Récemment, un de mes clients m’a contacté, inquiet d’un vol de cartes bancaires sur son site WordPress. Les utilisateurs avaient signalé que leurs données bancaires avaient été compromises peu après avoir effectué des achats sur le site.
En tant qu’expert en sécurité WordPress, j’ai immédiatement lancé une analyse approfondie. Deux symptômes suspects sont apparus : un formulaire de carte bancaire inhabituel et un domaine inconnu affiché sur la page de paiement. Ce domaine, italicfonts[.]org, semblait à première vue être utilisé pour des polices de caractères, mais une recherche rapide n’a révélé aucune utilisation légitime. Cela a nécessité une enquête technique plus poussée.
Enquête sur le domaine suspect
En fouillant dans les fichiers du site, j’ai découvert un script fortement obscurci à la fin du fichier footer.php du thème WordPress, incluant le domaine suspect. La date de dernière modification de ce fichier était récente, ce qui différait des autres fichiers du thème. Ce genre de modification est typique d’une attaque ciblée.
Le script contenait non seulement le domaine suspect, mais aussi des éléments de création d’un formulaire de carte bancaire, ce qui nécessitait une investigation plus poussée. Ce type de code est souvent utilisé pour intercepter les données saisies par les utilisateurs.
Fonctionnement du skimmer
Voyons comment fonctionne ce code malveillant et son impact sur le site :
- Injection du domaine malveillant italicfonts[.]org
L’attaquant injecte un script sur la page de paiement, incluant le domaine malveillant. Pour vérifier si ce domaine est malveillant, on peut effectuer une recherche Google avecsite:italicfonts[.]org. Si les résultats sont douteux ou inexistants, cela peut être suspect. Le domaine a été enregistré récemment, ce qui est souvent un signe de comportement malveillant, car les attaquants changent fréquemment de domaine pour éviter la détection. - Création du faux formulaire de carte bancaire
Le script construit un formulaire HTML demandant des informations sensibles comme le code postal de facturation et le code de sécurité de la carte. Ce formulaire imite les champs de paiement réels pour paraître légitime. Les utilisateurs peuvent ne pas se rendre compte qu’ils saisissent leurs informations dans un formulaire invisible, ajoutant une couche de discrétion. - Capture et envoi des données
Une fois les données capturées, le skimmer les envoie à un serveur distant contrôlé par l’attaquant. Cela se fait via une requête incluant les informations volées. Pour éviter de susciter des soupçons, l’attaquant utilise un domaine qui semble légitime, italicfonts[.]org, pour héberger les données volées et éviter la détection par les outils de sécurité automatisés.
Impact pour les sites WordPress français
Le vol de cartes bancaires peut avoir de graves conséquences et nuire à la réputation d’une entreprise. Les cartes volées peuvent entraîner des frais non autorisés et compromettre les données sensibles des clients, comme leur nom, adresse et numéro de téléphone. En plus des risques financiers pour les clients, la réputation de l’entreprise peut en souffrir, car les clients peuvent perdre confiance dans la capacité de l’entreprise à protéger leurs données personnelles. Cette perte de confiance peut entraîner une baisse des ventes, la perte de clients et même des problèmes juridiques. Plus le malware reste longtemps sur le site, plus l’impact sera important. Il est donc crucial de surveiller et de corriger rapidement les problèmes de sécurité.
Stratégies de mitigation
- Maintenir le logiciel du site à jour
Surveillez les mises à jour pour WordPress, tous les plugins et thèmes. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. - Utiliser un pare-feu d’application web (WAF)
Les pare-feux peuvent aider à atténuer les mauvais bots, prévenir les attaques par force brute et détecter les attaques dans votre environnement. Notre service de maintenance WordPress inclut la mise en place de ces protections. - Imposer des mots de passe uniques pour tous vos comptes
Cela inclut les identifiants pour sFTP, la base de données, cPanel et les utilisateurs admin de WordPress. - Supprimer les utilisateurs admin WordPress inutilisés
Vérifiez régulièrement les utilisateurs admin dans votre tableau de bord et supprimez ceux qui sont inconnus. - Activer l’authentification à deux facteurs (2FA) sur votre tableau de bord WordPress
Notre service de réparation d’urgence WordPress peut vous aider à sécuriser votre site avec ces mesures. - Désactiver le paiement en tant qu’invité
Si possible, obligez les visiteurs à se connecter avant de soumettre des détails de paiement, ce qui peut aider à réduire les attaques automatisées.
Optimisation SEO et sécurité
Au-delà de la sécurité, il est essentiel d’optimiser la visibilité de votre site. Pour cela, nous proposons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés, afin d’améliorer votre positionnement tout en garantissant la sécurité de vos visiteurs.
Conclusion
La sécurité de votre site WordPress est essentielle pour protéger vos clients et votre réputation. En tant qu’expert en sécurité WordPress, je suis là pour vous aider à sécuriser votre site grâce à nos services de réparation d’urgence, de maintenance et d’optimisation SEO. N’attendez pas qu’un problème survienne. Contactez-nous dès aujourd’hui pour assurer la sécurité et la performance de votre site.
Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP
