comment les sites WordPress sont piratés
En raison de sa popularité généralisée en tant que CMS, WordPress est également une cible populaire pour les pirates.
Les attaques de piratage sont principalement opportunistes plutôt que sur le ciblage (bien que les sites Web de grandes marques puissent être spécifiquement ciblés). La plupart des attaques sont automatisées, avec des bots cherchant haut et bas sur Internet des faiblesses de sécurité à exploiter.
Les attaques sont souvent réalisées via :
- Un hébergement de site web non sécurisé
- Des détails de connexion – par exemple, en tentant plusieurs combinaisons aléatoires de nom d’utilisateur et de mot de passe
- Des faiblesses de sécurité dans le CMS, le plugin ou le logiciel de thème – généralement lorsqu’il n’a pas été mis à jour
Les pirates ont une grande variété de motifs différents, mais il s’agit souvent de profit. Le piratage de sites pour distribuer des logiciels malveillants, obtenir des données sur les utilisateurs, envoyer des courriels de spam ou rediriger les visiteurs du site peut être extrêmement lucratif.
Ces failles de sécurité peuvent avoir un impact extrêmement négatif sur votre site Web et votre entreprise – en sapant la confiance des utilisateurs, en provoquant des violations légales et en coûtant potentiellement des milliers de livres. Il est donc vital de protéger votre site WordPress contre le piratage.
Mon site WordPress est-il vulnérable au piratage ?
Les débutants et les propriétaires de petits sites WordPress pensent souvent qu’ils n’ont pas besoin de se soucier de la sécurité. Ils supposent que leur site sera trop petit et insignifiant pour intéresser les hackers.
Cette hypothèse est fausse.
Les sites WordPress de toutes tailles sont piratés. Les pirates utilisent des robots automatisés pour scanner Internet à la recherche de sites présentant des faiblesses en matière de sécurité et ils piratent dès qu’ils en ont l’occasion.
Une autre chose clé à réaliser est que vous pouvez même ne pas être conscient lorsque les pirates tentent de s’introduire sur votre site. À moins que vous ne receviez régulièrement des notifications de sécurité sur les tentatives de piratage, vous ne le découvrirez probablement que lorsqu’un piratage réussira et que quelque chose sur votre site web ira mal.
Le message à retenir est que tous les sites sont vulnérables au piratage – et qu’il vaut mieux prévenir que guérir. Assurez-vous d’installer un plugin de sécurité et de prendre d’autres mesures de sécurité préventives pour garder votre site en sécurité.
Comment battre les hackers de WordPress
Nous partageons maintenant les 10 meilleures façons de garder votre site Web WordPress sécurisé et de l’empêcher d’être piraté.
1) Choisissez un fournisseur d’hébergement sécurisé
Tous les bons fournisseurs d’hébergement incluront une protection de sécurité pour s’assurer que les informations de votre site Web sont gardées en sécurité sur leurs serveurs.
Lorsque vous choisissez un fournisseur d’hébergement, assurez-vous de vérifier les mesures de sécurité dont il dispose (comme les pare-feu et le FTP sécurisé), comment il surveille son réseau de serveurs et comment il répond à toute violation de sécurité.
Votre site WordPress peut être particulièrement vulnérable au piratage si vous avez un plan d’hébergement partagé, car les pirates peuvent potentiellement utiliser d’autres sites sur le même serveur pour accéder au vôtre.
L’option d’hébergement la plus sûre – mais aussi la plus coûteuse – est un serveur dédié. Cela vaut la peine de l’envisager si vous avez des niveaux de trafic particulièrement élevés ou si vous détenez des données sensibles sur votre site.
2) Obtenez un plugin de sécurité
Posséder un plugin de sécurité de haute qualité est un must-have pour éviter que votre site WordPress ne soit piraté.
Les plugins de sécurité comprennent généralement :
- un pare-feu pour bloquer le trafic suspect
- une protection par force brute contre les multiples tentatives de connexion aléatoires
- un scanner qui vérifie vos fichiers, thèmes et plugins pour les problèmes de sécurité
- des notifications de sécurité régulières
Nous recommandons Wordfence – un excellent plugin de sécurité gratuit. Une fois installé, » Wordfence » apparaîtra dans le menu de gauche de votre tableau de bord WordPress. Vous pouvez cliquer ici à tout moment pour analyser votre site, voir les dernières notifications et obtenir des recommandations pour améliorer la sécurité du site.
3) Choisissez un thème sécurisé
Choisir le bon thème pour votre site est crucial. Bien sûr, il doit avoir le bon look et les bonnes fonctionnalités pour votre organisation. Mais il doit également être robuste et sécurisé.
Un thème sécurisé devra :
- être mis à jour et patché régulièrement
- suivre de bonnes normes de codage
- ne pas être associé à des bugs ou des erreurs de compatibilité
Avec plus de 7 000 thèmes WordPress disponibles, il peut être délicat de savoir par où commencer !
La meilleure façon de choisir un thème sécurisé est de regarder sur WordPress.org. Là, vous pouvez parcourir les critiques de thèmes, vérifier le nombre d’installations d’un thème et voir quand le thème a été mis à jour pour la dernière fois – toutes de bonnes indications de sécurité.
Vous pouvez également demander à votre agence WordPress des recommandations de thèmes qui répondront aux besoins particuliers de votre site Web et de votre organisation.
4) Maintenir WordPress à jour
Maintenir WordPress à jour est une autre mesure de sécurité importante. Les mises à jour du logiciel WordPress sont effectuées régulièrement pour optimiser les performances et corriger les problèmes de sécurité au fur et à mesure qu’ils sont découverts.
Il est possible d’appliquer des mises à jour automatiques pour la plupart des versions de base de WordPress, de sorte que votre site est mis à jour en arrière-plan sans que vous ayez à faire quoi que ce soit. Cependant, vous devez toujours agir manuellement sur les versions plus importantes – assurez-vous de sauvegarder votre site avant !
Les messages de mise à jour apparaîtront sur votre tableau de bord WordPress dès qu’ils seront disponibles. Il suffit de cliquer sur eux pour agir. C’est une bonne idée de mettre à jour les plugins et les thèmes régulièrement aussi.
5) Utilisez des détails de connexion sécurisés
Comme mentionné ci-dessus, l’une des principales façons dont les pirates peuvent accéder à votre site WordPress est par le biais de tentatives de connexion automatisées » devinées « . Plus votre nom d’utilisateur et votre mot de passe sont évidents, plus ces tentatives ont de chances de réussir.
Pour prévenir le piratage, assurez-vous de choisir un nom d’utilisateur atypique. Cela signifie essentiellement ne pas utiliser » admin « , qui est si commun que c’est généralement le premier nom d’utilisateur que les pirates essaieront.
Deuxièmement, optez pour un mot de passe sécurisé comprenant un mélange de lettres, de symboles et de chiffres. Pour une sécurité maximale, il doit comporter au moins 12 caractères et ne pas inclure de mots du dictionnaire.
En plus de sécuriser votre connexion au tableau de bord WordPress, assurez-vous de choisir des noms d’utilisateur et des mots de passe sécurisés pour vos autres comptes liés au site Web, comme votre adresse e-mail personnalisée. Sinon, ceux-ci pourraient également être utilisés pour pirater votre site.
6) Ajoutez l’authentification à deux facteurs
Vous pouvez renforcer encore plus votre connexion WordPress en activant l’authentification à deux facteurs. Ceci est particulièrement utile si vous avez plusieurs utilisateurs qui se connectent au back-end de votre site.
Avec l’authentification à deux facteurs, les utilisateurs se connectent en deux étapes. Tout d’abord, ils saisissent leur nom d’utilisateur et leur mot de passe. Ensuite, ils doivent saisir un code de passe à usage unique pour vérifier leur identité.
Avec le plugin de sécurité Wordfence que nous avons recommandé ci-dessus, l’authentification à deux facteurs est facile à activer. Elle utilise une application Authenticator pour générer des codes de passe pour les utilisateurs.
Pour configurer les choses, allez dans Wordfence > Sécurité de connexion dans votre tableau de bord WordPress, et copiez la clé donnée. Téléchargez ensuite Google Authenticator (ou une autre application d’authentification), et entrez cette clé.
À ce stade, l’application fournira un code à six chiffres. Il suffit de le saisir à nouveau sur votre tableau de bord WordPress et de cliquer sur » Activer « .
L’authentification à deux facteurs sera maintenant activée. Cela signifie que chaque fois que vous essayez de vous connecter sur WordPress, vous serez invité à vous rendre sur votre application d’authentification et à collecter un code de passe.
7) Désactiver l’édition de fichiers
WordPress possède un éditeur de code qui vous permet de modifier les fichiers de votre site via votre tableau de bord. Alors que c’est évidemment une fonctionnalité utile, c’est aussi un énorme passif en termes de piratage. Nous recommandons donc de la désactiver.
Une autre façon d’empêcher l’édition des fichiers est de désactiver l’exécution des fichiers PHP dans vos dossiers /wp-content/uploads/. Pour cela, ouvrez Notepad – ou un éditeur de texte similaire – et collez ce qui suit :
<Files *.php>
deny from all
</Files>
Si vous enregistrez ceci en tant que .htaccess et téléchargez le fichier dans les dossiers /wp-content/uploads/ de votre site Web, cela empêchera également les pirates de faire des attaques par porte dérobée sur votre exécution PHP.
8) Analysez votre site Web et votre ordinateur
Il est important d’analyser régulièrement votre site Web pour vérifier la présence de logiciels malveillants, de virus et de code suspect. Si vous utilisez le plugin Wordfence, vous pouvez le faire en allant dans Wordfence > Scan et en cliquant sur » Démarrer un nouveau scan « .
S’il y a des problèmes, Wordfence suggérera comment les corriger et sécuriser à nouveau votre site. Nous recommandons d’effectuer un scan au moins une fois par mois – si vous pouvez le faire plus fréquemment, c’est encore mieux !
Cependant, il ne sert à rien de compter sur le fait d’avoir un site sécurisé si l’ordinateur à partir duquel vous exploitez le site est bugué ou infecté. Assurez-vous donc de scanner régulièrement votre ordinateur ou votre appareil également.
Vous devriez utiliser un bon logiciel antivirus sur votre appareil, et vous assurer de mettre à jour votre système régulièrement. Nous vous recommandons également de vérifier les paramètres de confidentialité de votre navigateur pour éviter d’être piraté lorsque vous naviguez sur Internet.
9) Utilisez HTTPS
Avoir un site HTTPS signifie que les communications entre votre site Web et les navigateurs des utilisateurs sont cryptées. C’est donc un autre moyen clé de prévenir le piratage.
Si vous n’avez pas déjà un site HTTPS, il est très simple de le transférer. Il vous suffit d’obtenir un certificat SSL (Secure Sockets Layer), qui est disponible pour tous les sites Web, gratuitement, auprès de Let’s Encrypt.
Si vous avez déjà un certificat SSL, alors assurez-vous de définir un rappel de calendrier pour le renouveler tous les deux ans. Sinon, il est facile d’oublier et de laisser le statut HTTPS de votre site – et ses bonnes références de sécurité – devenir caduc.
10) Sauvegarde, sauvegarde, sauvegarde !
Alors que notre dernier conseil n’empêche pas réellement le piratage, c’est probablement l’étape la plus importante à prendre juste au cas où votre site serait piraté.
En faisant des sauvegardes régulières de votre site, vous pouvez rétablir votre site à nouveau rapidement si jamais nécessaire. Sans sauvegarde, vous pourriez risquer de perdre tout ce que vous avez conçu, publié ou écrit sur votre site.
La façon de sauvegarder votre site WordPress dépendra du type d’hébergement que vous avez. Assurez-vous de parler à votre fournisseur d’hébergement ; ils peuvent inclure des sauvegardes dans le cadre de votre forfait d’hébergement.
Alternativement, parlez à votre agence WordPress ou installez un plugin de sauvegarde. Quelle que soit la façon dont vous le faites, assurez-vous de sauvegarder votre site WordPress régulièrement et de stocker vos fichiers de sauvegarde en toute sécurité afin que vous sachiez qu’ils sont là si jamais vous en avez besoin.