Si vous possédez un site web construit avec WordPress, vous courez un plus grand risque d’être piraté que si vous utilisez une plateforme propriétaire comme Wix, SiteW ou Squarespace. Nous allons voir pourquoi, quelles sont les principales zones de vulnérabilité (hébergement, plugins, thèmes…), les principaux facteurs explicatifs. Nous vous donnerons ensuite quelques astuces simples pour améliorer la sécurité de votre site web WordPress.
Cause n°1: vous avez choisi un fournisseur d’hébergement de mauvaise qualité
Vous obtenez ce pour quoi vous payez et de nombreux hébergeurs de sites Web «bon marché» lésinent également sur de nombreuses fonctionnalités qui sont essentielles pour protéger votre site Web de manière adéquate. Les pirates le savent, et ils ciblent les hébergeurs de sites Web de qualité inférieure mais aussi directement les sites Web hébergés chez eux. Les hébergeurs de sites Web de qualité inférieure présentent généralement les caractéristiques suivantes :
- Fourni des sauvegardes seulement une fois par semaine, ou aucune sauvegarde du tout
- Ne prend pas en charge les dernières versions de MySQL ou PHP
- N’analyse pas les logiciels malveillants
- N’offre pas de pare-feu ou de protection DDoS
- Ne fournit pas de protection d’annuaire
- A une garantie de disponibilité de moins de 99,9% (les meilleurs fournisseurs doivent être à 99.99% ou plus)
Si un hébergeur de site Web est de qualité inférieure dans un domaine ou offre des fonctionnalités inférieures sur au moins un service décrit ci-dessus, alors considérez l’ensemble de l’hébergeur comme de qualité inférieure. Même si les pirates ne peuvent pas pirater votre site Web directement, ils peuvent toujours faire des ravages sur votre serveur Web, ce qui a finalement un impact sur vos performances.
Cause n°2 : vous avez installé des thèmes ou des plugins vulnérables
Selon WP Template, environ 29% des hacks proviennent d’un thème non sécurisé et 22% proviennent de plugins vulnérables. Le template ou le plugin peut être obsolète ou programmé par quelqu’un qui n’est pas soucieux de la sécurité. Les pirates profiteront de toute vulnérabilité qu’ils peuvent trouver pour tenter de pirater votre site Web. En 2015, par exemple, une vulnérabilité majeure découverte dans l’application WP Slimstat 3.9.5 a laissé plus d’un million de sites Web ouverts à toute tentative de piratage. Cette vulnérabilité a permis aux cyber-attaquants de pirater la clé secrète du plugin et d’effectuer des injections SQL qui ont permis aux pirates de prendre le contrôle de sites Web. Une autre faille majeure a été trouvé dans l’application photo populaire TimThumb en 2012.
Une vulnérabilité dans la fonction de «redimensionnement de l’image externe» a permis aux pirates d’injecter du code PHP dans les serveurs Web. Le développeur de l’application a même admis qu’il avait été victime de piratage en raison de l’application défectueuse et a finalement cessé de la développer. Si ces exemples de vulnérabilité ne sont pas alarmants, notez que vous devez également faire face à des thèmes et des plugins qui sont distribués directement par des pirates et des sites Web malveillants. Étant donné que WordPress est open-source, tout le monde peut créer et distribuer des plugins. Ils sont généralement considérés comme des applications utiles et, dans de nombreux cas, ils fournissent les fonctionnalités promises. Mais, ces programmes incluent également du code supplémentaire qui permet à un pirate de pénétrer votre site Web ou de l’utiliser pour propager des logiciels malveillants, rediriger les utilisateurs vers d’autres sites Web, etc.
