WordPress est, de loin, le CMS le plus populaire au monde. C’est aussi l’un des plus sécurisés.
Cela n’est peut-être pas évident, compte tenu du nombre d’articles que vous lisez sur les attaques de sécurité contre les sites Web WordPress. La vérité est que lorsque vous alimentez plus de 40% des sites Web du monde , vous êtes forcément une cible.
Compte tenu de cette exposition, WordPress dispose d’un éventail impressionnant de protections potentielles. Cependant, les nombreuses pièces mobiles qui se réunissent pour créer un site Web peuvent toujours créer des failles de sécurité.
Alors oui, WordPress peut être sécurisé. Mais le degré de protection de votre site Web et de vos données principales dépend de la façon dont vous gérez activement vos paramètres de sécurité et du plan que vous avez mis en place pour prévenir et atténuer les attaques.
Inévitablement, certaines vulnérabilités de sécurité WordPress apparaîtront au fil du temps. Dans un monde où 30 000 sites Web sont piratés chaque jour, c’est presque inévitable.
La clé d’une gestion de site Web réussie consiste donc à s’assurer que vous comprenez les défauts potentiels et que vous mettez en place des plans pour vous en protéger. Sur WordPress, ce processus est relativement simple, tant que vous savez où chercher et comment résoudre les problèmes les plus courants. Vous avez eu de la chance ; c’est exactement ce que nous allons couvrir dans ce guide.
Vulnérabilité 1 : Sécurité de connexion
Vous, et toute personne ayant accès à l’édition du backend de votre site Web, avez des identifiants de connexion. La sécurité de ces connexions joue un rôle majeur dans la sécurité de votre site Web.
Qu’est-ce que c’est ?
La sécurité de vos connexions d’administrateur est peut-être le problème de sécurité le plus simple avec WordPress. Parce que ce CMS est si largement utilisé, l’écran de connexion administrateur (qui est identique pour tous les sites Web de la plate-forme) est une cible facile pour les utilisateurs malveillants.
Le plus souvent, la sécurité de votre connexion est compromise en raison d’attaques dites de « force brute ». Voici comment la société de cybersécurité Kaspersky décrit cette méthode de piratage ancienne mais éprouvée :
Une attaque par force brute utilise des essais et des erreurs pour deviner les informations de connexion, les clés de cryptage ou trouver une page Web cachée. Les pirates utilisent toutes les combinaisons possibles en espérant deviner correctement. Ces attaques sont effectuées par « force brute », ce qui signifie qu’elles utilisent des tentatives excessives de force pour essayer de « forcer » leur chemin dans votre (vos) compte(s) privé(s).
En d’autres termes, les pirates créent un script qui parcourt des millions de combinaisons potentielles de nom d’utilisateur et de mot de passe en une fraction de seconde. Une fois qu’ils ont de la chance, le script note les codes qui les ont amenés là-bas, offrant un accès facile par la porte d’entrée.
Cependant, la sécurité de votre connexion n’est pas toujours compromise par la force brute. Des mots de passe d’administrateur faciles à deviner ( voici une liste ) peuvent permettre l’accès à quiconque est prêt à tenter le coup. Une fois entrés, ils pourront voir et modifier tout ce que vous pouvez.
Comment y remédier ?
Heureusement, la solution à cette faille de sécurité est assez simple : améliorez vos mots de passe. Même les attaques par force brute sophistiquées auront du mal à deviner les mots de passe imprévisibles composés de plusieurs types de caractères. Les mots de passe forts avec des combinaisons de lettres, de chiffres et de caractères spéciaux rendent plus difficile l’intrusion des pirates dans votre site.
Ce guide sur la création d’un mot de passe fort est une excellente ressource pour commencer. Faites-le correctement, et il faudra même des années à un algorithme de force brute pour le déchiffrer. Et si tout cela devient trop complexe pour votre propre bien, l’ utilisation d’un gestionnaire de mots de passe peut vous aider à garder une trace et à rester fort.
Vous pouvez également prendre d’autres mesures. L’authentification en deux étapes rend vos mots de passe administrateur impossibles à déchiffrer. Vous voudrez peut-être également vous débarrasser de votre compte « admin » standard, qui a tendance à être le premier en ligne pour une attaque d’administrateur. Avec une authentification en deux étapes ou à deux facteurs, cela permet de s’assurer que seules les personnes autorisées peuvent accéder à votre site.
Une autre suggestion est de limiter ceux qui ont accès à votre site Web en premier lieu. Cela réduit le nombre de comptes que les pirates peuvent prendre en charge pour y accéder. De plus, limiter le nombre d’utilisateurs administrateurs permet de réduire le nombre d’accès et la puissance de chaque utilisateur administrateur.
