Votre site web, c’est un peu comme une maison – il est sécurisé si vous prenez les précautions nécessaires, mais complètement vulnérable aux cambrioleurs si vous ne le faites pas. Cependant, dans le monde des sites web, on ne parle pas de cambriolage mais de piratage – et ils sont de plus en plus nombreux chaque année. En effet, depuis l’apparition du conflit Ukrainien, la France a subi une augmentation de cyberattaques ciblant majoritairement les petites et moyennes entreprises (PME). En 2022, environ 385 000 cyberattaques sont dénombrées, soit une augmentation de 19% qui se poursuit en 2023. Comment les sites WordPress sont-ils piratés ? Est-il possible de protéger son site WordPress ? Les conseils et recommandations de maintenance WP suivants vous permettront d’améliorer la sécurité de votre site internet, vos données et ainsi prémunir votre contenu contre les attaques malveillantes.
Sommaire de l’article
Les attaques par « Brute Force »
Il est facile d’imaginer quelqu’un essayant de casser la porte d’entrée d’une maison par la force. Si le voleur persévère, en toute logique, il finira par réussir à enfoncer votre porte.
Pour forcer un site web, le principe est assez similaire : les pirates utilisent un logiciel automatisé pour essayer de deviner votre nom d’utilisateur et votre mot de passe WordPress, jusqu’à ce qu’ils piratent votre site avec succès. On appelle cette technique l’attaque par brute force. Ils utilisent bien souvent une liste des 500 mots de passe les plus courants, en essayant chacun d’eux sur la page de connexion WordPress de votre site. Cela ne prend que quelques minutes à un robot pour entrer quelques centaines de combinaisons. Vous seriez surpris du nombre de personnes qui utilisent simplement « admin » comme nom d’utilisateur…
Les attaques par brute force sont extrêmement courantes sur les sites WordPress : en moyenne, 26 millions d’attaques ont lieu chaque jour. Il est donc vital de protéger son site WordPress contre ce type d’agression.
Comment sécuriser votre site WordPress contre les attaques par Brute Force ?
Heureusement, il existe plusieurs moyens de protéger son site WordPress contre ce type d’attaque. L’un des moyens de défense les plus courants consiste à utiliser un mot de passe bien complexe pour votre compte WordPress. Cela vaut évidemment pour tous les comptes utilisateurs de votre WordPress. Pour améliorer la sécurité de votre site internet, passez en revue tous les comptes utilisateurs à intervalle régulier. Pour des raisons de sécurité, supprimez toujours les comptes inactifs, y compris ceux d’anciens employés qui ne travaillent plus pour votre entreprise.
En effet, nous vous recommandons d’utiliser un identifiant composé de symboles alphanumériques, associant minuscules et majuscules. En ce qui concerne le mot de passe, même principe avec ajout de symboles spéciaux, exemple : « ! », « ? », etc.
De plus, l’une des meilleures façons de protéger son site WordPress est de mettre en place une surveillance contre les attaques active 24h/24 et 7j/7. Un pare-feu applicatif web tel que le plugin WordFence (le plus connu), peut détecter et bloquer automatiquement les tentatives de piratage de votre site internet. Concernant l’attaque par brute force, vous pouvez par exemple limiter le nombre de tentative de connexion.
Accéder à un site via un serveur d’hébergement non sécurisé
Votre environnement d’hébergement joue un rôle important dans la sécurité de votre WordPress, et le serveur d’hébergement peut constituer un point d’accès pour les pirates.
Poussons un peu plus loin notre métaphore sur le cambriolage : il semble évident que l’environnement dans laquelle vous vivez influence la sécurité de votre domicile. C’est particulièrement évident dans un immeuble de plusieurs appartements. Si votre parking ne ferme pas complètement, ou si l’entrée de l’immeuble est toujours maintenue ouverte, le risque de cambriolage augmente. Votre environnement devient donc une menace.
C’est la même chose pour votre site web. Si vous êtes sur une plateforme d’hébergement partagé, votre site est probablement installé sur un serveur avec des milliers d’autres sites. Peu importe ce qu’un utilisateur peut faire pour protéger son site WordPress, en installant un certificat SSL par exemple, si le serveur n’est pas sécurisé, le risque de piratage est tout aussi important. De plus, si un seul des sites du serveur est compromis, tous les sites sont exposés à un risque. Après tout, si un cambrioleur parvient à pénétrer par effraction dans l’appartement de votre voisin, il sait qu’il est capable d’accéder à l’ensemble des appartements de l’immeuble.
Comment protéger votre hébergement ?
Protéger son site WordPress c’est aussi prendre en compte le choix de l’hébergeur. Votre environnement d’hébergement peut avoir de multiples incidences sur votre site, allant de la sécurité aux performances. Lorsque l’on prévoit d’avoir peu de trafic, il peut être tentant de choisir un serveur bon marché, mais vous pourriez bien le payer sur le long terme… « cheap is expensive » comme j’aime à le rappeler souvent.
Par conséquent, je vous conseille vivement de choisir un hébergement WordPress « managé ». Dans un environnement « managé l’hébergeur prend en charge tous les détails techniques tels que la création de sauvegarde et les mises à jour du serveur – et vous avez votre tranquillité ! De manière pratique, je recommande à mes clients d’opter pour un hébergeur de confiance, tel qu’OVH par exemple, qui place la sécurité au cœur de son offre, comme indiqué sur leur page : sécurité des données et RGPD.
Le piratage d’un site web via un plugin WordPress
Les hackers peuvent également accéder à votre site par le biais d’une faille de sécurité au niveau d’un plugin WordPress installé sur votre WordPress. Cela se produit très fréquemment.
Dans le cas de votre maison, il vous arrive peut-être d’y faire entrer des individus que vous ne connaissez pas : un paysagiste pour s’occuper du jardin, un plombier pour réparer une fuite, ou une nounou pour garder les enfants. Évidemment, vous n’allez pas engager n’importe qui, vous allez vérifier au préalable qu’ils sont dignes de confiance. Mais le risque zéro n’existe pas.
Les plugins WordPress (ou extensions WordPress) fonctionnent de la même façon. Chaque WordPress a besoin de plugins pour remplir différentes fonctions, et l’un des grands avantages de WordPress est que les développeurs apportent en permanence de nouvelles fonctionnalités. Le problème est que chaque plugin nécessite une maintenance et une surveillance constantes.
Une extension peut fonctionner parfaitement pendant des mois, voire des années, jusqu’à ce qu’une faille de sécurité soit découverte. Cette faille devient une porte ouverte aux pirates informatiques jusqu’à ce que le développeur du plugin crée une mise à jour pour la corriger. Si vous n’implémentez pas cette mise à jour, vous laissez alors votre porte ouverte aux pirates.
Gardez vos plugins et thèmes WordPress à jour
Le meilleur moyen d’éviter les problèmes de sécurité liés aux plugins et aux thèmes de votre WordPress reste d’installer un pare-feu applicatif web par l’intermédiaire d’une extension. Il est également recommandé de demander à votre développeur de faire des recherches sur une extension avant de l’installer. Il pourra alors consulter les avis, ainsi que le profil du développeur derrière le plugin, avant de décider s’il est digne de confiance.
Gardez toujours un œil sur vos plugins, au cas où le créateur arrêterait de les mettre à jour. L’abandon de plugin est l’un des principaux dangers pour votre WordPress. À terme, WordPress finira par supprimer un plugin abandonné, mais seulement après avoir constaté une violation majeure chez un grand nombre de sites internet. Récemment, une faille a été découverte dans le plugin Duplicate Page, et plus de 800 000 sites web ont été affectés. Un plugin défaillant peut aussi créer une erreur 500 WordPress et mettre ainsi votre site hors ligne.
J’ai été piraté via le plugin Social Warfare
En ce qui me concerne, et malgré ma vigilance permanente quant à la mise à jour régulière des mes plugins, j’ai été victime d’une tentative de piratage. Comme quoi, protéger son site WordPress n’est pas si simple ! L’attaque est survenue via une faille de sécurité provenant du plugin Social Warfare, créant automatiquement des liens vers des sites frauduleux. Voici une vidéo de WP Marmite – un excellent blog sur l’univers WordPress que je vous recommande – qui traite du sujet. Moralité, le risque zéro n’existe pas, même si l’on est expert WordPress.
Si votre site internet est potentiellement piraté et que vous pensez que cela provient (d’une faille de sécurité) d’un plugin installé, une seule solution efficace :
- Activez le mode maintenance WordPress.
- Désactivez TOUS les plugins.
- Réactivez un à un chaque plugin, en prenant le temps d’observer scrupuleusement, et entre chaque réactivation, si le problème réapparaît. Objectif : détecter et garder inactif le plugin affecté, jusqu’à la sortie d’une mise à jour de celui-ci.
C’est comme cela que j’ai procédé et identifié précisément le plugin infecté. Cette méthode peut s’avérer longue et fastidieuse si votre liste d’extensions est à rallonge, mais c’est selon moi la seule et unique solution garantissant 100% de réussite.
Protéger son site WordPress en le gardant à jour
Afin de protéger son site WordPress, en plus des plugins et des thèmes, il faut également garder sa version de WordPress à jour. Régulièrement, une nouvelle version de WordPress est publiée et inclut bien souvent des correctifs de sécurité. Avant de mettre à jour vers la dernière version, demandez toujours à votre développeur de tester la dernière version dans une zone de test. Cela vous donne la possibilité de découvrir un problème éventuel – par exemple des problèmes de compatibilité avec les plugins que vous avez installés – avant que le changement ne soit mis en ligne sur le site.
Sécurisez tous vos sites sans exception
En tant que propriétaire d’un « petit site web », vous vous dites peut-être que vous n’avez rien de précieux à protéger et donc à dérober. Dans ce cas, pourquoi un pirate s’intéresserait à moi ? Malheureusement, ça ne fonctionne pas comme ça. Bien au contraire, puisque les « petits WordPress » font en réalité des cibles faciles, et permettent d’accéder aux visiteurs dudit site. Une fois vos visiteurs exposés au pirate, ceux-ci font de nouvelles cibles faciles, et ainsi de suite. Il est donc primordial pour tout propriétaire de protéger son site WordPress correctement, et régulièrement.
Le risque zéro n’existe pas
Vous l’aurez compris, il existe des solutions efficaces et relativement simples à mettre en place pour prévenir une large majorité de risques de piratage et protéger son site WordPress. Cependant, en guise de conclusion de cet article dédié à la sécurité de site WordPress, j’aimerais rappeler que le risque zéro n’existe pas. En effet, même si vous possédez tous les meilleurs plugins et logiciels de sécurité, vous n’êtes pas définitivement à l’abri de découvrir un beau matin que votre site internet à été piraté, comme cela m’est arrivé.
Par conséquent, le moyen le plus efficace reste et restera toujours… vous ! Ou si vous préférez : votre vigilance, votre suivi quotidien du site internet, et votre expérience ! Et si vous ne pouvez pas le faire vous-même, mieux vaut confier cette tâche à des professionnels.