100% gratuit - 3 min
Cause n°3 : vous ne faites pas bien votre travail en tant qu’administrateur
Une autre raison courante pour laquelle les sites Web WordPress sont piratés est que les administrateurs de sites Web se dérobent à leurs responsabilités, ne parvenant pas à maintenir leurs sites Web aussi sécurisés que possible. Cela implique une partie ou même la totalité des éléments suivants :
- Vous n’utilisez pas de mots de passe assez forts
- Vous ne protégez pas le répertoire wp-admin
- Vous ne mettez pas à jour WordPress régulièrement
- Vous ne mettez pas à jour régulièrement les thèmes ou les plugins
- Vous accordez des autorisations de fichier incorrectes aux comptes d’utilisateurs
- Vous utilisez un FTP standard sur SFTP ou SSH
Les quatre premiers points sont les lacunes les plus courantes chez les administrateurs de sites web. Ils utilisent un mot de passe faible ou ne mettent pas à jour régulièrement WordPress, ses thèmes ou ses plugins. Des mises à jour régulières vous assurent d’obtenir la dernière version, qui comprend souvent des mises à jour de sécurité efficace. Les autorisations de fichiers et l’utilisation FTP non sécurisée sont moins courantes – mais toujours problématiques. Si les autorisations de fichier ou de répertoire ne sont pas définies correctement, les pirates peuvent avoir accès en lecture et en écriture à votre site Web. De plus, si vous utilisez le FTP standard via SFTP ou SSH, c’est comme si vous demandiez à être piraté, car le FTP standard envoie des mots de passe non chiffrés à votre serveur Web. Si des pirates informatiques inspectent votre site Web, ils peuvent voler l’ensemble de vos mots de passe.
Voici quelques astuces de base pour éviter la plupart des hacks WordPress
Si vous cherchez à éviter les pirates sur votre site WordPress, vous pouvez prendre plusieurs mesures pour le protéger. La plupart sont des mesures simples, mais elles nécessitent une action cohérente de votre part.
Meilleure pratique n ° 1 : choisissez un hébergement de qualité
Ce n’est pas seulement un cliché. Trop d’hébergeurs de sites Web offrent des fonctionnalités de qualité inférieure afin de gagner rapidement de l’argent tout en vous laissant sans protection face aux attaques. Recherchez un hébergeur qui fournit des sauvegardes quotidiennes, une protection antivirus et une protection contre les logiciels malveillants, les dernières versions de PHP et MySQL, une protection anti-DDoS et des répertoires sécurisés. Tout cela doivent être des fonctionnalités standard pour tous les plans.
Pensez également à choisir un hébergeur déjà connu pour son optimisation avec WordPress. Cela ne signifie pas qu’il propose un programme d’installation automatique ou qu’il est compatible avec WordPress. Cela signifie qu’ils fournissent des personnalisations WordPress ainsi que des outils et un support compétent pour vous aider à créer et à protéger votre site Web. Un exemple ? WP Engine : c’est la solution d’hébergement utilisée par La Fabrique du Net. Nous en sommes très satisfait (découvrez notre test).
Meilleure pratique n ° 2 : faites attention aux plugins et aux thèmes que vous installez
Tout d’abord, vous souhaitez installer et exécuter le moins de plugins possible afin de réduire le nombre de risques potentiels pour votre site Web. Supprimez ou désactivez tous les plug-ins dans votre backend WordPress dont vous n’avez pas besoin. Ensuite, installez uniquement les plugins et les thèmes à partir de sources fiables. Tout comme vous ne téléchargeriez pas automatiquement un programme ou n’ouvririez pas de pièce jointe à un e-mail d’un expéditeur inconnue, vous devriez vous tenir à l’écart des plugins et des thèmes provenant de sources qui ne sont pas bien connues. WordPress.org est le répertoire ultime des plugins sûrs.
Tous les plugins répertoriés sont généralement soigneusement testés et considérés comme sûrs. « Choose Plugin » est une autre source qui sert de base de données de tous les plugins WordPress disponibles. Il vous donne également des informations qui peuvent vous aider à déterminer si un plugin est sûr, y compris la dernière mise à jour, la note, le nombre total de téléchargements, les installations actives, etc. De plus, il existe de nombreuses façons de tester vos plugins et thèmes avant de les installer. Installez à la fois Plugin Check et Theme Check sur votre site Web pour rechercher régulièrement les mauvais thèmes et plugins. Vous pouvez également utiliser Sucuri. Ce site propose une base de données de plugins avec des vulnérabilités connues que vous devriez envisager de vérifier avant d’installer un plug-in suspect. Lors de l’installation de plugins ou de thèmes, il y a quelques points à vérifier avant de les télécharger. Si vous trouvez l’un des éléments suivants concernant un plugin, recherchez-en un autre :
- Une histoire de problèmes, de sécurité ou autre
- Incompatibilité avec la version actuelle de WordPress
- Mises à jour peu fréquentes ou n’ayant pas été mises à jour depuis longtemps
- Un grand pourcentage de mauvaises critiques
- Manque de support ou de documentation
- Rapports d’hébergement interdisant le plug-in
Meilleure pratique n ° 3 : installez un plugin sécurité WordPress
Ces plugins de sécurité offrent un large éventail de fonctionnalités pour sécuriser votre site Internet WordPress contre les menaces connues. Ces plugins maintiennent leurs services à jour tout au long de l’année pour lutter contre les derniers virus et autres menaces. Si vous êtes vraiment sérieux sur votre utilisation de WordPress, vous devez utiliser un plugin en plus de vos bonnes pratiques, pour sécuriser au maximum votre site. Voici une liste non exhaustive de quelques uns des meilleurs plugins sécurité pour WordPress :
A vous d’étudier les différentes fonctionnalités liées à ces plugins afin de faire le meilleur choix possible pour votre site Web.
Meilleure pratique n ° 4 : prenez vos fonctions d’administrateur au sérieux
Si vous ne prenez pas au sérieux vos fonctions d’administrateur, pourquoi vous embêter à créer un site Web ? Embauchez simplement quelqu’un d’autre pour faire le travail. Si vous souhaitez sécuriser votre site Web, vous devez effectuer toutes les opérations suivantes :
- Utilisez des mots de passe forts et changez-les régulièrement. Ne les utilisez pas pour autre chose.
- Mettez régulièrement à jour votre WordPress, vos thèmes et vos plugins.
- Protégez vos répertoires WordPress et activez les autorisations appropriées sur tous les fichiers et répertoires.
- N’utilisez jamais de FTP standard pour télécharger des fichiers.
- Cachez votre page de connexion et votre numéro de version WordPress, et désactivez le plugin et l’éditeur de thème.
Vous pouvez également désactivez les rapports PHP pour votre site Web. Les thèmes et les plugins fournissent des informations sur les erreurs qui peuvent être exploitées. En désactivant les rapports, vous verrouillez davantage votre site Web contre les menaces potentielles. Ce ne sont pas des mesures ponctuelles à prendre. Ce sont des tâches régulières que vous devez effectuer plusieurs fois par an, sinon au moins une fois par mois.
Pour aller plus loin, découvrez comment sécuriser votre site WordPress ? [Tutoriel complet].
Quel est le pire qui puisse arriver ? Vous ne souhaitez pas le découvrir !
Certains d’entre vous pensent probablement que le piratage n’est pas un problème ou que votre site Web n’est pas suffisamment important pour être piraté. Malheureusement, cela peut arriver vraiment à tout le monde. Site web hors-ligne fichiers effacés, sauvegardes disparues etc. Lorsque vous ne sécurisez pas votre site Web, non seulement vous risquez de perdre votre site Web, mais aussi votre réputation. En prenant le temps de sécuriser votre site Web contre les piratages, vous protégerez les données de votre site Web mais aussi votre réputation durement gagnée.
Si le sujet de WordPress vous intéresse, je vous invite fortement à parcourir ces articles :
Laisser un commentaire