La réponse à la question “WordPress est-il sécurisé ?” dépend. WordPress lui-même est très sécurisé tant que les meilleures pratiques de sécurité WordPress sont suivies.

En moyenne, 30 000 nouveaux sites Web sont piratés chaque jour. Les sites Web WordPress peuvent être une cible facile pour les attaques en raison des vulnérabilités des plugins, des mots de passe faibles et des logiciels obsolètes.

Grâce à une communauté active et un développement open-source, WordPress continue d’être un excellent choix pour une grande variété de sites web en raison de sa facilité d’utilisation, sa flexibilité et son développement continu.

Et en suivant quelques bonnes pratiques de sécurité WordPress simples, vous pouvez réduire considérablement votre vulnérabilité aux attaques.

Ce que vous apprendrez dans cet article :

WordPress est-il vraiment sécurisé ?
  • Les différents types de failles de sécurité de WordPress
  • Erreurs commises par les utilisateurs et les administrateurs
  • Meilleures pratiques en matière de sécurité WordPress
  • Mesures que vous pouvez prendre dès aujourd’hui pour réduire les risques de piratage ou de brèche

1. Oui, les sites Web WordPress sont une cible pour les pirates informatiques.

WordPress alimente actuellement plus de 31 % de tous les sites Web actifs sur Internet, il est donc devenu une cible pour les pirates informatiques malveillants.

Pourquoi ? Si un pirate informatique peut trouver un moyen d’accéder à l’un des 75 millions de sites Web WordPress sur le Web, il peut rechercher d’autres sites Web qui utilisent des configurations non sécurisées similaires et les pirater également.

Malheureusement, les vulnérabilités sont inévitables parce que les propriétaires et les utilisateurs de sites Web ne sont pas tous prudents, minutieux ou conscients de leur sécurité en ligne.

Un rapport récent de Sucuri a analysé 34 371 sites Web infectés pour mettre en évidence les tendances en matière de piratage de sites Web compromis.

Selon le rapport, les infections WordPress sont passées de 74% en 2016 à 83% en 2017, il est donc d’autant plus important de rester vigilant dans vos efforts de sécurité.

“Dans la plupart des cas, les compromis analysés n’avaient pas grand-chose à voir avec le cœur même de l’application CMS, mais plutôt avec son déploiement, sa configuration et sa maintenance générale par les webmasters.

2. WordPress a des failles de sécurité connues.

Selon un rapport récent de wpscan.org, WordPress a près de 4 000 failles de sécurité connues.

Parmis ces vulnérabilités connues :

  • 52% proviennent de plugins WordPress
  • 37% proviennent du noyau WordPress
  • 11% proviennent de thèmes WordPress

En tant que norme de l’industrie, les vulnérabilités de sécurité sont divulguées au public peu de temps après leur découverte et seulement après qu’un correctif a été publié pour résoudre le problème. Cependant, certains sites Web continuent d’utiliser des versions non sécurisées de plugins, de thèmes et de WordPress de base malgré le risque.

Les 5 principaux problèmes de sécurité de WordPress

1. Attaques par la force brute

Les attaques par force brute de WordPress font référence à la méthode d’essai et d’erreur consistant à saisir plusieurs combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce qu’une combinaison réussie soit découverte. La méthode d’attaque par force brute exploite la manière la plus simple d’accéder à votre site web : Votre écran de connexion WordPress.

2. Exploits d’inclusion de fichiers

Les exploits d’inclusion de fichiers se produisent lorsque du code vulnérable est utilisé pour charger des fichiers distants qui permettent aux pirates d’accéder au fichier wp-config.php de votre site Web WordPress, un des fichiers les plus importants dans votre installation WordPress.

3. Injections SQL

Votre site Web WordPress utilise une base de données MySQL pour fonctionner. Les injections SQL se produisent lorsqu’un attaquant accède à votre base de données WordPress et à toutes les données de votre site Web. Les injections SQL peuvent également être utilisées pour insérer de nouvelles données dans votre base de données, y compris des liens vers des sites Web malveillants ou spam.

4. Script Cross-Site

Les vulnérabilités des scripts Cross-site sont les plus courantes dans les plugins WordPress. Le mécanisme de base fonctionne comme ceci : un attaquant trouve un moyen d’amener une victime à charger des pages Web avec des scripts javascript non sécurisés.

5. Logiciels malveillants

Un logiciel malveillant est un code qui est utilisé pour obtenir un accès non autorisé à un site Web afin de recueillir des données sensibles. Un site Web WordPress piraté signifie généralement que des logiciels malveillants ont été injectés dans les fichiers de votre site Web.

“Un site web piraté peut être un casse-tête pour un certain nombre de raisons, et en particulier pour votre classement SEO. Google et d’autres moteurs de recherche mettent rapidement sur liste noire les sites Web qui hébergent des fichiers ou des scripts malveillants. Certains navigateurs, comme Google Chrome et Firefox, affichent des panneaux d’avertissement aux utilisateurs ou bloquent complètement la possibilité de voir un site Web suspect.”

Types de logiciels malveillants sur le site Web

Malware est un terme général pour une famille de fichiers malveillants qui peut varier en fonction de l’intention de l’attaquant. Plusieurs familles de logiciels malveillants ont été identifiées :

  • Backdoor : Fichiers utilisés pour réinfecter et conserver l’accès à un site Web.
  • Spam SEO : Un compromis qui cible le référencement d’un site web
  • HackTool : Programmes qui peuvent être utilisés par des pirates informatiques pour attaquer des systèmes et des réseaux informatiques.
  • Mailer : Outils de génération de spams conçus pour abuser des ressources du serveur
  • Dégradation : Piratage qui rend la page d’accueil d’un site Web inutilisable et favorise des sujets sans rapport entre eux.
  • Hameçonnage : Tentatives de tromper les utilisateurs pour qu’ils partagent des informations sensibles (identifiants, données de carte de crédit, etc.).

3. Lorsque vous utilisez un site Web WordPress, votre hébergement est important.

Tous les hébergeurs web ne sont pas créés égaux, et en choisir un uniquement sur le seul prix peut finir par vous coûter beaucoup plus cher à long terme.

Étant donné que le serveur sur lequel se trouve votre site Web est également une cible pour les attaquants, l’utilisation d’un hébergement mutualisé de mauvaise qualité peut rendre votre site plus vulnérable au risque d’être compromis. L’hébergement partagé doit aussi être une préoccupation parce que plusieurs sites Web sont stockés sur un seul serveur. Si un site Web est piraté, les pirates peuvent également avoir accès à d’autres sites Web et à leurs données.

Bien que tous les hôtes prennent des précautions pour sécuriser leurs serveurs, tous ne sont pas vigilants et n’appliquent pas les dernières mesures de sécurité pour protéger les sites Web au niveau du serveur.

Conseils d’hébergement WordPress :

  • Choisissez un hôte avec une infrastructure de sécurité solide. La sécurité devrait être l’un des principaux arguments de vente de leur offre.
  • Confirmez l’accès au support 24/7.
  • Faites une recherche sur la façon dont l’entreprise gère les sites Web piratés ou mis sur liste noire découverts sur ses serveurs.

Caractéristiques techniques de l’hébergement WordPress pour une meilleure sécurité du site Web

Ce qui suit est une liste de spécifications techniques à utiliser comme guide lors du choix d’un hébergeur pour votre site WordPress.

Directives de sécurité recommandées pour votre hébergement WordPress :

  • Installation facile des certificats SSL*.
  • Gestion active de la version du logiciel serveur
  • Support de SFTP (pas seulement FTP)
  • La dernière version de PHP supportée est au moins 5.6, bien que 7.0+ soit recommandé.
  • Prise en charge de TLS 1.2 et 1.3
  • Protection par pare-feu*
  • Conservation des journaux du site Web*
  • Audits de sécurité de routine
  • Détection d’activités malveillantes*

Note : Certaines compagnies d’hébergement peuvent offrir ces services en tant que services séparés ou add-ons avec des frais supplémentaires.

4. Les plugins et les thèmes que vous installez sont importants.

N’installez que des plugins et des thèmes WordPress provenant de sources fiables. Pourquoi ? Les versions non vérifiées peuvent contenir du code malveillant.

N’installez que des thèmes et plugins de WordPress.org, des dépôts commerciaux bien connus ou directement de développeurs réputés. Peu importe à quel point vous verrouillez votre site Web WordPress si c’est vous qui installez les logiciels malveillants.

Si vous trouvez un plugin ou un thème WordPress de qualité supérieure qui n’est pas distribué sur le site Web du développeur ou sur un marché réputé, faites vos recherches avant de le télécharger. Tendez la main aux développeurs pour voir s’ils sont affiliés d’une façon ou d’une autre au site Web qui offre leur produit à un prix gratuit ou à prix réduit.

Conseils pour choisir les plugins et les thèmes :

  • N’installez que des thèmes et des plugins provenant de sites Web réputés.
  • Évitez d’utiliser des versions “nulles” ou bootleg de plugins ou de thèmes premium.
  • Les thèmes et plugins Premium doivent toujours offrir une option de support lors de votre achat.
  • Assurez-vous que le plugin ou le thème a été mis à jour récemment.

5. Les mises à jour sont importantes. Essentielles même !

Lorsque votre site WordPress exécute des versions obsolètes de plugins, de thèmes ou de WordPress, vous courez le risque d’avoir connu des exploits sur votre site.

WordPress fonctionne sur du code source ouvert et dispose d’une équipe spécifiquement dédiée à la recherche, l’identification et la résolution des problèmes de sécurité WordPress qui se posent dans le code source. Au fur et à mesure que les vulnérabilités de sécurité sont révélées, les correctifs sont immédiatement repoussés pour corriger tout nouveau problème de sécurité découvert dans WordPress.

C’est pourquoi la mise à jour de WordPress et de tous vos thèmes et plugins vers la dernière version est une composante essentielle d’une stratégie de sécurité réussie.

Conseils pour la mise à jour de WordPress :

  • Les notifications de mise à jour se trouvent dans votre tableau de bord WordPress dans la barre d’administration supérieure.
  • Sauvegardez toujours votre site Web avant d’exécuter des mises à jour majeures.
  • Exécutez les mises à jour dès qu’une nouvelle version est disponible.

6. La qualité de votre mot de passe est importante.

Votre login WordPress est la vulnérabilité la plus fréquemment attaquée car il fournit l’accès le plus facile à la page d’administration de votre site Web.

Les attaques brutales sont la méthode la plus courante pour exploiter votre login WordPress. Les attaques brutales font référence à une méthode d’essai et d’erreur utilisée par les pirates et les robots pour découvrir les combinaisons de noms d’utilisateur et de mots de passe afin d’accéder à un site Web.

Les attaques brutales peuvent être efficaces parce que WordPress ne limite pas le nombre de tentatives de connexion ratées que quelqu’un peut faire. N’oubliez donc pas d’utiliser un mot de passe fort et complexe pour votre login administrateur WordPress.

Conseils sur les mots de passe :

  • Utilisez un mot de passe avec une combinaison de lettres minuscules et majuscules, de symboles et de chiffres.
  • Ne réutilisez jamais les mots de passe.
  • Changez souvent vos mots de passe.
  • Utilisez un gestionnaire de mots de passe comme LastPass ou 1Password pour générer et stocker les mots de passe.
  • Activez l’authentification à deux facteurs pour votre connexion WordPress.

7. Si vous n’avez pas planifié de sauvegardes, vous aurez des ennuis.

Par défaut, WordPress n’a pas de système de sauvegarde intégré. Que faites-vous pour sauvegarder votre site Web ?

Si le pire se produit et que votre site Web est piraté, comment pouvez-vous le récupérer ? Comment revenir à une version propre de votre site Web ? Vous aurez besoin d’une sauvegarde ou d’une copie complète de votre site Web pour le restaurer.

Les sauvegardes WordPress sont essentielles à une stratégie de sécurité globale, même si votre hôte peut offrir des sauvegardes, toutes ne sont pas équipées pour gérer les complexités d’une installation WordPress.

Assurez-vous que votre solution de sauvegarde prend en charge la sauvegarde de la base de données et de tous les fichiers de votre site Web et qu’elle fournit un moyen de la restaurer.

