Comment j’ai hacké le WordPress d’un collègue

Je regardais le site d’un collègue lors d’une discussion banale et amicale… Et j’ai voulu tenter quelque chose… Qui s’est transformé en piratage « virtuel ».

La récolte d’informations : première étape du piratage

Il m’a bien dit que son site était un WordPress. Mais j’avais aussi des moyens de le savoir en regardant son site.

Je sais que WordPress présente certaines « failles » qu’il faut combler manuellement pour mettre des bâtons dans les roues des pirates. Mon collègue connaît-il ces failles ?

Première faille : la page de connexion

Une de ces failles concerne la page où l’utilisateur rentre son identifiant de connexion. L’adresse url de cette page est nom-du-site/wp-admin. En rentrant /wp-admin sur le site de mon collègue… Je peux accéder à sa page de connexion pour le piratage !

Pour me bloquer, mettez l’extension WPS Hide login ! Cette application change l’url de la page de connexion. Ce sera plus long et ennuyeux pour la personne désirant vous pirater… Avec un peu de chance elle passera son chemin !

Suite de la récolte d’informations

Pour trouver l’identifiant de connexion, j’ai plusieurs hypothèses. Il a sûrement dû utiliser son nom et son prénom combiné d’une certaine manière, comme c’est son site professionnel et que ces informations sont dans son nom de domaine. Pour vérifier ça, je regarde son site. Je cherche s’il a posté des articles de blog. Avec un peu de chance, son nom d’auteur d’articles, c’est aussi son identifiant ! WordPress permet de mettre un nom d’auteur d’articles différent de l’identifiant de connexion. Faites-le ! Mettez-moi des bâtons dans les roues !

Mon collègue n’avait pas d’articles. Je peux donc tenter le nom et le prénom, combinés de certaines manières.
Pour le mot de passe, une simple attaque par force brute suffit. Ce procédé consiste à tester plein de combinaisons de mots de passe possibles. Pour me faciliter la tâche, je peux aussi chercher d’autres informations sur lui. Peut-être que son mot de passe est le nom de son animal de compagnie, de ses proches, des personnes qu’il aime, des dates de naissance… Je ne dois pas pouvoir deviner votre mot de passe de cette manière ! Mettez quelque chose de compliqué et qui n’est pas en lien avec votre vie !

Un autre moyen aussi de mettre des bâtons dans les roues consiste à limiter le nombre de tentatives de connexion. Si je fais trop d’erreurs, je ne pourrais plus continuer.

Conclusion du « piratage »

Mon « piratage » n’était que « virtuel » parce que je ne suis pas allée jusqu’au bout. J’ai quand même trouvé la page de connexion et l’identifiant de mon collègue en quelques secondes. Je crois même que je lui ai fait un peu peur !

Le risque zéro n’existe pas, mais mettez le maximum d’obstacles sur le chemin des pirates ! Limitez les possibilités des hackers !

O2 Switch, mon hébergeur favori !

Je vous ai déjà parlé d'O2 Switch, un hébergeur que j'adore dans cet article par exemple. Si vous souhaitez héberger un site chez eux, vous pouvez le faire via mon programme de parrainage. Ainsi, vous pourrez supporter gratuitement mon travail.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *