Besoin de sécuriser WordPress ? Découvrez les menaces les plus courantes qui pèsent aujourd’hui sur les sites web WordPress et apprenez comment sécuriser votre site web WordPress et le protéger contre les cyberattaques.
Il n’y a jamais de mauvais moment pour se familiariser avec les meilleures pratiques en matière de sécurité de WordPress. Dans l’ensemble, WordPress est un CMS sûr, mais comme il s’agit d’un logiciel libre, il souffre de quelques vulnérabilités critiques. Heureusement, il est possible de sécuriser votre site WordPress en prenant les bonnes mesures.
Dans cet article, nous allons nous plonger dans les détails des dangers et des vulnérabilités de WordPress en matière de sécurité. Ensuite, nous partagerons toutes les étapes que vous devez suivre pour gérer un site sécurisé et sûr sur WordPress.
Pourquoi vous avez besoin de sécuriser WordPress
La sécurité fait partie intégrante de tout site web performant. Cela s’applique aux entreprises de toutes tailles, de toutes réputations et de tous secteurs. Voici pourquoi.
Il protège vos informations et votre réputation.
Si un pirate informatique obtient des informations personnelles sur vous ou sur les visiteurs de votre site, il n’y a rien à dire sur ce qu’il peut faire avec les informations volées. Les failles de sécurité vous exposent à des fuites de données publiques, à des usurpations d’identité, à des ransomwares, à des pannes de serveur, et la liste est malheureusement longue.
Comme vous pouvez l’imaginer, l’un ou l’autre de ces événements n’est pas de nature à entacher la réputation de votre entreprise – sans compter qu’il s’agit d’une perte de temps, d’énergie et d’argent.
Vos visiteurs l’attendent.
En clair, vos visiteurs s’attendent à ce que votre site soit sécurisé : Vos visiteurs s’attendent à ce que votre site soit sécurisé. Si vous n’êtes pas en mesure de fournir ce service fondamental dès le départ, vous saperez la confiance de vos clients.
En gagnant cette confiance, vous pouvez faire en sorte que vos visiteurs aient une expérience positive avec votre entreprise et qu’ils reviennent.
Il est important que vos clients soient convaincus que leurs informations sont utilisées et stockées de manière responsable, qu’il s’agisse de leurs coordonnées, de leurs informations de paiement (qui doivent être conformes à la norme PCI) ou même d’une simple réponse à une enquête.
Il y a là un paradoxe :
Si vos mesures de sécurité sont efficaces, vos clients n’auront jamais besoin de le savoir. S’ils prennent connaissance d’informations relatives à la sécurité de votre site, il y a de fortes chances qu’il s’agisse de mauvaises nouvelles, et la plupart d’entre eux ne reviendront pas.
Google aime les sites web sécurisés.
Tout le monde veut être mieux classé dans les pages de résultats des moteurs de recherche (SERP). Un meilleur classement signifie plus de visibilité, et plus de visibilité signifie plus de visiteurs.
Heureusement, l’un des moyens d’augmenter les chances que Google apprécie votre site est de le sécuriser.
Pourquoi ? Parce qu’un site web sûr est un site qui peut faire l’objet de recherches. La sécurité de WordPress affecte directement la visibilité d’une recherche sur Google (et d’autres moteurs de recherche), et ce depuis longtemps.
La sécurité est l’un des moyens les plus simples d’améliorer votre classement dans les moteurs de recherche.
Pour en savoir plus sur les autres facteurs qui influencent le classement de votre site web par Google, consultez notre Guide ultime des facteurs de classement de Google.
Il est clair que la protection de vos propriétés en ligne doit être votre première préoccupation. Votre site web doit garantir la protection de vos visiteurs lorsqu’ils l’utilisent. Mais tout d’abord, vous vous posez peut-être des questions : WordPress est-il sécurisé ?
Voyons cela ci-dessous.
WordPress est-il sûr ?
WordPress est généralement considéré comme un système de gestion de contenu sûr. Toutefois, comme tout CMS, il peut être vulnérable aux attaques si vous n’investissez pas dans la protection de votre site.
Il n’y a aucun moyen d’y échapper : Les sites web qui utilisent WordPress sont une cible populaire pour les cyberattaques.
Dans son rapport sur la sécurité de WordPress, un service de pare-feu appelé Wordfence a bloqué 18,5 milliards de demandes d’attaques par mot de passe sur des sites WordPress. Cela représente près de 20 milliards d’attaques sur les seuls sites WordPress.
Ces chiffres sont affligeants, mais il faut garder à l’esprit que 43 % de l’ensemble de l’internet a été construit sur WordPress. Néanmoins, près de vingt milliards d’attaques restent un chiffre élevé, même si l’on tient compte de la part de marché de WordPress.
Les mauvaises nouvelles continuent : 8 risques de sécurité sur 10 pour WordPress sont de gravité “moyenne” ou “élevée” selon le système commun d’évaluation des vulnérabilités (Common Vulnerability Scoring System).
Maintenant que vous connaissez les faits, prenons un peu de recul. Avant de cliquer sur “supprimer” votre compte WordPress, rappelez-vous que ces chiffres ne sont pas vraiment de la faute de WordPress.
Ou, du moins, que ce n’est pas la faute du produit WordPress. Par conséquent, il y a certainement des choses que vous pouvez faire en tant qu’utilisateur responsable pour renforcer les efforts de sécurité de WordPress.
WordPress emploie une importante équipe de sécurité composée de chercheurs et d’ingénieurs de renommée mondiale qui recherchent les vulnérabilités de son système, afin de pouvoir résoudre les problèmes avant qu’un pirate informatique n’y parvienne.
L’équipe de sécurité déploie également régulièrement des mises à jour de sécurité pour son logiciel. En ce qui concerne le cœur de WordPress lui-même, nous sommes couverts. La raison pour laquelle les sites WordPress peuvent être vulnérables réside dans la manière dont WordPress est mis à la disposition des utilisateurs.
Comme vous le savez, WordPress est un logiciel libre. Cela signifie que le code source est disponible pour que tout le monde puisse le distribuer et le modifier. L’utilisation de logiciels libres présente certains avantages :
ils sont accessibles à tous, ils sont personnalisables à l’infini et vous pouvez les optimiser.
Par conséquent, des milliers de développeurs ont créé des thèmes et des plugins qui améliorent considérablement les fonctionnalités de cette plateforme. La flexibilité est l’une des caractéristiques de WordPress et explique en grande partie pourquoi il est si puissant et si largement utilisé.
Bien entendu, la liberté offerte par WordPress a un coût. Si vous avez un site WordPress mal configuré ou mal entretenu, vous vous exposez à de nombreux problèmes de sécurité.
WordPress donne beaucoup de pouvoir à ses utilisateurs, et ce pouvoir s’accompagne d’une grande responsabilité. Malheureusement, de nombreux utilisateurs se déchargent de cette responsabilité, et les pirates informatiques le savent. Ils ciblent les sites web WordPress en conséquence.
Soyez tranquille en sachant cela : La sécurité parfaite n’existe tout simplement pas, surtout en ligne. Comme le dit WordPress :
“La sécurité est la réduction des risques et non leur élimination. Il s’agit d’utiliser tous les contrôles appropriés disponibles, dans la limite du raisonnable, qui vous permettent d’améliorer votre position générale en réduisant les chances de devenir une cible, puis d’être piraté.”
On ne peut jamais garantir une immunité totale contre les menaces en ligne, mais on peut prendre des mesures pour les rendre beaucoup moins probables. Le fait que vous lisiez ces lignes signifie que vous vous souciez probablement de la sécurité et que vous êtes prêt à faire un effort supplémentaire pour assurer votre sécurité et celle de vos visiteurs.
WordPress est sûr, mais seulement si ses utilisateurs prennent la sécurité au sérieux et suivent les meilleures pratiques.
Quels sont les problèmes de sécurité les plus courants sur WordPress ?
Que se passe-t-il donc si vous ignorez les statistiques et ne faites rien pour sécuriser votre site WordPress ? Il s’avère que beaucoup de choses peuvent arriver. Voici quelques-uns des types de cyberattaques les plus courants auxquels les sites WordPress sont confrontés.
Tentatives de connexion par la force brute
La tentative de connexion par force brute est l’une des formes d’attaque les plus simples. Elle se produit lorsqu’un pirate utilise l’automatisation pour saisir très rapidement autant de combinaisons de nom d’utilisateur et de mot de passe qu’il le souhaite, et finit par deviner les bonnes informations d’identification.
Le piratage par force brute permet d’accéder à toutes les informations protégées par un mot de passe, et pas seulement aux identifiants de connexion.
Les scripts intersites (XSS)
Vient ensuite l’attaque XSS. Ce type d’attaque se produit lorsqu’un pirate “injecte” un code malveillant dans le backend du site web cible afin d’en extraire des informations et d’en perturber les fonctionnalités.
Le code peut être introduit dans le backend par des moyens plus complexes ou soumis simplement en tant que réponse dans un formulaire destiné à l’utilisateur. Restez vigilants.
Injections de base de données
Également connue sous le nom d’injection SQL, cette forme d’attaque se produit lorsqu’un pirate soumet une chaîne de code nuisible à un site web par le biais d’une entrée utilisateur, comme un formulaire de contact.
