sur votre sites. Si votre hébergement est mal géré il peux même avoir accès à l’ensemble de vos autres sites.

En utilisant des techniques de social engineering, il est très facile de faire un thème sympa et de le proposer à l’administrateur d’un gros site. Des qu’il l’installe pour tester votre thème ou votre plugin par exemple vous pouvez l’automatiser pour installer une backdoor au coeur même de wordpress et ainsi le rendre totalement piratable, même après la désinstallation de votre cadeau 😉

 

A propos de Dothazard 38 Articles
Titulaire d'un Master dans le domaine de la sécurité informatique. Passionné par l'informatique et le hacking depuis tout petit, je souhaite à travers se blog partager avec vous mon univers. Que vous ayez un niveau débutant ou avancé j’espère que vous prendrez plaisir à apprendre et à lire mes articles autant que j'en prends pour les écrire.

Soyez le premier à commenter

Laisser un commentaire