Pour une protection supplémentaire, vous pouvez vous connecter et mettre à jour WordPress grâce à l’utilisation d’un plugin WordPress, vous pouvez limiter les tentatives de connexion et augmenter votre sécurité WordPress (faites attention aux plugins utilisés comme indiqué dans notre section suivante.) Cela peut finalement garder votre site WordPress plus sûr. des pirates utilisant des attaques par force brute pour deviner votre mot de passe. Limitez également les tentatives de connexion pour des rôles/postes administratifs spécifiques au sein du site Web – plus le rôle/poste est élevé, plus la sécurité est nécessaire !
Vulnérabilité 2 : Logiciels ou plugins obsolètes
Vous entendrez souvent les experts de WordPress et de la cybersécurité déplorer les dangers des plugins. N’oublions pas que les plugins peuvent être géniaux dans le bon usage, mais ils doivent être gérés pour éviter les risques de sécurité.
Qu’est-ce que c’est ?
WordPress met à jour fréquemment. De manière générale, nous vous recommandons de vérifier les mises à jour au moins une fois par mois. Si vous arrêtez de mettre à jour votre logiciel principal, vous risquez d’ouvrir votre site à des failles de sécurité et à des vulnérabilités de sécurité que les mises à jour sont spécifiquement conçues pour résoudre.
Il en va de même pour les plugins, qui sont une porte dérobée pratique pour les pirates si le logiciel principal est bien protégé. Si vous ne recherchez pas fréquemment les mises à jour, vous pourriez vous ouvrir aux vulnérabilités de WordPress et aux problèmes de sécurité courants de WordPress.
Ignorez ces mises à jour et votre site Web devient vulnérable. Les utilisateurs malveillants ont désormais accès à votre code backend, qu’ils peuvent utiliser pour installer des logiciels malveillants ou des trackers qui compromettent finalement vos données.
Comment y remédier ?
La réponse simple est de vous assurer que votre logiciel WordPress de base et vos plugins et thèmes WordPress sont toujours à jour. Voici comment vous pouvez y parvenir.
Dans votre système WordPress, accédez à l’onglet Mises à jour, qui vous donne un aperçu facile de ce qui doit être mis à jour et de ce qui est déjà sur la dernière version. Vous pouvez également vérifier les mises à jour en cliquant sur un bouton et voir l’horodatage de la dernière fois que vous avez effectué cette vérification.
Les mises à jour de vos plugins apparaîtront dans l’onglet Plugins du même système. Vous devrez les mettre à jour individuellement, ce qui peut prendre un certain temps.
Vérifiez fréquemment les deux onglets. Une fois par mois est une bonne cadence, mais il n’y a pas de pénalités pour des contrôles plus réguliers. Réservez un peu de temps pour exécuter les mises à jour, en vous assurant de ne jamais rencontrer de contraintes de temps avec d’autres ajustements ou tâches d’administration en même temps.
Vulnérabilité 3 : Malware
Vous avez probablement entendu le terme comme une chose à éviter. Mais qu’est-ce que c’est et comment l’éviter ? Examinons les logiciels malveillants en tant que vulnérabilité de sécurité WordPress courante.
Qu’est-ce que c’est ?
Malware est l’abréviation de « logiciel malveillant ». Il existe en tant que menace dans tout ce qui concerne le codage et la technologie. Dans les sites Web en particulier, ce sont le plus souvent quelques lignes de codes qui sont introduites clandestinement dans votre site Web afin de suivre et d’envoyer des rapports sur les données sensibles que vous préférez garder pour vous.
Les logiciels malveillants peuvent voler des informations de carte de crédit sur votre site de commerce électronique. Il peut vérifier les connexions des clients ou commencer à suivre les utilisateurs de votre site Web vers d’autres destinations. Il peut même être utilisé pour spammer le contenu de votre site.
En d’autres termes, ce n’est pas nécessairement le type de parasite que vous voulez laisser entrer.
Comment y remédier ?
La raison la plus courante pour laquelle les logiciels malveillants se retrouvent sur les sites Web WordPress sont des plugins et des thèmes obsolètes, et nous avons déjà couvert ceux ci-dessus. Mais nous devons également mentionner que certains plugins sont livrés avec des logiciels malveillants intégrés. Naturellement, vous voulez éviter ceux-ci.
Cela signifie que vous devez être judicieux avec tout plugin qui se dirige vers votre site. Dans son répertoire de plugins , WordPress répertorie les informations de base sur chacune de ses 58 000+ options, y compris les informations de sécurité de base. C’est un bon début.
Il est également utile de travailler avec un partenaire de développement qui peut examiner les plugins de manière plus approfondie en votre nom. De manière générale, il vaut mieux payer un peu plus pour un plugin bien vérifié que d’en obtenir un gratuitement accompagné d’un ajout de malware caché et inutile.
Cependant, il ne suffit pas d’être attentif au début. Il permet également d’exécuter régulièrement l’un des nombreux scanners de sécurité WordPress disponibles qui peuvent vous aider à trouver et à supprimer les logiciels malveillants.
Vulnérabilité 4 : Hameçonnage
Le nom est quelque peu explicite, si vous ignorez le ph par lequel il commence pendant une seconde. Une attaque de phishing inclut les pirates qui recherchent littéralement les informations personnelles de vos clients, en utilisant les vulnérabilités de votre site Web.
Qu’est-ce que c’est ?
Voici comment l’hameçonnage a tendance à fonctionner : grâce à une vulnérabilité dans le code de votre site Web, un utilisateur malveillant accède à votre base de données de contacts des visiteurs de votre site Web. Ils utilisent ces informations de contact pour envoyer d’innombrables e-mails prétendant être autre chose.
Le message lui-même contiendra un lien promettant une résolution ou une récompense quelconque. Une fois que l’utilisateur clique dessus, un logiciel malveillant s’installe sur son ordinateur ou son navigateur, et ses informations (y compris les informations de carte de crédit) sont exposées au vol.
Vous avez rencontré, ou du moins entendu parler de cela. Pensez au prince nigérian, aux escroqueries à la sécurité sociale, etc. Selon le FBI , le phishing est le type de cyberattaque le plus courant aujourd’hui.
La plupart des utilisateurs ne tomberont pas dans le piège. Mais si même un pour cent le fait, les hameçonneurs peuvent revendiquer le succès.
Voici le problème : lorsque le phishing se produit via votre site Web et/ou votre compte administrateur WordPress, les attaquants se présentent comme vous représentant ou représentant votre entreprise. Les utilisateurs qui tombent dans le piège ne vous feront probablement plus jamais confiance. Mais même pour ceux qui le reconnaissent comme invalide, votre crédibilité pourrait être gravement compromise.
Comment y remédier ?
Étant donné que le phishing repose sur le codage et les logiciels malveillants au sein de votre système, le correctif ici est similaire à certaines des étapes que nous avons mentionnées ci-dessus. Utilisez des mots de passe sécurisés, mettez régulièrement à jour votre plate-forme et vos plugins et effectuez des contrôles de sécurité périodiques.
Vous pouvez également en faire plus. Par exemple, envisagez d’utiliser une technologie telle que ReCAPTCHA comme autre solution de sécurité, qui peut empêcher les robots de publier des messages de phishing dans vos commentaires. Si vous êtes exposé à une attaque de phishing, une réaction rapide pour sécuriser votre site Web et informer vos utilisateurs de ne pas cliquer sur des liens spécifiques peut atténuer certains dommages.
Vulnérabilité 5 : Attaques DoS
D’une certaine manière, c’est un peu comme la force brute. Lorsque les pirates attaquent votre site Web par le biais d’une attaque par déni de service (DoS), ils essaient de le submerger avec un volume considérable. Les résultats peuvent être dévastateurs.
Qu’est-ce que c’est ?
Les pirates se livrant à une attaque DoS envoient tellement de trafic de bots vers votre site Web que votre serveur ne peut pas le gérer. Le site se bloque, vous empêchant ainsi que votre public d’y accéder jusqu’à ce que le problème soit résolu.
Contrairement aux autres vulnérabilités de sécurité mentionnées jusqu’à présent, les attaques DoS ne se concentrent pas sur votre site Web, mais sur le serveur sur lequel il se trouve. Aucun serveur ne peut gérer une quantité infinie de trafic, et l’objectif est de le décomposer afin que le site Web n’ait aucune base sur laquelle s’appuyer.
Par conséquent, les attaques DoS n’endommagent pas le code ou les données sensibles de votre site Web. Ils mettent simplement son infrastructure à genoux. Bien sûr, vous perdrez des revenus et de la crédibilité dans le processus, d’autant plus que vos utilisateurs ne sauront pas ce qui s’est passé et penseront simplement que votre site Web n’existe plus jusqu’à ce qu’il soit réparé.
Comment y remédier ?
Étant donné que les attaques DoS visent le serveur de votre site Web, il est essentiel de trouver le bon hébergeur pour les empêcher. Ce serveur, idéalement, devrait avoir mis en place des mesures de base (telles qu’un pare-feu puissant) pour empêcher les attaques simples.
Au-delà de la crédibilité et de la sécurité de l’hôte lui-même, il est également utile de planifier avec plus de bande passante que vous ne pensez avoir besoin. Si votre site Web peut supporter une quantité inattendue de trafic, vous serez préparé non seulement à une augmentation du nombre de clients au fil du temps, mais également à l’augmentation soudaine qui accompagne de simples attaques.
Même ces deux étapes peuvent ne pas vous protéger complètement contre les attaques DoS. C’est pourquoi la dernière étape consiste à élaborer un plan de réponse DoS.
Apprenez à repérer les signes avant-coureurs, tels que la connectivité inégale ou les ralentissements aléatoires du chargement des pages. Il est également utile d’avoir un plan de sauvegarde en place pour répondre à une attaque, qui peut inclure des notifications à vos publics internes et externes, et le déplacement potentiel vers un nouveau serveur si l’attaque DoS persiste.
Vulnérabilité 6 : spam SEO
Enfin, parlons du côté obscur du référencement. Même si nous aimons optimiser les sites Web pour qu’ils soient bien classés dans les moteurs de recherche, la stratégie peut être exploitée par des acteurs malveillants via le spam SEO.
Qu’est-ce que c’est ?
Vous connaissez les stratégies de référencement black hat typiques , comme le spam de liens et le bourrage de mots clés ? Google les trouve et les punit assez efficacement ces jours-ci. Bien sûr, cela n’est pas utile si cela est fait spécifiquement pour nuire aux efforts de référencement de votre site Web.
Les spammeurs SEO font exactement cela. Ils utilisent des logiciels malveillants pour modifier le code et le contenu de votre site Web afin d’inciter Google à le punir. Cela peut inclure le remplissage du site avec de mauvais mots-clés, des liens vers et depuis des sites Web peu crédibles, et même la création de fenêtres contextuelles qui aggravent l’expérience utilisateur et masquent un contenu précieux.
Cela peut empirer. Les spammeurs SEO avancés peuvent utiliser vos classements durement gagnés pour vendre leurs propres produits douteux. Une fois que Google le remarquera, votre site Web (pas le leur) sera puni.
Au fil du temps, les résultats peuvent être dévastateurs. Selon une étude , 50% du trafic organique et 40% des revenus proviennent des résultats des moteurs de recherche organiques. Imaginez la dévastation de votre pipeline en ligne si Google commence à pousser votre page vers des classements inférieurs et des pages dans ses pages de résultats.
Comment y remédier ?
Les spammeurs SEO opèrent en grande partie via des logiciels malveillants, donc un logiciel mis à jour et des contrôles de sécurité réguliers peuvent également aider ici. C’est le début de base.
Au-delà de cela, cela aide également à surveiller de près vos résultats de recherche et vos efforts de référencement. Si votre stratégie ne change pas mais que vous constatez soudainement une diminution du trafic de recherche, il se passe quelque chose que vous voudrez peut-être vérifier.
Enfin, protégez-vous contre la forme la plus basique de spam SEO : les liens vers votre site à partir de pages douteuses. Désavouer régulièrement les mauvais backlinks peut vous aider à garder cette bibliothèque propre et à rester du bon côté de Google.
En conclusion
De manière générale, WordPress est à peu près aussi sécurisé que l’on pourrait s’y attendre de la plus grande plate-forme CMS au monde. Néanmoins, comme pour toute plate-forme, il existe certaines vulnérabilités de sécurité contre lesquelles vous voudrez garder une longueur d’avance.
En termes simples, il n’y a pas trop de sécurité. Il ne fait jamais de mal d’étouffer les menaces potentielles bien avant qu’elles ne deviennent de réels problèmes ayant un impact sur vos revenus.
Heureusement, prendre les bonnes mesures est relativement simple. Les solutions décrites tout au long de ce guide ne s’appliquent pas uniquement à ces types d’attaques spécifiques.
Créer des mots de passe complexes, maintenir vos logiciels et plugins à jour et effectuer des contrôles de sécurité réguliers n’est jamais une mauvaise idée. Vous ne devez pas non plus vous assurer d’utiliser un hébergeur sécurisé pour votre site Web.
Après tout, vous voulez cette tranquillité d’esprit. Vous souhaitez conserver votre crédibilité et augmenter vos revenus. En faisant de la sécurité une partie intégrante de l’administration de votre site Web, vous pouvez y parvenir.