Le site web stocke alors le code dans sa base de données. Comme dans le cas d’une attaque XSS, le code nuisible s’exécute sur le site web pour récupérer ou compromettre des informations confidentielles stockées dans la base de données.
Portes dérobées
Les portes dérobées constituent un autre type d’attaque courant. Une porte dérobée est un fichier qui contient un code permettant à un attaquant de contourner la connexion standard à WordPress et d’accéder finalement à votre site à tout moment.
Les attaquants ont tendance à placer les portes dérobées parmi d’autres fichiers source de WordPress, ce qui les rend difficiles à trouver pour les utilisateurs inexpérimentés. Même lorsqu’elles sont supprimées, les attaquants peuvent écrire des variantes de cette porte dérobée et continuer à les utiliser pour contourner votre connexion.
Bien que WordPress limite les types de fichiers que les utilisateurs peuvent télécharger afin de réduire le risque de portes dérobées, veillez à protéger votre site web contre ce type d’attaque.
Attaques par déni de service (DoS)
L’attaque suivante est un type d’attaque courant : L’attaque par déni de service. Ces attaques empêchent les utilisateurs autorisés d’accéder à leur propre site web. Les attaques par déni de service sont le plus souvent menées en surchargeant un serveur et en provoquant une panne.
Les effets sont aggravés dans le cas d’une attaque par déni de service distribué (DDoS), une attaque par déni de service menée par de nombreuses machines à la fois.
L’hameçonnage
Vous connaissez peut-être déjà le phishing. Il se produit lorsqu’un attaquant contacte une cible en se faisant passer pour une entreprise ou un service légitime. Les tentatives d’hameçonnage incitent généralement la cible à donner des informations personnelles, à télécharger des logiciels malveillants ou même à visiter un site web dangereux qui pourrait endommager son ordinateur.
Si un pirate accède à votre compte WordPress, il peut même coordonner des attaques de phishing contre vos clients en se faisant passer pour vous. Comme vous pouvez l’imaginer, ce n’est pas très bon pour la réputation de votre entreprise.
Hotlinking
On parle de hotlinking lorsqu’un autre site web affiche un contenu intégré (généralement une image) qui est hébergé sur votre site web sans autorisation, de sorte que le contenu semble être le sien.
Bien qu’il s’apparente davantage à un vol qu’à une véritable attaque, le hotlinking est généralement illégal et pose de sérieux problèmes à la victime, qui doit payer chaque fois qu’un contenu est récupéré sur son serveur pour être affiché sur un autre site web.
Comment ces délits se produisent-ils ? Un pirate informatique doit trouver une faille dans la sécurité de votre site. Une fois qu’il l’a trouvée, il peut commencer à faire des ravages. Voici quelques vulnérabilités courantes que les pirates recherchent lorsqu’ils s’attaquent à des sites WordPress :
- Les plugins : Les plugins tiers sont à l’origine de la majorité des failles de sécurité de WordPress. Toutefois, certains d’entre eux sont d’excellents compléments qui améliorent les fonctionnalités de votre site. Les plugins étant créés par des tiers et ayant accès au backend de votre site web, ils constituent un moyen courant pour les pirates de perturber les fonctionnalités de votre site.
- Versions obsolètes de WordPress : WordPress publie parfois de nouvelles versions de son logiciel pour corriger des failles de sécurité. Lorsque les correctifs sont publiés, les vulnérabilités sont connues du public et les problèmes liés aux anciennes versions de WordPress sont souvent ciblés par les pirates. Vous pouvez éviter ce problème en gardant votre site à jour.
- La page de connexion : La page de connexion de tout site web WordPress est par défaut l’URL principale du site avec “/wp-admin” ou “/wp-login.php” ajouté à la fin. Les attaquants peuvent facilement trouver cette page et tenter une entrée par force brute. En gardant vos mots de passe variés et complexes, vous pouvez éviter qu’un pirate devine le vôtre avec précision.
- Thèmes : Oui, même votre thème WordPress peut exposer votre site à des cyberattaques. Les thèmes obsolètes peuvent être incompatibles avec la version la plus récente de WordPress, ce qui permet d’accéder facilement à vos fichiers sources. En outre, de nombreux thèmes tiers ne respectent pas les normes de WordPress en matière de code, ce qui entraîne des problèmes de compatibilité et des vulnérabilités similaires. Une fois de plus, faites vos recherches avant d’ajouter un thème à votre site.
Comment sécuriser votre site WordPress
Maintenant que nous avons passé le cap de l’effroi, examinons les différents moyens de réduire la menace d’une cyberattaque sur votre site WordPress.
La sécurité d’un site web, et par extension celle d’un site WordPress, se résume à suivre les meilleures pratiques. Si vous le faites, il n’est pas garanti que vous ne rencontrerez jamais de problème, mais les chances d’en avoir un sont nettement plus faibles.
Certaines de ces meilleures pratiques s’appliquent à tous les sites web en général (par exemple, des mots de passe forts et une authentification à deux facteurs, le protocole SSL et les pare-feu), tandis que d’autres s’appliquent spécifiquement aux sites web WordPress (par exemple, l’utilisation de plugins et de thèmes sécurisés).
Pour assurer la sécurité de votre site, il est essentiel de respecter le plus grand nombre possible de bonnes pratiques. Pour commencer, examinons les meilleures pratiques de base. Ensuite, nous vous ferons part de quelques mesures supplémentaires que vous pouvez prendre si vous êtes particulièrement préoccupé par la sécurité de votre site.u pouvez prendre si votre site est particulièrement à risque ou si vous souhaitez aller encore plus loin.
Meilleures pratiques de sécurité WordPress
Sécurisez vos procédures de connexion.
Il s’agit de la première étape, car c’est un élément essentiel de la sécurité de votre site. L’étape la plus fondamentale pour sécuriser votre site web est de protéger vos comptes contre les tentatives de connexion malveillantes. Pour ce faire, procédez comme suit :
- Utilisez des mots de passe forts : Utilisez des mots de passe forts : Nous pensions qu’il y aurait des voitures volantes dans le futur, mais depuis cette année, les gens utilisent encore “123456” comme mot de passe. Il est essentiel que tous les utilisateurs ayant accès au backend de votre site WordPress utilisent des mots de passe forts pour se connecter. Un seul mot de passe faible peut entraîner des problèmes pour tous les autres utilisateurs. Vous pouvez utiliser l’un des gestionnaires de mots de passe que nous recommandons pour générer des mots de passe forts et en assurer le suivi pour vous.
- Activez l’authentification à deux facteurs : L’authentification à deux facteurs (2FA) exige que les utilisateurs vérifient leur connexion à l’aide d’un deuxième dispositif. Il s’agit de l’un des outils les plus simples et les plus efficaces pour sécuriser votre connexion – et il fonctionne.
- Évitez de donner le nom d’utilisateur “admin” à n’importe quel compte : Admin est probablement le premier nom d’utilisateur que les attaquants utiliseront lors d’une tentative de connexion par force brute. Si vous avez déjà créé un utilisateur avec ce nom, créez un nouveau compte administrateur avec un nom d’utilisateur différent.
- Limitez les tentatives de connexion : En limitant le nombre de fois qu’un utilisateur peut entrer les mauvaises informations d’identification, vous protégez votre site. Si les utilisateurs tentent de se connecter trop souvent, le CMS les bloque, ce qui empêche une connexion par force brute de se produire. Certains services d’hébergement et pare-feu peuvent s’en charger pour vous, mais vous pouvez également installer un plugin tel que Limit Login Attempts.
- Ajouter un captcha : si cela vous semble familier, c’est parce que vous avez probablement vu cette fonction de sécurité sur de nombreux autres sites web. Elle ajoute une couche de sécurité supplémentaire à votre connexion en vérifiant que vous êtes bien une personne vivante. Vous pouvez utiliser des plugins pour ajouter un captcha à votre site. reCaptcha de BestWebSoft est l’un de ceux que nous recommandons
- Activez la déconnexion automatique : Enfin et surtout, veillez à vous déconnecter, surtout si vous utilisez un ordinateur public. La déconnexion automatique empêche les étrangers d’espionner votre compte si vous l’oubliez. Pour activer la déconnexion automatique sur votre compte WordPress, essayez le plugin Inactive Logout.
Utilisez un hébergement WordPress sécurisé.
Parlons maintenant du rôle que joue votre hébergeur dans la sécurité de WordPress. Lorsque vous choisissez le service qui héberge votre site web, de nombreux facteurs doivent être pris en compte, mais la sécurité doit être la première et la plus importante.
Faites vos recherches pour en savoir plus sur les mesures prises par l’entreprise pour protéger vos informations et se remettre rapidement sur pied en cas d’attaque. Consultez notre liste de fournisseurs d’hébergement WordPress recommandés.
Mettez à jour votre version de WordPress.
Les versions obsolètes du logiciel WordPress constituent une cible de choix. Pour éviter ce problème, assurez-vous de vérifier régulièrement les mises à jour de WordPress et de les installer dès que possible afin d’éliminer les vulnérabilités.
Pour mettre à jour WordPress, commencez par sauvegarder votre site et vérifiez que vos plugins sont compatibles avec la dernière version de WordPress. Il se peut que vous deviez également mettre à jour vos plugins en conséquence.
Après avoir mis à jour vos plugins, suivez les instructions de mise à jour sur le site web de WordPress.
Mettez à jour la dernière version de PHP
La mise à jour vers la dernière version de PHP est l’une des mesures les plus importantes que vous puissiez prendre pour assurer la sécurité de WordPress. Lorsqu’une mise à jour est prête, WordPress vous en informe sur votre tableau de bord, alors gardez l’œil ouvert.
Ensuite, vous serez invité à vous rendre sur votre compte d’hébergement pour passer à la dernière version de PHP. Si vous n’avez pas accès à votre compte d’hébergement, contactez votre développeur web pour effectuer la mise à jour.
Installez un ou plusieurs plugins de sécurité.
Heureusement, vous n’êtes pas obligé de tout faire vous-même lorsqu’il s’agit de la sécurité de votre site :
Vous pouvez également vous appuyer sur un plugin de sécurité. Nous vous recommandons vivement d’installer un ou plusieurs plugins de sécurité réputés sur votre site web. (Psst : Envisagez d’utiliser un plugin de sécurité tout-en-un tel que SiteGround Security pour protéger votre site web le plus efficacement possible).
Ces plugins effectuent à votre place une grande partie du travail manuel lié à la sécurité, comme l’analyse de votre site web pour détecter les tentatives d’infiltration, la modification des fichiers sources qui pourraient rendre votre site vulnérable, la réinitialisation et la restauration du site WordPress, et la prévention du vol de contenu comme le hotlinking.
Certains plugins réputés couvrent presque tous les aspects de cette liste. Bien entendu, cette étape ne sera pas nécessaire si vous utilisez le système de gestion de contenu de HubSpot, qui fournit une analyse des logiciels malveillants et une détection des menaces au sein de la plateforme.
Quels que soient les plugins que vous décidez d’installer, qu’ils soient liés à la sécurité ou non, assurez-vous qu’ils sont bien établis et légitimes.
Utilisez un thème WordPress sécurisé.
Tout comme vous ne devriez pas installer un plugin douteux sur votre site, résistez à l’envie d’utiliser n’importe quel thème WordPress qui a l’air bien. Pourquoi ? Parce qu’il pourrait ne pas être sûr, ce qui exposerait votre site à des problèmes majeurs. Pour éviter les vulnérabilités causées par un thème WordPress, choisissez-en un qui soit conforme aux normes de WordPress.
Pour vérifier si votre thème actuel répond aux exigences de WordPress, copiez l’URL de votre site web (ou l’URL de n’importe quel site WordPress ou de n’importe quelle démo en direct d’un thème) dans le validateur du W3C. Si vous constatez que votre thème n’est pas conforme, recherchez un nouveau thème dans le répertoire officiel des thèmes de WordPress.
Tous les thèmes de ce répertoire sont compatibles avec le logiciel WordPress.
Utilisez un thème WordPress sécurisé.
Tout comme vous ne devriez pas installer un plugin douteux sur votre site, résistez à l’envie d’utiliser n’importe quel thème WordPress qui a l’air bien. Pourquoi ? Parce qu’il pourrait ne pas être sûr, ce qui exposerait votre site à des problèmes majeurs. Pour éviter les vulnérabilités causées par un thème WordPress, choisissez-en un qui soit conforme aux normes de WordPress.
Pour vérifier si votre thème actuel répond aux exigences de WordPress, copiez l’URL de votre site web (ou l’URL de n’importe quel site WordPress ou de n’importe quelle démo en direct d’un thème) dans le validateur du W3C.
Si vous constatez que votre thème n’est pas conforme, recherchez un nouveau thème dans le répertoire officiel des thèmes de WordPress. Tous les thèmes de ce répertoire sont compatibles avec le logiciel WordPress.
Activez SSL/HTTPS
SSL (Secure Sockets Layer) est la technologie qui crypte les connexions entre votre site web et les navigateurs des visiteurs, garantissant que le trafic entre votre site et les ordinateurs de vos visiteurs est à l’abri des interceptions indésirables.
Si vous utilisez WordPress, en fonction de votre cas d’utilisation, vous pouvez choisir de le faire manuellement ou d’utiliser un plugin SSL dédié. Non seulement cela améliorera le référencement, mais cela jouera également un rôle direct dans la première impression que vos visiteurs auront de votre site web.
Google Chrome avertit même les utilisateurs si le site qu’ils visitent ne respecte pas le protocole SSL, ce qui réduit directement le trafic sur le site web.
Pour savoir si votre site WordPress respecte le protocole SSL, visitez la page d’accueil de votre site WordPress. Si l’URL de la page d’accueil commence par “https://” (le “s” signifie “secure”), votre connexion est sécurisée par SSL. Si l’URL commence par “http://”, vous devez obtenir un certificat SSL pour votre site web.
