Catégories
Plugin et site web

10 raisons pour lesquelles votre site WordPress sera piraté (et comment l'arrêter)

Un site WordPress piraté est aussi dommageable que le cambriolage de votre maison. Cela peut complètement briser votre tranquillité d'esprit et avoir un impact négatif sur votre activité en ligne.

Pourquoi les pirates ciblent-ils les sites WordPress? La réponse est relativement simple: WordPress est la plus grande plate-forme de création de sites Web de nos jours, il y a donc une base plus large à attaquer; cela attire l'attention des cybercriminels.

Alors, comment un piratage peut-il avoir un impact sur votre site Web?

Selon le type d'attaque, votre site Web pourrait subir l'un des éléments suivants:

  • Il pourrait être complètement dégradé;
  • Il pourrait se charger ou fonctionner très lentement sur n'importe quel appareil;
  • Il pourrait complètement planter et dysfonctionner;
  • Il pourrait afficher le terrible «écran blanc de la mort»;
  • Ses visiteurs entrants pourraient être redirigés vers d'autres sites Web suspects;
  • Il pourrait perdre toutes vos précieuses données client.

Cette liste n'est pas exhaustive mais vous voyez l'idée.

Maintenant que nous savons comment un piratage réussi peut avoir un impact sur votre site Web et votre activité en ligne, examinons les 10 principales raisons derrière les piratages WP et évitons-les.

1. Un hôte Web non sécurisé

Comme tout site Web, WordPress est hébergé sur un hébergeur ou un serveur Web. Malheureusement, la plupart des propriétaires de sites ne prêtent pas beaucoup d'attention à l'hébergeur qu'ils sélectionnent et choisissent le moins cher qu'ils peuvent trouver. Par exemple, il est plus abordable d'héberger un site Web sur un plan d'hébergement partagé – un plan qui partage ses ressources de serveur avec de nombreux autres sites Web comme le vôtre.

Cela peut rendre votre site vulnérable aux pirates informatiques en tant que piratage réussi de n'importe quel site Web sur le serveur partagé. Un seul site piraté peut consommer la bande passante globale du serveur et avoir un impact sur les performances de tous les autres sites.

La seule façon de résoudre ce problème est d'opter pour un hôte fiable et un serveur virtuel ou dédié.

Conseil pro: Si vous utilisez déjà un plan d'hébergement partagé, vérifiez auprès de vos hôtes s'ils proposent un hébergement VPS et effectuez le changement.

2. Utilisation de mots de passe faibles

Les mots de passe faibles sont la principale raison du succès des attaques par force brute qui ciblent votre compte. Même à ce jour, les utilisateurs continuent d'utiliser des mots de passe faibles et courants comme «mot de passe» ou «123456»; si vous en faites partie, votre site Web pourrait poser problème!

Deviner les mots de passe faibles permet aux pirates d'accéder aux comptes d'administrateur où ils peuvent infliger le maximum de dégâts.

Comment réparez-vous ce problème? Simple, assurez-vous que tous les utilisateurs de votre compte (y compris les utilisateurs administrateurs) configurent des mots de passe forts pour leurs informations de connexion. Avec au moins 8 caractères, les mots de passe doivent être un mélange d'alphabets, de chiffres et de symboles majuscules et minuscules.

Pour plus de sécurité, installez un outil de gestion des mots de passe qui peut générer et stocker automatiquement des mots de passe forts.

Conseil pro: Vous pouvez utiliser un plugin pour réinitialiser les mots de passe de tous vos utilisateurs.

3. Une version WP obsolète

Les logiciels obsolètes font partie des raisons les plus courantes pour lesquelles les sites Web sont piratés. Bien que le téléchargement soit gratuit, la plupart des utilisateurs du site reportent la mise à jour de leur site vers la dernière version, par crainte de mises à jour provoquant le plantage de leur site.

Les pirates tirent parti de toute vulnérabilité ou bogue dans une version plus ancienne et causent des problèmes tels que les injections SQL, les logiciels malveillants WP-VCD, le spam SEO et d'autres problèmes majeurs tels que la redirection de site Web vers un autre site.

Comment résolvez-vous ce problème? Lorsque vous voyez une notification concernant une mise à jour sur votre tableau de bord, mettez à jour votre site dès que possible.

Conseil pro: Si vous craignez que les mises à jour plantent votre site Web en direct, vous pouvez d'abord tester les mises à jour sur un site de préparation.

4. Plugins et thèmes WP obsolètes

Comme pour le point précédent, les pirates tirent également parti des plugins et des thèmes obsolètes, inutilisés ou abandonnés installés sur des sites Web. Avec plus de 55 000 plugins et thèmes disponibles, il est facile d'installer un plugin ou un thème, même à partir de sites Web dangereux ou non fiables.

De plus, de nombreux utilisateurs ne mettent pas à jour leurs plugins / thèmes installés avec la dernière version ou ne trouvent pas la version mise à jour. Cela permet aux pirates de faire plus facilement leur travail et d'infecter les sites.

Comment éviter ce problème? Comme pour la version principale de WP, mettez régulièrement à jour chacun de vos plugins / thèmes installés sur votre site. Faites l'inventaire de tous ceux qui ne sont pas utilisés et supprimez-les ou remplacez-les par de meilleures alternatives.

Vous pouvez mettre à jour vos plugins / thèmes depuis votre compte d'hébergement.

Conseil pro: Nous vous suggérons de réserver du temps chaque semaine pour exécuter les mises à jour. Testez-les sur un site de développement, puis mettez à jour votre site.

5. Noms d'utilisateurs courants des administrateurs

En plus des mots de passe faibles, les utilisateurs créent également des noms d'utilisateurs communs faciles à deviner.

Cela inclut les noms d'utilisateur courants pour les utilisateurs administrateurs tels que «admin», «admin1» ou «admin123». Les noms d'utilisateur d'administrateur courants permettent aux pirates d'accéder plus facilement aux comptes d'administrateur et de contrôler les fichiers backend dans votre installation WP.

Comment éviter ce problème? Si vous utilisez des noms d'utilisateur faciles à deviner, changez-les immédiatement en un nom d'utilisateur unique. Le moyen le plus simple de le faire consiste à utiliser l'outil de gestion des utilisateurs de votre compte d'hébergement, en supprimant l'utilisateur administrateur précédent et en créant un nouvel utilisateur administrateur avec un nom d'utilisateur unique.

Dans un premier temps, modifiez le nom d'utilisateur par défaut de votre utilisateur administrateur et limitez les utilisateurs disposant de privilèges d'administrateur.

Conseil pro: WordPress a 6 rôles d'utilisateur différents avec des autorisations limitées. N'accordez l'accès administrateur qu'aux utilisateurs qui en ont vraiment besoin.

6. Utilisation de plugins / thèmes nuls

Pour en revenir à l'importance des plugins / thèmes, les utilisateurs ont accès à de nombreux sites Web qui vendent des copies annulées ou piratées de plugins et de thèmes populaires et payants. Bien qu'ils soient gratuits, ils sont souvent criblés de logiciels malveillants. Ils peuvent compromettre la sécurité globale de votre site Web et faciliter l’exploitation des pirates informatiques.

Étant une copie piratée, les plugins / thèmes annulés ne disposent d'aucune mise à jour disponible de la part de son équipe de développement, et n'auront donc aucun correctif de sécurité.

Comment réparez-vous ce problème? Simple, pour commencer, téléchargez uniquement des plugins et des thèmes originaux à partir de sites Web et de marchés de confiance.

Conseil pro: Si vous ne souhaitez pas payer pour des plugins et des thèmes payants ou premium, optez pour une version gratuite des mêmes outils qui auront des fonctionnalités limitées mais qui sont toujours plus sûres à utiliser que la version annulée.

7. Accès non protégé au dossier wp-admin

Pour prendre le contrôle de votre site, les pirates essaient souvent de pénétrer et de contrôler votre dossier wp-admin dans votre installation. En tant que propriétaire du site Web, vous devez prendre des mesures pour protéger votre répertoire wp-admin.

Comment pouvez-vous protéger votre dossier wp-admin? Tout d'abord, limitez le nombre d'utilisateurs ayant accès à ce dossier critique. De plus, demandez la protection par mot de passe comme couche de sécurité supplémentaire pour l'accès au dossier wp-admin. Vous pouvez le faire en utilisant la fonction «Répertoires de protection par mot de passe» du cPanel dans votre compte d'hébergeur Web.

Conseil pro: Outre ces correctifs, vous pouvez également implémenter une protection par authentification à deux facteurs (ou 2FA) pour tous vos comptes d'administrateur.

8. Site Web non SSL

Vous pouvez facilement migrer votre site Web HTTP vers HTTPS en installant un certificat SSL sur votre site. SSL (ou Secure Socket Layer) est un mode sécurisé de cryptage de toute transmission de données entre votre serveur Web et le navigateur client.

Sans ce cryptage, les pirates peuvent intercepter les données et les voler. De plus, un site Web non sécurisé peut avoir de nombreuses implications négatives pour votre entreprise – un classement SEO inférieur, une perte de confiance des clients ou une baisse du trafic entrant.

Comment réparez-vous ce problème? Vous pouvez obtenir rapidement un certificat SSL auprès de votre hébergeur ou de vos fournisseurs SSL. Il crypte toutes les données envoyées et reçues par votre site Web.

Conseil pro: Vous pouvez obtenir un certificat SSL gratuit à partir d’endroits tels que Let’s Encrypt, mais ceux-ci offrent une protection limite qui ne sera suffisante que pour un site de démarrage ou un petit site.

9. Aucune protection par pare-feu

Le manque de protection par pare-feu est une autre raison courante pour laquelle les pirates peuvent contourner les mesures de sécurité du site Web et infiltrer les ressources du backend. Les pare-feu sont la dernière ligne de défense contre les pirates et fonctionnent comme l'alarme de sécurité installée sur votre maison. Les pare-feu surveillent les requêtes Web provenant de diverses adresses IP, y compris les plus suspectes (ou mauvaises).

Ils peuvent identifier et bloquer les demandes connues pour être malveillantes dans le passé, empêchant ainsi les pirates d'accéder facilement au domaine de votre site Web. Les pare-feu d'applications Web peuvent contrecarrer diverses attaques, notamment les attaques par force brute, les injections XSS et SQL.

Conseil pro: Un pare-feu offre une sécurité indispensable et constitue votre première ligne de défense. Mais il est également important d’installer un scanner de logiciels malveillants.

10. Manque de mesures de durcissement WordPress

En règle générale, les pirates ciblent les zones ou les faiblesses les plus vulnérables d'une installation WP, pour accéder illégalement ou endommager le site Web. L'équipe WordPress a identifié ces zones vulnérables et a élaboré une liste de 12 mesures de durcissement recommandées pour chaque site Web.

Quelques-uns d'entre eux incluent:

  • Désactivation de l'éditeur de fichiers;
  • Empêcher l'exécution de PHP dans des dossiers non approuvés;
  • Changer les clés de sécurité;
  • Interdire les installations de plugins;
  • Déconnexion automatique des utilisateurs inactifs;

Comment mettez-vous en œuvre ces mesures de durcissement? Alors que certaines étapes sont faciles à comprendre, d'autres nécessitent l'expertise technique du fonctionnement de WordPress.

Conseil pro: Vous pouvez mettre en œuvre vous-même des mesures de renforcement. Cependant, certaines mesures nécessitent une expertise technique, donc dans ces cas, il est beaucoup plus facile et plus sûr d'utiliser un plugin.

Image présentée via Pexels.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *