Dix erreurs de mot de passe qui pourraient faire pirater votre site WordPress

Il y a quelques mois sur Wordfence Live, nous avons passé en revue certains des pires piratages de sites Web que nous ayons jamais vus. Chacun d’entre eux a commencé avec de mauvais choix de mots de passe et s’est transformé en un événement désastreux pour le propriétaire du site. De ces hacks courants, nous avons de nombreux récits de mise en garde sur la sécurité du site qui auraient pu être évités en utilisant des mots de passe forts et une bonne hygiène de mot de passe comme première ligne de défense.

L’équipe de nettoyage de site Wordfence constate une augmentation de la réutilisation des mots de passe en tant que vecteur d’intrusion dans les sites compromis. En tant que tel, nous couvrons les 10 pires erreurs de mot de passe qui peuvent conduire à la compromission de votre site WordPress.

Vous pouvez consulter les façons courantes dont les attaquants compromettent les mots de passe dans l’article de blog publié ici.

Vous pouvez regarder la vidéo de Wordfence Live ci-dessous.

Horodatages

Vous pouvez cliquer sur ces horodatages pour parcourir la vidéo.

  • 24 :30 Erreur n ° 10 : ne pas utiliser de gestionnaire de mots de passe
  • 29 :57 Erreur n ° 9 : Partager des mots de passe
  • 34 :39 Erreur n ° 8 : ne pas être conscient de votre environnement
  • 37 :17 Erreur n ° 7 : Ne pas surveiller et auditer les mots de passe
  • 41 :32 Erreur n ° 6 : utiliser des mots de passe qui ne sont pas complexes
  • 46 :19 Erreur n ° 5 : utiliser des informations personnelles dans les mots de passe
  • 49 :45 Erreur n ° 4 : ne pas supprimer les informations d’identification des anciens employés et / ou développeurs et / ou des utilisateurs d’assistance
  • 53 :00 Erreur n ° 3 : utiliser des mots de passe trop courts
  • 57 :27 Erreur n ° 2 : ne pas utiliser l’authentification multifacteur
  • 1 :01 :45 Erreur n ° 1 : réutiliser les mots de passe

Erreur de mot de passe n ° 10 : ne pas utiliser de gestionnaire de mots de passe.

Cette erreur est trop courante. Certains ne font pas confiance aux gestionnaires de mots de passe, tandis que d’autres ne savent tout simplement pas qu’ils existent. Il est extrêmement important d’utiliser des mots de passe uniques, forts et complexes pour chaque compte, et il n’y a tout simplement pas de meilleur moyen de garder une trace de ces mots de passe qu’un gestionnaire de mots de passe.

même s’il s’agit d’un mot de passe fort et complexe alors seul ce mot de passe est compromis. L’utilisation d’un gestionnaire de mots de passe garantit que la gestion de nombreux mots de passe complexes uniques est beaucoup plus facile.

Ensuite, il y a la question… Et si la plateforme de gestion des mots de passe est compromise?

Heureusement, les gestionnaires de mots de passe stockent les mots de passe des clients avec des algorithmes de chiffrement avancés comme AES. Si vos mots de passe étaient compromis de leur côté, il faudrait encore des années aux attaquants pour déchiffrer l’un des mots de passe qu’ils pourraient obtenir. Cela vous donnerait suffisamment de temps pour modifier tous les mots de passe stockés dans le gestionnaire de mots de passe afin de protéger vos comptes. Nous vous recommandons également d’utiliser un mot de passe principal très fort et unique pour votre compte qui prendrait des milliers d’années à se fissurer, de sorte qu’il serait peu probable qu’un attaquant puisse accéder à votre gestionnaire de mots de passe en forçant votre mot de passe. Assurez-vous également que l’authentification à deux facteurs est activée, de sorte que si votre mot de passe principal est d’une manière ou d’une autre compromis, l’attaquant ne pourra pas s’authentifier car il n’a pas accès à ce deuxième facteur d’authentification.

Cela étant dit, il y aura bien sûr un risque résiduel d’avoir tous vos mots de passe dans le même panier. Cependant, en tenant compte des risques inhérents à la réutilisation des mots de passe, nous considérons qu’il est beaucoup moins risqué d’utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe uniques complexes que d’utiliser des mots de passe faibles ou similaires sur les plates-formes.

Il existe plusieurs gestionnaires de mots de passe tels que LastPass, Dashlane, 1Password et KeePassX qui vous fournissent d’excellents systèmes pour gérer vos mots de passe. Chacun possède des fonctionnalités qui facilitent la gestion de mots de passe complexes uniques. Nous vous recommandons de les vérifier et d’en choisir un qui conviendra à vos besoins personnels.

Erreur de mot de passe n ° 9 : partage de mots de passe.

Ne partagez jamais vos mots de passe avec qui que ce soit si vous pouvez l’aider. En partageant un mot de passe avec quelqu’un d’autre, vous lui donnez la possibilité d’agir en votre nom pour ce compte. Toute personne avec laquelle vous partagez votre mot de passe peut revendiquer avec succès votre identité en ce qui concerne le site sur lequel elle s’authentifie. La plupart des organisations disposent de méthodes alternatives pour vérifier votre identité par téléphone qui ne nécessitent pas de partage de mots de passe, tels que des codes PIN, des phrases secrètes et d’autres moyens, et toute demande de mot de passe doit être considérée comme suspecte.

Une meilleure alternative lorsque vous devez partager l’accès avec quelqu’un sur votre site WordPress serait de créer un deuxième compte utilisateur avec les privilèges appropriés pour qu’ils puissent effectuer le travail. Par exemple, si vous embauchez un écrivain pour créer du contenu pour votre site WordPress, créez un compte d’utilisateur distinct au niveau du contributeur, de l’auteur ou de l’éditeur afin qu’il puisse effectuer son travail, puis révoquez les privilèges et supprimez le compte une fois qu’ils ont terminé. L’objectif est de fournir à l’utilisateur le moins de privilèges nécessaires pour effectuer le travail tout en garantissant que vous ne partagez pas les informations d’identification de votre compte.

Un autre exemple serait que vous ayez besoin d’un représentant de support d’entreprise réputé pour examiner votre site pour certains problèmes que vous rencontrez. La meilleure façon de gérer cela est de créer un deuxième compte d’utilisateur avec le niveau minimal d’autorisations requis. S’ils ne peuvent pas accéder à ce dont ils ont besoin pour vous fournir une assistance, augmentez les privilèges de cet utilisateur en tant qu’administrateur. Vous pouvez également utiliser un plug-in d’éditeur de rôle utilisateur pour créer un rôle personnalisé avec uniquement les capacités requises nécessaires pour effectuer le travail. Une fois le travail terminé, assurez-vous de supprimer le compte utilisateur afin que le support n’ait plus accès au site. Il ne s’agit pas seulement de supprimer l’accès de cet utilisateur d’assistance, mais également de supprimer un compte susceptible d’être compromis ultérieurement.

En ce qui concerne WordPress, vous pouvez créer autant de comptes d’utilisateurs séparés que nécessaire et les supprimer simplement une fois que l’accès n’est plus nécessaire. En tant que tel, il n’est jamais nécessaire de partager les mots de passe de votre site WordPress.

Pour les autres comptes en dehors de WordPress qui peuvent nécessiter un seul compte pour effectuer une activité, assurez-vous de faire confiance à la personne avec laquelle vous partagez le mot de passe. Assurez-vous également de changer le mot de passe immédiatement après la fin du travail.

Erreur de mot de passe # 8 : Ne pas être conscient de l’environnement lors de l’utilisation de mots de passe.

votre mot de passe est transmis par paquets qui peuvent être interceptés et lus par des attaquants à l’aide d’un outil de capture de paquets comme Wireshark. De nombreuses personnes ne savent tout simplement pas que cela est possible et ne prennent donc pas les mesures appropriées pour se protéger lorsqu’elles utilisent leur ordinateur ou leurs appareils dans des espaces publics.

Nous vous recommandons d’utiliser un écran de confidentialité si vous travaillez dans des espaces publics où il peut être facile pour quelqu’un de regarder votre écran. Nous vous recommandons également d’évaluer votre environnement et de regarder derrière vous lorsque vous saisissez des mots de passe ou que vous travaillez avec des informations sensibles qui peuvent être visibles à l’écran.

Protégez vos comptes en ne vous connectant pas aux ordinateurs publics et, si nécessaire, assurez-vous de vous déconnecter une fois que vous avez terminé vos tâches sur cet ordinateur et de modifier vos mots de passe la prochaine fois que vous vous trouvez sur un ordinateur propre.

Erreur de mot de passe n ° 7 : ne pas surveiller et auditer régulièrement les mots de passe.

C’est une erreur courante, souvent négligée et négligée. Les mots de passe doivent être surveillés et vérifiés régulièrement. Parfois, les mots de passe peuvent être compromis lors de violations de données, il est donc important de surveiller vos mots de passe et vos comptes afin que, s’ils sont trouvés dans une violation de données, ils puissent être modifiés immédiatement.

Ai-je été Pwned? est une excellente ressource pour vérifier si un mot de passe a été compromis ou trouvé dans une violation. Vous pouvez vous inscrire à «Notify Me» qui vous enverra un e-mail si des mots de passe ou d’autres données personnelles associés à votre e-mail ont été trouvés dans une violation. Ils ont également récemment ajouté la surveillance des numéros de téléphone. Agir rapidement sur les données fournies par ce service gratuit peut vous garder une longueur d’avance sur les attaquants.

Aujourd’hui, il est plus facile que jamais de surveiller vos mots de passe, il n’y a donc aucune excuse pour ne pas le faire. De nombreux navigateurs, y compris Chrome, Safari, Firefox, Edge et d’autres, ont mis en œuvre des fonctionnalités pour analyser les mots de passe afin de déterminer s’ils faisaient partie d’une violation de données. De plus, certains gestionnaires de mots de passe comme 1Password ont intégré des vérificateurs de mots de passe dans leurs plates-formes de gestion afin que vous puissiez facilement déterminer si l’un de vos mots de passe ou données de compte a pu être trouvé dans une violation. C’est une autre raison pour laquelle vous devriez utiliser un gestionnaire de mots de passe.

Pour les propriétaires de sites WordPress, surveiller les mots de passe pour s’assurer que les utilisateurs de votre site n’utilisent pas de mots de passe faibles est également extrêmement important pour s’assurer qu’ils ne créent pas de vecteur d’intrusion sur le site. Wordfence a une fonction gratuite intégrée pour vérifier les mots de passe violés et empêcher leur utilisation.

Si vous utilisez WordPress et avez des utilisateurs sur votre site, nous vous recommandons de forcer une mise à jour du mot de passe tous les 180 à 365 jours, car vous ne pouvez pas savoir quels mots de passe ils utilisent sur votre site. Un grand nombre de vulnérabilités récemment découvertes nécessitent des privilèges au niveau de l’abonné.Il est donc important de s’assurer que les abonnés du site WordPress utilisent des mots de passe forts et uniques pour protéger votre site contre les attaques qui découlent d’un accès compromis au niveau de l’abonné.

Erreur de mot de passe n ° 6 : utiliser des mots de passe trop simples ou contenant des mots du dictionnaire.

