Votre site WordPress, c’est un peu comme une maison – il est sécurisé si vous prenez les précautions nécessaires, mais complètement vulnérable aux cambrioleurs si vous ne le faites pas. Cependant, dans le monde des sites web, on ne parle pas de cambriolage mais de piratage – et ils sont de plus en plus nombreux chaque année. En effet, depuis l’apparition du conflit Ukrainien, la France a subi une augmentation de cyberattaques ciblant majoritairement les petites et moyennes entreprises (PME). En 2022, environ 385 000 cyberattaques sont dénombrées, soit une augmentation de 19% qui se poursuit en 2023. Comment les sites WordPress, l’un des CMS les plus populaires, sont-ils piratés ? Est-il possible de sécuriser son site WordPress ? Il est crucial de sécuriser son site contre les cybermenaces pour protéger vos données et maintenir la confiance des utilisateurs. Les conseils et recommandations de maintenance WP suivants vous permettront d’améliorer la sécurité de votre site internet, vos données et ainsi prémunir votre contenu contre les attaques malveillantes.
Sommaire de l’article :
Les attaques par « Brute Force »
Il est facile d’imaginer quelqu’un essayant de casser la porte d’entrée d’une maison par la force. Si le voleur persévère, en toute logique, il finira par réussir à enfoncer votre porte.
Pour forcer un site web, le principe est assez similaire : les pirates utilisent un logiciel automatisé pour essayer de deviner votre nom d’utilisateur et votre mot de passe WordPress, jusqu’à ce qu’ils piratent votre site avec succès. On appelle cette technique l’attaque par brute force. Ils utilisent bien souvent une liste des 500 mots de passe les plus courants, en essayant chacun d’eux sur la page de connexion WordPress de votre site. Cela ne prend que quelques minutes à un robot pour entrer quelques centaines de combinaisons. Vous seriez surpris du nombre de personnes qui utilisent simplement « admin » comme nom d’utilisateur…
Les attaques par brute force sont extrêmement courantes sur les sites WordPress : en moyenne, 26 millions d’attaques ont lieu chaque jour. Il est donc vital de sécuriser son site WordPress contre ce type d’agression. Voici quelques astuces pratiques pour éviter ces attaques et renforcer la sécurité de votre site.
Comment sécuriser son site WordPress contre les attaques par Brute Force ?
Heureusement, il existe plusieurs moyens de protéger WordPress contre ce type d’attaque. Pour ceux qui se demandent comment sécuriser son site WordPress, il est essentiel de suivre des conseils pratiques. L’un des moyens de défense les plus courants consiste à utiliser un mot de passe bien complexe pour votre compte WordPress. Cela vaut évidemment pour tous les comptes utilisateurs de votre WordPress. Pour améliorer la sécurité de votre site internet, passez en revue tous les comptes utilisateurs à intervalle régulier. Pour des raisons de sécurité, supprimez toujours les comptes inactifs, y compris ceux d’anciens employés qui ne travaillent plus pour votre entreprise.
En effet, nous vous recommandons d’utiliser un identifiant composé de symboles alphanumériques, associant minuscules et majuscules. En ce qui concerne le mot de passe, même principe avec ajout de symboles spéciaux, exemple : « ! », « ? », etc.
De plus, l’une des meilleures façons de sécuriser son site WordPress est de mettre en place une surveillance contre les attaques active 24h/24 et 7j/7. Un pare-feu applicatif web tel que le plugin WordFence (le plus connu), peut détecter et bloquer automatiquement les tentatives de piratage de votre site internet. La mise en place de mesures de sécurité telles que la limitation du nombre de tentatives de connexion est également cruciale pour prévenir les attaques par brute force.
Accéder à un site via un serveur d’hébergement non sécurisé
Votre environnement d’hébergement joue un rôle important dans la sécurité de votre WordPress, un système de gestion de contenu populaire mais vulnérable, et le serveur d’hébergement peut constituer un point d’accès pour les pirates.
Poussons un peu plus loin notre métaphore sur le cambriolage : il semble évident que l’environnement dans laquelle vous vivez influence la sécurité de votre domicile. C’est particulièrement évident dans un immeuble de plusieurs appartements. Si votre parking ne ferme pas complètement, ou si l’entrée de l’immeuble est toujours maintenue ouverte, le risque de cambriolage augmente. Votre environnement devient donc une menace.
C’est la même chose pour votre site web. Si vous êtes sur une plateforme d’hébergement partagé, votre site est probablement installé sur un serveur avec des milliers d’autres sites. Peu importe ce qu’un utilisateur peut faire pour protéger son site WordPress, en installant un certificat SSL par exemple, si le serveur n’est pas sécurisé, le risque de piratage est tout aussi important. De plus, si un seul des sites du serveur est compromis, tous les sites sont exposés à un risque. Après tout, si un cambrioleur parvient à pénétrer par effraction dans l’appartement de votre voisin, il sait qu’il est capable d’accéder à l’ensemble des appartements de l’immeuble.
Comment protéger son hébergement ?
Sécuriser son site WordPress c’est aussi prendre en compte le choix de l’hébergeur. Votre environnement d’hébergement peut avoir de multiples incidences sur votre site, allant de la sécurité aux performances. Lorsque l’on prévoit d’avoir peu de trafic, il peut être tentant de choisir un serveur bon marché, mais vous pourriez bien le payer sur le long terme… « cheap is expensive » comme j’aime à le rappeler souvent.
Par conséquent, je vous conseille vivement de choisir un hébergement WordPress « managé ». Dans un environnement « managé l’hébergeur prend en charge tous les détails techniques tels que la création de sauvegarde et les mises à jour du serveur – et vous avez votre tranquillité ! De plus, pour sécuriser un site WordPress, il est crucial de choisir un hébergeur sécurisé qui protège vos données et garantit la performance du site. De manière pratique, je recommande à mes clients d’opter pour un hébergeur de confiance, tel qu’OVH par exemple, qui place la sécurité au cœur de son offre, comme indiqué sur leur page : sécurité des données et RGPD.
Le piratage d’un site web via un plugin WordPress
Les hackers peuvent également accéder à votre site par le biais d’une faille de sécurité au niveau d’un plugin WordPress installé sur votre WordPress. Cela se produit très fréquemment.
Dans le cas de votre maison, il vous arrive peut-être d’y faire entrer des individus que vous ne connaissez pas : un paysagiste pour s’occuper du jardin, un plombier pour réparer une fuite, ou une nounou pour garder les enfants. Évidemment, vous n’allez pas engager n’importe qui, vous allez vérifier au préalable qu’ils sont dignes de confiance. Mais le risque zéro n’existe pas.
Les plugins WordPress (ou extensions WordPress) fonctionnent de la même façon. Chaque WordPress a besoin de plugins pour remplir différentes fonctions, et l’un des grands avantages de WordPress est que les développeurs apportent en permanence de nouvelles fonctionnalités. Le problème est que chaque plugin nécessite une maintenance et une surveillance constantes.
Une extension peut fonctionner parfaitement pendant des mois, voire des années, jusqu’à ce qu’une faille de sécurité soit découverte. Cette faille devient une porte ouverte aux pirates informatiques jusqu’à ce que le développeur du plugin crée une mise à jour pour la corriger. Si vous n’implémentez pas cette mise à jour, vous laissez alors votre porte ouverte aux pirates.
Gardez vos plugins et thèmes WordPress à jour
Le meilleur moyen d’éviter les problèmes de sécurité liés aux plugins et aux thèmes de votre WordPress reste d’installer un pare-feu applicatif web par l’intermédiaire d’une extension. Il est également recommandé de demander à votre développeur de faire des recherches sur une extension avant de l’installer. Il pourra alors consulter les avis, ainsi que le profil du développeur derrière le plugin, avant de décider s’il est digne de confiance.
Gardez toujours un œil sur vos plugins, au cas où le créateur arrêterait de les mettre à jour. L’abandon de plugin est l’un des principaux dangers pour votre WordPress. À terme, WordPress finira par supprimer un plugin abandonné, mais seulement après avoir constaté une violation majeure chez un grand nombre de sites internet. Récemment, une faille a été découverte dans le plugin Duplicate Page, et plus de 800 000 sites web ont été affectés. Un plugin défaillant peut aussi créer une erreur 500 WordPress et mettre ainsi votre site hors ligne.
J’ai été piraté via le plugin Social Warfare
En ce qui me concerne, et malgré ma vigilance permanente quant à la mise à jour régulière des mes plugins, j’ai été victime d’une tentative de piratage. Comme quoi, sécuriser son site WordPress n’est pas si simple ! L’attaque est survenue via une faille de sécurité provenant du plugin Social Warfare, créant automatiquement des liens vers des sites frauduleux. Voici une vidéo de WP Marmite – un excellent blog sur l’univers WordPress que je vous recommande – qui traite du sujet. Moralité, le risque zéro n’existe pas, même si l’on est expert WordPress.
Si votre site internet est potentiellement piraté et que vous pensez que cela provient (d’une faille de sécurité) d’un plugin installé, une seule solution efficace :
- Activez le mode maintenance WordPress.
- Désactivez TOUS les plugins.
- Réactivez un à un chaque plugin, en prenant le temps d’observer scrupuleusement, et entre chaque réactivation, si le problème réapparaît. Objectif : détecter et garder inactif le plugin affecté, jusqu’à la sortie d’une mise à jour de celui-ci.
C’est comme cela que j’ai procédé et identifié précisément le plugin infecté. Cette méthode peut s’avérer longue et fastidieuse si votre liste d’extensions est à rallonge, mais c’est selon moi la seule et unique solution garantissant 100% de réussite.
Sécuriser son site WordPress en le gardant à jour
Afin de sécuriser son site WordPress, en plus des plugins et des thèmes, il faut également garder sa version de WordPress à jour. Régulièrement, une nouvelle version de WordPress est publiée et inclut bien souvent des correctifs de sécurité. Avant de mettre à jour vers la dernière version, demandez toujours à votre développeur de tester la dernière version dans une zone de test. Cela vous donne la possibilité de découvrir un problème éventuel – par exemple des problèmes de compatibilité avec les plugins que vous avez installés – avant que le changement ne soit mis en ligne sur le site.
Sécurisez vos informations de connexion
Pour protéger votre site WordPress contre les attaques par force brute, il est crucial de sécuriser vos informations de connexion. Utiliser des mots de passe complexes et uniques pour chaque compte est une première étape essentielle. Évitez les mots de passe faciles à deviner, comme des mots courants ou des informations personnelles. Par exemple, “123456” ou “password” sont des choix à proscrire.
Un gestionnaire de mots de passe peut vous aider à générer et stocker des mots de passe forts, ce qui simplifie la gestion de vos identifiants. De plus, activer l’authentification à deux facteurs ajoute une couche supplémentaire de sécurité. Cette méthode nécessite non seulement un mot de passe, mais aussi un code envoyé à votre téléphone, rendant l’accès à votre site beaucoup plus difficile pour les pirates.
Protection contre les attaques DDoS
Les attaques DDoS (Distributed Denial of Service) peuvent rendre votre site web inaccessible en submergeant votre serveur avec un trafic excessif. Pour contrer ces attaques, il est recommandé d’utiliser des services de protection contre les attaques DDoS qui bloquent le trafic malveillant avant qu’il n’atteigne votre serveur.
Configurer votre serveur pour résister aux attaques DDoS est également crucial. Cela peut inclure la limitation du trafic entrant et l’utilisation de techniques de filtrage pour identifier et bloquer les requêtes suspectes. Des plugins de sécurité spécifiques peuvent également être installés pour détecter et bloquer les attaques DDoS, assurant ainsi que votre site reste accessible à vos utilisateurs légitimes.
Sauvegardez régulièrement votre site
Les sauvegardes régulières sont essentielles pour protéger vos données et votre site web en cas de problème. Utiliser des plugins de sauvegarde permet d’automatiser ce processus, vous assurant ainsi que vos fichiers et votre base de données sont sauvegardés régulièrement sans effort manuel.
Il est recommandé de stocker vos sauvegardes dans un emplacement sécurisé, tel qu’un serveur distant ou un service de stockage en ligne. Cela garantit que, même en cas de piratage ou de défaillance du serveur, vous pouvez restaurer votre site à partir d’une sauvegarde récente, minimisant ainsi les pertes de données et les temps d’arrêt.
Installez un certificat HTTPS
Les certificats HTTPS (Hypertext Transfer Protocol Secure) sont essentiels pour sécuriser les communications entre votre site web et les navigateurs de vos visiteurs. Pour obtenir un certificat HTTPS, vous pouvez utiliser des services de certification qui fournissent des certificats SSL/TLS.
Une fois le certificat obtenu, il doit être installé sur votre serveur pour activer la sécurité SSL/TLS. Des plugins de sécurité peuvent être utilisés pour configurer et gérer votre certificat HTTPS, assurant ainsi que toutes les communications entre votre site et ses visiteurs sont cryptées et sécurisées.
Activer WAF (Firewall d’application web)
Les firewalls d’application web (WAF) sont des outils de sécurité qui protègent votre site web contre les attaques malveillantes. Utiliser des services de WAF permet de bloquer les attaques courantes contre votre site web, telles que les injections SQL et les scripts intersites (XSS).
Configurer votre WAF pour détecter et bloquer les attaques spécifiques à votre site web est crucial. Des plugins de sécurité peuvent être intégrés avec votre WAF pour assurer une protection continue et en temps réel contre les menaces. En utilisant un WAF, vous ajoutez une couche de défense supplémentaire, rendant votre site web plus résistant aux attaques malveillantes.
Sécurisez tous vos sites sans exception
En tant que propriétaire d’un « petit site web », vous vous dites peut-être que vous n’avez rien de précieux à protéger et donc à dérober. Dans ce cas, pourquoi un pirate s’intéresserait à moi ? Malheureusement, ça ne fonctionne pas comme ça. Bien au contraire, puisque les « petits WordPress » font en réalité des cibles faciles, et permettent d’accéder aux visiteurs dudit site. Une fois vos visiteurs exposés au pirate, ceux-ci font de nouvelles cibles faciles, et ainsi de suite. Il est donc primordial pour tout propriétaire de sécuriser son site WordPress correctement, et régulièrement.
Le risque zéro n’existe pas
Vous l’aurez compris, il existe des solutions efficaces et relativement simples à mettre en place pour prévenir une large majorité de risques de piratage et protéger son site WordPress. Cependant, en guise de conclusion de cet article dédié à la sécurité de site WordPress, j’aimerais rappeler que le risque zéro n’existe pas. En effet, même si vous possédez tous les meilleurs plugins et logiciels de sécurité, vous n’êtes pas définitivement à l’abri de découvrir un beau matin que votre site internet à été piraté, comme cela m’est arrivé.
Par conséquent, le moyen le plus efficace reste et restera toujours… vous ! Ou si vous préférez : votre vigilance, votre suivi quotidien du site internet, et votre expérience ! Et si vous ne pouvez pas le faire vous-même, mieux vaut confier cette tâche à nos professionnels 🙂