Vulnérabilité API REST de WordPress
La plateforme WordPress connaît depuis peu une nouvelle défaillance de sécurité : la faille de son API REST WordPress. Les pirates informatiques se servent de cette défaillance pour accéder à des données sensibles et les exploiter.
EN CAS DE PROBLEMES
Zoom sur cette nouvelle pratique et les moyens d’éviter les dégâts qu’elle peut causer.
Qu’est-ce que l’API REST de WordPress ?
Dans un premier temps, penchons-nous sur ce qu’est l’API REST (aussi appelée API RESTful) pour un site web.
Comprendre ce qu’est une API
Une API (Application Programming Interface) est un ensemble de fonctions et de protocoles qui permet à des applications ou à des systèmes logiciels d’interagir les uns avec les autres.
Les API facilitent le partage de données entre ces applications et systèmes logiciels, et elles permettent aussi aux développeurs d’accéder aux fonctionnalités de ces dernières sans avoir à réécrire le code.
REST : qu’est-ce que cela signifie ?
REST (REpresentational State Transfer) est un style d’architecture logicielle utilisée dans la conception de systèmes informatiques et de services web. Il s’agit d’un mode fréquemment utilisé sur le protocole HTTP dans la création d’API.
En ce qui concerne WordPress, l’API REST est accessible via JavaScript.
À quoi sert l’API REST de WordPress ?
Comme vous l’aurez sûrement compris grâce à nos explications ci-dessus, l’API REST regroupe des codes conçus pour permettre à d’autres systèmes informatiques de s’interfacer avec WordPress, ce qui permet à ses utilisateurs et ses développeurs d’accéder à des données et à des fonctionnalités à partir d’applications tierces.
Ils peuvent donc créer des applications qui interagissent avec des données et des fonctions WordPress, grâce à la base de données déjà présente et qu’ils peuvent élargir.
Faille de l’API REST de WordPress : comment s’en protéger ?
Ce n’est pas une nouveauté, étant donné que ce phénomène est déjà survenu dans le passé : l’API REST de WordPress présente des failles.
Les pirates ont pu facilement accéder aux données des utilisateurs grâce à une faille de sécurité dans l’API, ce qui leur a permis d’accéder à des données sensibles et des fonctionnalités qui ne sont pas censées être accessibles. Cela a entraîné des vols de données (mots de passe des utilisateurs, informations du compte, code source du site…), arnaques et des violations de la vie privée.
Pour corriger ce problème, WordPress a mis en place des mesures de sécurité supplémentaires pour renforcer l’API REST. Néanmoins, il existe des solutions que vous pouvez mettre en place de votre côté pour maximiser la protection de vos données.
Conseils et astuces pour sécuriser son site WordPress
Pour protéger votre compte et sécuriser votre site WordPress, plusieurs solutions simples et efficaces s’offrent à vous.
Limitez le nombre de tentatives d’identification
Pour protéger votre compte, n’hésitez pas à modifier le nombre de tentatives de connexions autorisées d’une même adresse IP. Cela empêche les pirates d’utiliser une attaque à force brute pour deviner votre mot de passe. Ainsi, vous limitez le risque d’intrusions malveillantes.
Utiliser de bons plugins de sécurité WordPress
Les plugins de sécurité à jour offrent une protection supplémentaire contre les pirates qui pourraient tenter de voler des données ou de compromettre votre site. Les plugins peuvent offrir une protection contre les attaques par force brute, le phishing et les logiciels malveillants.
Ils peuvent également aider à protéger votre site des failles de sécurité et des vulnérabilités pouvant être exploitées par des intrus.
Changez régulièrement vos mots de passe, et choisissez-en des plus robustes
Cela peut paraître simple, mais c’est pourtant une astuce qui fonctionne. En changeant régulièrement son mot de passe pour un plus robuste, cela permet d’empêcher les pirates de le deviner et d’accéder à des informations sensibles et privées.
Pour ce faire, privilégier des mots de passe contenant des lettres, chiffres et caractères spéciaux. Choisissez aussi un mot de passe suffisamment long.
Obtenez un certificat SSL
Le certificat SSL est un certificat numérique qui chiffre et authentifie les données qui circulent entre un site web et le serveur sur lequel il est hébergé (par exemple, il est utilisé pour les transactions bancaires). On reconnaît notamment son application grâce au « HTTPS » qui précède l’URL.
Autres articles
- Attaques les plus courantes des sites WordPress
- Piratage par redirection (liens malveillants) WordPress
- Vulnérabilité XSS WordPress, comment s’en protéger ?
- Comment se protéger d’une injection SQL sur WordPress ?