Conseils de sauvegarde WordPress :

  • Configurez des programmes de sauvegarde pour qu’ils s’exécutent automatiquement.
  • Stockez vos sauvegardes en toute sécurité à l’extérieur du site dans un endroit sûr et éloigné.
  • Exécutez des sauvegardes complètes de la base de données de votre site Web et de tous les fichiers. Une sauvegarde de la base de données ne suffit pas à elle seule.
  • Assurez-vous que votre solution de sauvegarde dispose d’une fonctionnalité de restauration.

8. Vous pouvez prendre des mesures pour sécuriser votre site Web et minimiser vos risques.

Bonne nouvelle ! La plupart des problèmes de sécurité de WordPress peuvent être évités si les propriétaires de sites suivent simplement les meilleures pratiques de sécurité de WordPress.

Tout comme verrouiller les portes de votre maison, investir dans un système d’alarme et payer l’assurance, votre site Web devrait avoir des mesures de sécurité et de sûreté en place. Une meilleure sécurité WordPress peut être obtenue en quelques étapes simples.

Une simple liste de contrôle de sécurité WordPress :

  1. Choisissez un hébergement de qualité.
  2. Sécurisez votre connexion WordPress avec un mot de passe fort et une authentification à deux facteurs.
  3. Gardez vos plugins, thèmes et logiciels WordPress à jour.
  4. Désinstallez et supprimez complètement les plugins et thèmes inutilisés et abandonnés.
  5. N’utilisez que des distributeurs de logiciels fiables pour les plugins et les thèmes.
  6. Ayez un plan de sauvegarde WordPress en place.
  7. Ajoutez SSL à votre site Web.

9. Ajoutez l’authentification à deux facteurs à votre login administrateur WordPress.

L’un des meilleurs moyens de sécuriser votre site WordPress est l’authentification à deux facteurs.

L’authentification à deux facteurs ajoute une couche de protection supplémentaire à votre connexion WordPress. En plus de votre mot de passe, un code d’accès supplémentaire est requis à partir d’un autre appareil, tel que votre téléphone intelligent, afin de vous connecter avec succès.

L’authentification à deux facteurs est l’un des meilleurs moyens de verrouiller votre connexion WordPress et minimise presque complètement le potentiel de succès des attaques par force brute.

Bien que WordPress n’offre pas de moyen intégré d’ajouter une authentification à deux facteurs, vous pouvez utiliser un plugin comme iThemes Security pour ajouter cette fonctionnalité.

WordPress Conseils pour l’authentification à deux facteurs :

  • Utilisez un plugin de sécurité WordPress comme iThemes Security Pro pour ajouter une authentification à deux facteurs à votre site Web.
  • Encouragez les utilisateurs privilégiés tels que les administrateurs à activer deux facteurs sur leur login.
  • Les applications mobiles, plutôt que les courriels ou les SMS, sont les meilleures pour l’authentification à deux facteurs. Essayez Google Authenticator ou Authy pour votre méthode à deux facteurs.

10. Un plugin de sécurité WordPress peut vous aider.

Installez un plugin de sécurité WordPress comme iThemes Security Pro pour ajouter encore plus de protection à votre site Web.

Themes Security Pro fonctionne pour verrouiller WordPress, réparer les trous communs, arrêter les attaques automatisées et renforcer les identifiants des utilisateurs.

Vous pouvez télécharger la version gratuite du plugin à partir de WordPress.org ou mettre à niveau vers iThemes Security Pro pour bénéficier d’encore plus de fonctions de sécurité comme l’authentification à deux facteurs, les analyses programmées des logiciels malveillants, l’enregistrement des utilisateurs et plus encore.

Avec une équipe d’experts en sécurité WordPress derrière vous, vous pouvez avoir la tranquillité d’esprit que votre site Web est sûr et sécurisé.

Conseils d’installation de la sécurité iThemes :

  • Après l’installation, utilisez le Contrôle de sécurité en un clic pour activer les fonctions et paramètres recommandés.
  • Activez l’authentification à deux facteurs (Pro) et configurez la configuration avec l’application mobile de votre choix.
  • Liste blanche de votre IP
  • Activer les notifications par e-mail pour recevoir des alertes de sécurité et des mises à jour

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *