...
vous avez été piraté ? obtenir de l'aide
Accès client Assurance
Aide Immédiate
Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

Expert Cybersécurité

  • samedi - 11 pm.
10 décembre, 2022
my sql injection
L’injection SQL (database injection) est une attaque courante qui consiste à ajouter, modifier ou supprimer de la data d’une base de données via une ligne de code mySQL. Découvrez les mécanismes de cette cyberattaque et comment se protéger.

En quoi consiste une attaque par injection SQL sur WordPress ?

L’attaque par injection SQL sur WordPress est une technique de hacking découverte pour la première fois en 1998, qui consiste à injecter des instructions SQL malveillantes dans une application web. L’objectif de cette attaque est souvent de récupérer des données sensibles ou de détruire des données. Pour ce faire, les attaquants vont injecter du code de type SQL dans les champs des formulaires web ou dans les liens des pages. Ils pourront ensuite déjouer les contrôles de sécurité en place sur le site web et afficher des bugs, récupérer ou modifier des données sensibles de la base de données, comme des mots de passe ou des données bancaires.

database injection sql

Cette attaque est particulièrement grave car elle permet à des hackers de récupérer toutes sortes de données contenues dans la base de données mySQL, des données personnelles comme des mots de passe et coordonnées d’utilisateurs aux données du e-commerce.

Exemple d’attaque par injection SQL

Pour mieux comprendre comment fonctionne une attaque par injection SQL sur WordPress, voici quelques exemples. L’attaquant peut accéder à votre base de données via une saisie utilisateur qui a été insuffisamment masquée. En effet, les utilisateurs doivent s’authentifier pour accéder à votre site web, en remplissant un formulaire de type login. Un script va ensuite vérifier que les entrées saisies par l’utilisateur correspondent à ce qui se trouve dans la base de données. L’attaquant peut, en injectant une ligne de code SQL dans la base de données, manipuler le champ relatif au mot de passe ou celui qui concerne le nom utilisateur pour pouvoir se connecter en tant qu’administrateur par la suite.

besoin aide pour mon site

WordPress est sécurisé… si vous suivez les mesures de sécurité !

Votre site web redirige vers des pages malveillantes, comme des sites de rencontre ou des publicités pour de faux produits ?
La page d’accueil a été modifiée ou a été remplacée par une autre page, comme une page à caractère islamique avec message de rançon ? 

Un code erreur apparait à la place de votre page d’accueil ? 

Les pages de votre site internet sont anormalement lentes ? 

Votre site web mine des crypto monnaies à votre insu ?

Contactez nous

Comment prévenir une attaque par injection SQL ?

Pour prévenir une attaque par injection SQL, vous pouvez ajouter la fonction mysql_real_escape_string() qui va empêcher le hacker de manipuler les données de votre base de données. Par exemple, dans le cas du formulaire de connexion utilisateur, la base de données se présente ainsi :

   uname = request.POST['username']
passwd = request.POST['password']
sql = "SELECT id FROM users WHERE username='" + uname + "' AND password='" + passwd + "'"
database.execute(sql)
Le haker pourra ajouter une ligne de code du type :
 sql = "SELECT id FROM users WHERE username='' AND password='password' OR 1='1'

Il pourra donc utiliser le mot de passe 1 pour accéder dès qu’il le souhaite aux données utilisateur de la base de données.

La fonction mysql_real_escape_string() permet d’échapper la chaîne de caractères via PHP. Pour le faire via MySQL, il faudra utiliser la fonction : mysqli_real_escape_string().

Est-ce que mon site est exposé aux attaques par injection SQL ?

Certains sites WordPress sont particulièrement vulnérables aux attaques par injection SQL. Si vous avez des doutes, contactez-nous. Nos équipes d’expert WordPress vérifieront s’il existe une vulnérabilité par injection SQL via un audit sur votre site web et la corrigeront.

Benjamin Bueno

16 novembre 2023

Catégorie
Maintenance de votre site

Vous souhaitez en savoir plus sur la sécurité de votre site WordPress ? Sur notre blog, nous vous expliquons pourquoi il ne faut pas utiliser « admin » comme nom d’utilisateur, comment corriger une erreur critique sur votre site WordPress, ou encore comment corriger le bug de la page blanche, l’écran de la mort. Chaque problème rencontré sur votre site peut être traité, n’hésitez pas à nous contacter !

Articles du même sujet

Nos experts français assurent un support et une prestation de qualité.

Faire appel à nous

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

SecuritéWP est un service accessible à tous qui vous accompagne dans la réparation de site et le nettoyage de votre site piraté. Notre équipe est composée d’experts français avec une forte expérience dans le web.
Vous n’avez besoin d’aucune connaissance technique : notre équipe se charge de tout ! Nous restons disponibles pour toute question durant le processus de nettoyage de votre site WordPress.

Notre service
Notre blog
Nos experts français assurent la réparation et le nettoyage de votre site piraté.
Prendre rendez vous
Rendez vous maintenace site
Linkedin Twitter Facebook-f Google Envelope
All Rights Reserved © 2023 | Site du groupe WP SOLUTION

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article