Installer un pare-feu
Un pare-feu se situe entre le réseau qui héberge votre site WordPress et tous les autres réseaux et empêche automatiquement le trafic non autorisé de pénétrer dans votre réseau ou votre système depuis l’extérieur. Ils empêchent les activités malveillantes en éliminant la connexion directe entre votre réseau et les autres réseaux.
Nous recommandons d’installer un plugin WAF (Web Application Firewall) pour protéger votre site WordPress. Avec le CMS Hub, votre site sera équipé d’un WAF au sein de la plateforme. Comme pour tout le reste de cette liste, réfléchissez bien au type de pare-feu et au plugin qui répondent le mieux à vos besoins avant de faire votre choix.
Sauvegardez votre site web.
Être victime d’un piratage informatique est pénible. C’est comme une violation de votre espace numérique, et si vous perdez toutes vos données à la suite de ce piratage, c’est encore plus pénible.
Vous pouvez toutefois éviter cela en vous assurant que votre site web est sauvegardé par WordPress et votre hébergeur. En cas d’attaque (ou de tout autre incident) entraînant une perte de données, vous serez en mesure d’y accéder à nouveau.
Nous recommandons également que les sauvegardes soient automatiques.
Effectuer régulièrement des analyses de sécurité de WordPress.
Enfin, nous vous recommandons d’effectuer des contrôles de routine sur votre site. Essayez de le faire au moins une fois par mois. Et non, vous n’êtes pas obligé de le faire vous-même – il existe des plugins de sécurité qui peuvent le faire pour vous.
Une fois que vous avez pris ces mesures de base, vous pouvez passer à des mesures plus avancées pour sécuriser votre site web WordPress.
Meilleures pratiques de sécurité avancées pour WordPress
Filtrer les caractères spéciaux de la saisie de l’utilisateur.
Si une partie de votre site web accepte une réponse de la part des visiteurs, qu’il s’agisse d’un formulaire de paiement, d’un formulaire de contact ou même d’une section de commentaires sur un article de blog, il y a une possibilité d’attaque XSS ou d’injection de base de données.
Les pirates peuvent saisir un code malveillant dans l’un de ces champs de texte et perturber le système dorsal de votre site web.
C’est regrettable, car il est important de disposer de ces outils sur votre site pour obtenir des informations de la part d’utilisateurs légitimes.
Pour éviter ce problème, veillez à filtrer les caractères spéciaux des données saisies par les utilisateurs avant qu’elles ne soient traitées par votre site et stockées dans une base de données. Vous pouvez également utiliser un plugin pour détecter les codes malveillants.
Vous pouvez également utiliser un plugin de formulaire WordPress pour filtrer automatiquement ces caractères.
Limiter les autorisations des utilisateurs de WordPress.
De nombreux sites WordPress disposent de plusieurs comptes d’utilisateurs. Cependant, nous recommandons de modifier les rôles de chaque utilisateur afin de limiter leur accès à ce dont ils ont besoin. WordPress propose six rôles pour chaque utilisateur.
En limitant le nombre d’utilisateurs ayant des droits d’administrateur, vous réduisez le risque qu’un pirate s’introduise par force brute dans un compte d’administrateur et vous limitez les dégâts qu’il peut causer s’il devine correctement les informations d’identification d’un utilisateur.
Utilisez la surveillance de WordPress.
Il est impératif de mettre en place un système de surveillance pour votre site web. Ce système vous alertera de toute activité suspecte sur votre site. Dans l’idéal, les autres mesures que vous avez prises auraient permis d’éviter ce genre d’activité, mais il vaut mieux s’en rendre compte le plus tôt possible. Vous pouvez utiliser un plugin de surveillance WordPress pour recevoir une alerte en cas de violation.
Enregistrer l’activité de l’utilisateur
Voici un autre moyen d’anticiper les problèmes avant qu’ils ne surviennent : Créez un journal de toutes les activités des utilisateurs sur votre site web et vérifiez périodiquement ce journal pour détecter toute activité suspecte.
De cette façon, vous verrez si un autre utilisateur agit de manière suspecte (par exemple, en essayant de changer les mots de passe, en modifiant les fichiers de thèmes ou de plugins, ou en installant ou en désactivant des plugins sans autorisation).
Les journaux sont également utiles pour le nettoyage après un piratage, car ils vous indiquent ce qui s’est mal passé et à quel moment.
Cela ne veut pas dire que tous les changements de mots de passe ou toutes les modifications de fichiers sont toujours des signes de la présence d’un pirate au sein de votre équipe. Cependant, si vous employez de nombreux contributeurs externes et que vous leur donnez des autorisations d’accès, c’est toujours une bonne idée de garder un œil sur ce qui se passe.
De nombreux plugins WordPress créent des journaux d’activité, et il existe plusieurs plugins de journalisation dédiés à WordPress, comme WP Activity Log ou le plugin gratuit Activity Log.
Modifier l’URL de connexion par défaut de WordPress
Comme nous l’avons mentionné, l’URL par défaut de la page de connexion de tout site WordPress est trop facile à trouver. Heureusement, il existe un moyen de la modifier pour renforcer votre sécurité. Des plugins comme WPS Hide Login modifient l’URL de la page de connexion pour vous.
Désactiver l’édition de fichiers dans le tableau de bord de WordPress
Par défaut, WordPress permet aux administrateurs de modifier le code de leurs fichiers directement avec l’éditeur de code. Cela donne aux attaquants un moyen facile de modifier vos fichiers s’ils obtiennent un accès à votre compte.
Si un plugin n’a pas déjà désactivé cette fonctionnalité, vous pouvez faire un peu de codage pour la désactiver vous-même. Ajoutez le code ci-dessous à la fin du fichier wp-config.php :
// Disallow file edits define( 'DISALLOW_FILE_EDIT', true );
Modifiez le préfixe de votre fichier de base de données
Les noms des fichiers qui constituent votre base de données WordPress commencent par défaut par “wp_. Vous l’avez deviné : Les pirates peuvent tirer parti de ce paramètre pour localiser les fichiers de votre base de données par leur nom et procéder à des injections SQL.
Voici une bonne nouvelle : Il existe une solution simple. Il suffit de remplacer le préfixe par quelque chose de différent, comme “wpdb_” ou “wptable_”. Vous pouvez même le faire lors de l’installation du CMS WordPress. Si votre site est déjà configuré de la sorte, vous pouvez renommer ces fichiers.
Dans ce cas, nous vous suggérons d’utiliser un plugin pour gérer ce processus, car votre base de données stocke tout votre contenu, et une mauvaise configuration pourrait endommager votre site web. Recherchez la possibilité de modifier les préfixes de table parmi les fonctionnalités de votre plugin de sécurité préféré.
Désactivez votre fichier xmlrpc.php
XML-RPC est un protocole de communication qui permet au CMS WordPress d’interagir avec des applications web et mobiles externes. Depuis l’intégration de l’API REST de WordPress, le XML-RPC est beaucoup moins utilisé qu’auparavant. Cependant, certains l’utilisent encore pour lancer de puissantes attaques sur les sites WordPress.
En effet, la technologie XML-RPC permet aux attaquants de soumettre des requêtes contenant des centaines de commandes, ce qui facilite les attaques par force brute. XML-RPC est également moins sûr que REST car ses requêtes contiennent des informations d’authentification qui peuvent être exploitées.
Si vous n’utilisez pas XML-RPC, vous pouvez désactiver le fichier xmlrpc.php. Vérifiez d’abord si votre site utilise ce fichier. Insérez votre URL dans ce validateur XML-RPC pour vérifier si votre site utilise actuellement le protocole. Si ce n’est pas le cas, le moyen le plus simple de désactiver ce fichier est d’utiliser un plugin tel que Disable XML-RPC-API. Votre plugin de sécurité WordPress peut également être en mesure de le faire pour vous.
Envisager de supprimer le compte administrateur par défaut de WordPress
Nous avons parlé de la modification du nom d’utilisateur “admin” pour le compte d’administration par défaut de WordPress, mais si vous voulez aller plus loin, vous pouvez envisager de supprimer complètement ce compte par défaut.
À partir de là, vous pouvez créer un nouveau compte avec les mêmes droits d’administrateur. C’est une bonne chose à faire si vous pensez que votre nom d’utilisateur et votre mot de passe d’origine ont été découverts et que vous voulez éviter que cela ne se reproduise à l’avenir.
Que faire en cas de piratage informatique ?
Vous avez donc mis en œuvre tout ou partie des mesures susmentionnées et vous souhaitez maintenant être mieux préparé au cas où quelque chose tournerait mal. Ou bien, quelque chose a mal tourné. Dans tous les cas, voici ce qu’il faut faire :
Restez calme
Il est naturel de paniquer dans une situation incertaine où l’on a l’impression de ne rien contrôler. Cependant, il est important d’essayer de rester aussi calme que possible. Malheureusement, une faille de sécurité peut arriver à tout le monde, même à ceux qui ont travaillé avec tant de diligence pour protéger leur site. Gardez les idées claires afin de pouvoir localiser la source de la faille et commencer à la résoudre.
Activez le mode maintenance sur votre site web
Ensuite, il est temps de limiter l’accès au site. Cette mesure permet de tenir les visiteurs à l’écart et, par conséquent, de les protéger contre les attaques. Il est impératif de ne pas rouvrir votre site tant que vous n’êtes pas certain que la situation est totalement maîtrisée.
Commencez à rédiger un rapport d’incident
L’étape suivante consiste à rassembler les faits que vous utiliserez dans un rapport d’incident. Ces faits peuvent également servir d’indices pour résoudre le problème. Prenez note de ce qui suit :
- La date à laquelle vous avez découvert le problème.
- Ce qui vous a amené à penser que vous étiez attaqué.
- Votre thème actuel, vos plugins actifs, votre hébergeur et votre fournisseur de réseau.
- Les modifications récentes que vous avez apportées à votre site WordPress avant l’incident.
- Un journal de vos actions lors de la recherche et de la résolution du problème.
- Mettez ce document à jour au fur et à mesure que des informations supplémentaires sont disponibles.
Réinitialiser les accès et les autorisations
Modifiez tous les mots de passe des comptes de votre site WordPress afin d’empêcher toute modification ultérieure du site. Ensuite, forcez la déconnexion de tous les utilisateurs encore connectés.
Il est fortement recommandé à tous les titulaires de comptes de mettre à jour les mots de passe de leurs appareils professionnels et personnels, ainsi que de leurs comptes personnels, car vous ne pouvez pas savoir avec certitude ce à quoi les attaquants ont pu accéder en dehors de votre site WordPress. Oui, c’est un peu fastidieux, mais cela peut aider à s’assurer que l’impact de l’attaque est isolé.
Diagnostiquer le problème
Dans certains cas, vous pouvez rechercher le problème vous-même à l’aide d’un plugin de sécurité. Toutefois, selon l’ampleur de l’attaque, vous devrez peut-être faire appel à un professionnel qui diagnostiquera le problème et réparera votre site.
Quelle que soit la méthode choisie, procédez à une analyse de sécurité de votre site et de vos fichiers locaux afin de supprimer tout fichier ou code nuisible que les attaquants auraient pu laisser et de restaurer tout fichier manquant.
Examinez les sites web et les canaux connexes
Avez-vous des comptes pour d’autres plateformes liées à votre site web ? Si c’est le cas, vous devez prendre des précautions pour les verrouiller également. Par exemple, si votre site web est lié à votre compte Instagram, assurez-vous que le pirate n’a pas publié sur votre compte en votre nom. Il est essentiel que vous changiez également les mots de passe de tous les comptes liés.
Réinstaller la sauvegarde, les thèmes et les plugins
Réinstallez votre thème et vos modules d’extension (en vérifiant qu’ils sont sûrs). Si vous disposez d’une sauvegarde, restaurez la sauvegarde la plus récente avant l’incident.
Changez à nouveau les mots de passe de votre site
En matière de sécurité WordPress, on n’est jamais trop prudent. Vous avez déjà réinitialisé vos mots de passe, mais les informations d’identification ont pu être compromises pendant que vous régliez le problème. On n’est jamais trop prudent. Par conséquent, envisagez de les modifier à nouveau.
Alertez vos clients et les parties prenantes
Une fois que votre site est à nouveau opérationnel, envisagez sérieusement de contacter vos clients et de les avertir de l’attaque, en particulier si des informations personnelles ont été consultées et ont fait l’objet d’une fuite. C’est la bonne chose à faire, mais préparez-vous à des réactions négatives de la part de vos clients.
Vérifiez que votre site n’est pas sur la liste noire de Google
Il est possible que votre site web ait été placé sur la liste noire de Google à la suite de l’attaque. Si c’est le cas, Google avertira subtilement les utilisateurs qu’ils ne doivent pas entrer sur votre site :
Si l’établissement d’une liste noire est nécessaire pour éloigner les utilisateurs des sites Web nuisibles, elle aura également pour effet de détourner la majeure partie du trafic de votre site légitime. Sucuri dispose d’un outil gratuit permettant d’analyser votre site Web pour déterminer s’il figure sur la liste noire de Google.
Suivez les bonnes pratiques décrites ci-dessus
En prenant toutes les précautions possibles pour limiter la possibilité d’une nouvelle attaque, vous aurez l’esprit tranquille. Espérons que ce genre d’incident ne se reproduira pas. Mais si c’est le cas, vous serez en bien meilleure posture, car vous saurez mieux comment vous y prendre.
Ne considérez pas la sécurité comme acquise.
Malheureusement, les cybercriminels évoluent constamment et apprennent de nouvelles façons d’exploiter la présence en ligne des entreprises à leur détriment. Heureusement, les ingénieurs en sécurité développent sans cesse de nouvelles méthodes pour les arrêter.
C’est le cycle sans fin de la sécurité sur l’internet, et nous sommes tous pris entre deux feux. Gardez toujours à l’esprit la sécurité de vos clients, afin qu’ils aient une raison de moins de s’inquiéter.