Les mots de passe simples sont l’un des vecteurs d’intrusion les plus courants pour les comptes piratés. La complexité des mots de passe est très importante lorsqu’il s’agit de protéger vos mots de passe contre les attaques par force brute et autres attaques de piratage de mots de passe. La complexité du mot de passe fait référence à l’ajout de divers caractères dans un mot de passe, ce qui les rend beaucoup plus difficiles à deviner. Cela signifie ajouter des caractères numériques et des caractères spéciaux (par exemple, $,%, #) avec un mélange de lettres majuscules et minuscules. Plus votre mot de passe est complexe, plus il faudra de temps pour qu’une attaque par force brute réussisse.

Voici un exemple de mot de passe non complexe qui prendrait 46 microsecondes à un ordinateur : susy

Voici le même mot de passe qui est juste un peu plus complexe en ajoutant un caractère spécial et qui prendrait 12 millisecondes à un ordinateur pour se casser : susy !

Voici le même mot de passe qui est encore plus complexe en ajoutant une lettre majuscule et qui prendrait une centaine de millisecondes à un ordinateur pour se casser : Susy !

Et voici un mot de passe encore plus complexe avec toutes les caractéristiques qui prendraient 21 secondes à un ordinateur : Susy3 !

Cracking source : https://www.comparitech.com/privacy-security-tools/password-strength-test/

Maintenant, vous avez peut-être remarqué que cet exemple de mot de passe est incroyablement court et contient des informations personnelles qui pourraient être très faciles à deviner, par conséquent, le temps estimé pour déchiffrer est encore incroyablement court. Cependant, l’important est que vous puissiez voir que le temps de déchiffrer le mot de passe augmente un peu avec chaque caractère ajouté, ce qui montre pourquoi la complexité du mot de passe est un mécanisme de défense incroyablement important contre les techniques de craquage de mot de passe. La plupart des attaquants effectuent également des attaques par dictionnaire, ce qui signifie que si votre mot de passe contient des mots couramment utilisés, il prendra beaucoup moins de temps à deviner.

Erreur de mot de passe n ° 5 : utilisation des informations personnelles dans les mots de passe.

C’est une erreur courante car il est tellement plus facile de se souvenir des mots de passe contenant des détails personnels. Par exemple, si le nom de votre chien est charlie et que votre numéro préféré est 3, vous pourriez être tenté d’utiliser charlie3 comme mot de passe pour tous vos sites. Cependant, c’est une grosse erreur.

Dans le monde d’aujourd’hui, il est incroyablement facile pour un attaquant de trouver vos informations personnelles, y compris vos préférences, sur les réseaux sociaux, ou de les obtenir par ingénierie sociale. Toutes les informations personnellement identifiables de vos comptes de réseaux sociaux, telles que les combinaisons de noms d’animaux de compagnie, de noms d’enfants, de noms de rue ou même de codes postaux, peuvent toutes servir à des attaques par force brute par un attaquant ciblant vos comptes. Ces mots de passe peuvent également être incroyablement faciles à déchiffrer étant donné leur simplicité, qui est un autre composant qui rend l’utilisation d’informations personnelles dans les mots de passe dangereuse.

Les mots de passe longs et complexes sans informations personnelles peuvent être difficiles à mémoriser, cependant, votre gestionnaire de mots de passe préféré peut s’assurer qu’ils sont facilement accessibles.

Erreur de mot de passe n ° 4 : ne pas supprimer les informations d’identification des anciens employés, développeurs ou utilisateurs du support.

Laisser le compte d’un employé actif sur votre site WordPress après sa résiliation pourrait être un vecteur de dégradation du site si l’employé est mécontent de la résiliation.

Chaque fois que vous donnez accès à un employé, un entrepreneur ou un développeur, conservez un enregistrement détaillé de l’accès que vous leur fournissez. S’ils ont un accès administrateur à votre site WordPress et à votre compte d’hébergement, conservez des enregistrements de leur niveau d’accès dans un endroit sûr, comme un document interne ou même une feuille de calcul détaillant l’accès fourni. Assurez-vous de mettre à jour vos dossiers avec tout accès supplémentaire acquis pendant toute la durée de leur emploi ou de leur contrat afin que cela puisse être facilement revu à l’avenir. Une fois leur contrat ou leur emploi terminé, cette liste détaillée des accès que vous avez initialement fournis devient la liste des mesures de révocation qui doivent être prises pour ces comptes. Il est préférable de le faire en tant que protocole normal immédiatement avant ou pendant la résiliation. Vous ne devez jamais attendre qu’une personne ait été résiliée pour révoquer son accès.

Le fait d’avoir une liste d’accès dès le début vous permet de vous souvenir plus facilement des informations d’identification qui doivent être supprimées à la fin de la route pour ne pas en manquer une.

Erreur de mot de passe n ° 3 : utiliser des mots de passe trop courts.

Cette erreur est liée à certaines des autres erreurs dont nous avons déjà parlé concernant la complexité des mots de passe et l’utilisation d’un gestionnaire de mots de passe. Les mots de passe trop courts peuvent facilement être craqués, tout comme un mot de passe de faible complexité.

nous vous recommandons d’utiliser autant de caractères que le permet chaque compte. Certains gestionnaires de mots de passe peuvent générer des mots de passe jusqu’à 100 caractères, alors pourquoi ne pas les utiliser? Si quoi que ce soit, cela rend le forçage brutal des mots de passe plus difficile. Dans le cas peu probable où le gestionnaire de mots de passe contenant vos mots de passe serait compromis, il serait également extrêmement difficile pour un attaquant de déchiffrer le mot de passe stocké pour obtenir le mot de passe en clair.

Erreur de mot de passe n ° 2 : ne pas utiliser l’authentification multifacteur.

Personne n’aime utiliser l’authentification multifacteur, cependant, c’est une couche de protection importante. Les mots de passe agissent comme la première couche d’authentification et si votre mot de passe est d’une manière ou d’une autre compromis, le fait d’avoir une deuxième couche d’authentification rend beaucoup plus difficile pour un attaquant de «falsifier» avec succès l’authenticité de votre identité. L’utilisation de certaines méthodes d’authentification peut rendre presque impossible l’accès d’un attaquant.

Il existe 5 méthodes d’authentification principales:

  • Quelque chose que vous savez : C’est le type d’authentification le plus courant et c’est quelque chose que vous seul connaissez. Ce sera généralement votre mot de passe ou un code PIN que vous connaissez
  • Quelque chose que vous êtes. Cela fait référence à la biométrie, comme une empreinte digitale, une analyse rétinienne ou tout autre attribut physique qui vous est propre. Ceci est moins courant en ce qui concerne l’authentification en ligne, cependant, il s’agit d’une forme d’authentification valide et difficile à compromettre
  • Quelque part où vous êtes. Cette forme d’authentification est basée sur votre emplacement. Il ne s’agit généralement pas d’une forme d’authentification explicitement sélectionnée, cependant, plusieurs services surveilleront votre emplacement lorsque vous vous connecterez et vous alerteront, ou vous bloqueront, si une connexion provient d’un emplacement inhabituel ou nouveau
  • Quelque chose que vous avez. Il s’agit de la deuxième forme d’authentification la plus couramment utilisée pour les sites en ligne. Il s’agit de l’authentification avec quelque chose que vous avez comme une application d’authentification sur votre téléphone portable qui génère un mot de passe à usage unique basé sur l’heure. Il existe également des jetons physiques qui génèrent des nombres aléatoires ou utilisent un certificat cryptographique pour vérifier votre identité
  • Quelque chose que vous faites. Cette forme d’authentification est basée sur quelque chose que vous faites. Cela impliquerait de faire glisser un motif sur l’écran de votre téléphone ou d’analyser des motifs en fonction de votre comportement de frappe personnel. Ceci est le plus souvent utilisé pour distinguer les activités humaines des tentatives d’accès aux robots, comme c’est le cas avec reCaptcha

L’authentification multifacteur utilise au moins deux combinaisons des méthodes d’authentification ci-dessus. La forme la plus courante d’authentification à deux facteurs est l’utilisation de quelque chose que vous connaissez, comme un mot de passe, et quelque chose que vous avez, qui est généralement votre téléphone qui a une application d’authentification ou utilise des messages texte pour recevoir un code spécial. Veuillez noter que les «questions de sécurité» ne sont pas en fait une forme d’authentification multifacteur, car elles sont quelque chose que vous connaissez, tout comme votre mot de passe.

Nous vous recommandons vivement d’activer l’authentification à deux facteurs sur votre site WordPress avec l’authentification à deux facteurs intégrée de Wordfence et d’activer l’authentification à deux facteurs sur tous vos comptes personnels lorsqu’elle est disponible. Si jamais vos mots de passe sont compromis, cette couche de sécurité rendra beaucoup plus difficile l’accès d’un attaquant car il n’a généralement pas accès à la deuxième forme d’authentification.

Erreur de mot de passe n ° 1 : réutilisation des mots de passe.

La réutilisation des mots de passe est trop courante. Il y a des années, avant que les violations de données ne deviennent fréquentes, la réutilisation des mots de passe était une pratique courante. Nous avons tous probablement réutilisé des mots de passe à un moment de notre vie. Cependant, les temps ont changé et la réutilisation des mots de passe est maintenant l’erreur de mot de passe numéro un que nous voyons. Cela a conduit à des intrusions très médiatisées, ainsi qu’à d’autres violations de données, et cela a eu un effet en cascade sur nos vies numériques. Une enquête menée par LastPass a révélé que 91% des personnes interrogées savaient que la réutilisation des mots de passe était mauvaise, mais 66% des 3 250 personnes interrogées ont encore déclaré avoir réutilisé les mots de passe.

La réutilisation des mots de passe signifie que si votre mot de passe est compromis sur un site, un attaquant ayant accès à votre mot de passe peut alors l’utiliser pour se connecter à vos comptes sur d’autres sites. Ils peuvent voler des informations sensibles conservées dans certains comptes ou utiliser des cartes de crédit via vos comptes compromis si vous les avez enregistrées sur des sites commerciaux. Pire encore, si votre messagerie est compromise, ils peuvent utiliser la fonctionnalité de réinitialisation de mot de passe sur tous les comptes utilisant cette adresse e-mail et prendre en charge l’intégralité de votre identité numérique.

L’équipe de nettoyage de site Wordfence constate fréquemment que les sites WordPress compromis utilisent le même mot de passe pour leur compte d’hébergement, leurs informations d’identification FTP et la zone de tableau de bord WordPress, ce qui peut conduire à un compromis complexe. Il y a eu de nombreux cas où un attaquant a pu accéder à la zone wp-admin d’un site, soit à partir d’un mot de passe compromis et réutilisé, soit en forçant brutalement le mot de passe, puis a utilisé ces mêmes informations d’identification pour se connecter le compte d’hébergement du site compromis car ils partageaient les mêmes informations d’identification.

Conclusion

Cela s’applique non seulement à votre site WordPress vous êtes sur la bonne voie pour vous assurer que votre monde en ligne reste sécurisé.

Nous vous recommandons souvent de partager nos publications avec tous les collègues et amis concernés. Avec l’article d’aujourd’hui, il est clair que les meilleures pratiques en matière de mots de passe nous concernent tous. Aujourd’hui, nous vous demandons de partager ce message avec tout le monde car les mots de passe affectent tout le monde. Nous espérons vous avoir fourni de nombreuses preuves pour sensibiliser le public à la sécurité des mots de passe et à son importance pour faire du monde en ligne un endroit meilleur et plus sûr pour tous.

Tags: