Ce que vous allez trouver dans cet article :
Aujourd’hui sur le blog, nous vous proposons une infographie de Digital Marketing Philippines qui recense un certain nombre de failles de WordPress. Certaines solutions sont proposées afin de remédier à ces vulnérabilités. Nous les passons en revue.
Il y a peu de temps encore, WordPress faisait l’objet de failles de sécurité. Les hackers avaient été nombreux à exploiter ces vulnérabilités avant que WordPress réussisse à les corriger. Les dernières attaques étaient des campagnes de suppression de contenu intentionnelle ou Search Engine Poisoining, une stratégie de campagne SEO Black Hat impliquant la propagation de spam et de logiciels malveillants.
Mais pourquoi WordPress est-il la cible favorite des pirates informatiques ?
Avec près de 28% des sites web utilisant WordPress, les pirates informatiques peuvent obtenir un contrôle substantiel d’Internet s’ils parviennent à exploiter de telles vulnérabilités. Ils peuvent même exploiter les 100 meilleurs blogs, dont 8% sont gérés par WordPress CMS.
Les bonnes pratiques pour éviter le piratage de votre site/blog WordPress
WordPress est la plateforme de choix des propriétaires de petites entreprises et des spécialistes du marketing numérique. Ces-derniers doivent cependant faire tout ce qu’ils peuvent pour protéger leurs intérêts et sécuriser leurs sites WordPress. Voilà ci-dessous quelques petits conseils.
#1. Hébergement et configuration WordPress
Une plateforme d’hébergement qui n’est pas totalement optimisée pour WordPress laisse des failles de sécurité. Afin de les éviter, contractualisez avec un service qui se bat contre ce type de failles et utilisez un service d’hébergement plus sécurisé qui procure des mises à jour automatiques et des paramétrages avancés en termes de sécurité. Pensez à rendre votre fichier wp-config.php inaccessible pour les hackers en ajoutant un code de sécurité à votre fichier .htaccess. Utilisez également le SFTP au lieu du traditionnel FTP afin de vous connecter à votre serveur de façon sécurisée. Enfin, pensez à faire les mises à jour WordPress. Assurez-vous de toujours utiliser la dernières version du CMS !
#2. Page Login
L’URL standard de connexion à WordPress est très largement connue et donc permet un piratage plus facile de votre site. Pensez à modifier l’URL de login de votre site web en la rendant unique (au lieu de wp-login.php, utilisez par exemple unique_login.php). Utilisez deux facteurs d’authentification afin de pouvoir vous connecter (possibilité d’envoyer un code au téléphone portable). Pensez au reCAPTCHA afin d’éviter les attaques de robots. Vous pouvez utiliser pour cela le plugin No CAPTCHA reCAPTCHA.
En outre, utilisez un email en tant qu’ID afin de vous connecter à votre compte administrateur. En effet, les emails sont plus compliqués à deviner que les noms d’utilisateurs. Bien évidemment, n’utilisez jamais « admin » en tant que nom d’utilisateur. Vous pouvez également bloquer la page authentification une fois que plusieurs essais infructueux de connexion ont été réalisés. Enfin, pensez à utiliser un mot de passe avec des majuscules, des minuscules, des chiffres, etc.
#3. Dashboard administrateur
Le tableau de bord administrateur est une des sections les plus ciblées par les pirates informatiques puisqu’il permet d’avoir un accès total au site web et ainsi de créer le plus de dommages possibles.
Pensez à crypter vos données en utilisant un certificat SSL et en utilisant des plugins sécurisés afin de piloter des changements sur votre site.
#4. Base de données
Les pirates tentent de rentrer sur les sites web par le biais des bases de données afin d’en voler les informations. Faites en sorte de rendre l’accès à votre base de données difficile en utilisant un mot de passe complexe. Modifiez également le tableur par défaut de votre base de données WordPress en le rendant unique. Pensez à réaliser régulièrement des backups de votre site web et de votre base de données. Des plugins existent afin d’en réaliser de façon périodique.
#5. Thèmes et Plugins
Les thèmes et les plugins sont les principales sources de vulnérabilité. Une étude wpscan.org indique même que 52% des vulnérabilités WordPress proviennent des thèmes et 11% des thèmes. Ainsi, pensez à n’utiliser des thèmes et des plugins qui proviennent de sources sûres (par exemple de vendeurs qui vérifient la sécurité de leurs thèmes régulièrement). Pensez également à les mettre à jour le plus souvent possible. Supprimez les extensions qui sont inactives ou que vous n’utilisez pas sur votre site web.
#6. Utilisateurs
Un site web qui détient de nombreux auteurs et qui multiplie les accès est plus vulnérable. Faites en sorte que chacun des auteurs sur votre site comprenne les règles de sécurité que vous avez mises en place. Chacun d’entre eux doivent avoir un mot de passe complexe combinant des chiffres, des lettres, des minuscules, des majuscules, etc.
Dans l’infographie ci-dessous, découvrez un certain nombre d’informations complémentaires afin de sécuriser votre site WordPress. Des bouts de code peuvent être ajoutés à des endroits précis de votre site web afin d’éviter le piratage (quelques exemples dans l’infographie).