WordPress est le système de gestion de contenu (CMS) le plus utilisé sur le web, cela en fait une cible de choix pour les pirates informatiques. Pour contrer ce fait, les équipes de développement de WordPress travaillent sans relâche pour pouvoir sécuriser son site web WordPress de manière optimale, que ce soit un e‑commerce, un blog, etc.
Nous verrons dans cet article quels sont les principaux problèmes de sécurité sur WordPress, quelles sont les solutions que vous pouvez apporter pour renforcer la sécurité de votre site web, et enfin, comment “nettoyer” votre site s’il a été la cible d’une attaque.
Les principaux problèmes pour sécuriser son site web WordPress
Bien que WordPress soit le CMS le plus piraté du monde, il n’en reste pas moins un système de gestion de contenu bien sécurisé de base, avec la condition de faire les mises à jour système régulières que le site impose. En effet, 39,3 % des sites WordPress piratés utilisaient un logiciel WordPress obsolète au moment de l’incident (source).
La principale attractivité de WordPress est la présence sur la plateforme de très nombreux thèmes et plugins, mais il faut bien savoir que chacun d’entre eux est une faille potentielle.
Un problème récurrent, qui n’est pas seulement présent sur WordPress, c’est ce que l’on appelle le “piratage classique”, c’est-à-dire qu’un pirate met la main sur vos identifiants de connexion WordPress ou vos identifiants de connexion pour l’hébergement.
Moins classique, mais tout autant redoutable, les attaques de “Supply Chain”. Un pirate informatique achète un plugin de haute qualité répertorié sur WordPress, y ajoute une faille dans le code, attend que l’utilisateur mette à jour le plugin afin d’y injecter la faille.
Voici les principales failles que vous pouvez rencontrer sur WordPress. L’important pour les combattre et tout d’abord de les identifier, et les connaître. Nous allons voir maintenant comment prévenir ces failles et faire en sorte que votre site soit imperméable à tout type d’attaque informatique.
Conseils de sécurité pour prévenir les attaques sur votre site WordPress
Les mises à jour
La principale faille, nous l’avons vu, concerne les mises à jour. Pour prévenir cette faille, vous devez être vigilant et mettre à jour régulièrement votre WordPress, vos thèmes et vos plugins.
Et n’oubliez pas de masquer la version de WordPress que vous utilisez ! Pour cela, enlever la ligne la mentionnant dans le dossier function.php et dans le dossier readme.html à la racine de votre dossier. En effet, si vous laissez cette information visible, le pirate saura quelle version vous utilisez et donc trouvera plus facilement les failles qui auront le plus de possibilité de réussite.
Toujours dans le dossier functions.php, vous pouvez ajouter la ligne suivante : define(‘DISALLOW_FILE_EDIT’, true); afin d’empêcher à un tiers d’éditer vos fichiers depuis WordPress.
Les plugins et thèmes
Nous vous recommandons également de choisir avec beaucoup de précautions vos thèmes et vos plugins. L’important est de ne pas télécharger de versions crackées et s’en tenir de préférence à installer des extensions officielles ou provenant de développeurs réputés dans le domaine de WordPress.
Si vous n’utilisez plus certains thèmes, certains plugins, supprimez-les !
Les sauvegardes
Il est primordial de sauvegarder vos bases de données régulièrement (pourquoi pas hebdomadaire ou bi-hebdomadaire) afin d’anticiper une éventuelle attaque de votre site, pour ne pas perdre toutes vos données et avoir toujours une copie en sécurité.
La connexion à votre site et votre hébergement
Il faut utiliser des mots de passe complexes (WordPress en propose) pour vos identifiants de connexion, et sur vos comptes d’hébergement. Certaines extensions, comme WPS Limit Login, permettent de configurer le nombre de tentatives de connexion, pour éviter une intrusion par la méthode qui consiste à multiplier les combinaisons afin de percer vos identifiants.
Vous pouvez aller jusqu’à modifier l’URL de connexion en la modifiant dans le dossier htaccess ou en utilisant l’extension Custom Login URL. Une petite sécurité facile en plus, n’utilisez pas le nom “admin” pour votre nom d’utilisateur, c’est la première chose qu’un pirate essayera.
Il est important pour parer toutes éventuelles attaques de bloquer la navigation d’un tiers dans vos dossiers WordPress. En fait, il existe un fichier wp-content permettant à tout le monde d’y accéder. Pour éviter cela, rendez-vous dans votre dossier htaccess et écrivez la ligne suivante : deny from all entre ces balises : <files wp-config.php></files> et <files .htaccess></Files>
Il existe une solution très efficace sera l’utilisation d’un « WordPress authentication plugin », c’est l’authentification à deux étapes ; la première étant la prise en charge de vos identifiants et la seconde est une vérification par code via SMS, appel téléphonique ou via une application. Le pirate, en plus de devoir trouver vos identifiants, devra avoir accès à votre téléphone. La sécurité en est donc grandement renforcée. Parmi ces plugins on retrouve notamment Google Authenticator, RapID Secure Login ou encore Keyy Two Factor Authentication.
Afin de garantir une bonne sécurité à l’accès de votre administration WordPress, veuillez choisir un hébergeur avec un environnement sécurisé, qui utilise les dernières technologies telles que PHP 7+, et n’oublier pas, bien sûr, de sécuriser votre ordinateur avec un antivirus.
Pour les points plus techniques :
- Sécuriser son site WordPress https : nous vous invitons à protéger votre connexion à l’aide d’un certificat SSL, qui passera votre site en HTTPS (le petit cadenas dans l’URL), qui, en plus de favoriser votre référencement SEO, permet de transmettre en clair les données transférées entre le serveur et le navigateur web.
- Ajouter un « WordPress security plugin » : il est intéressant de télécharger un plugin (officiel de préférence) anti-DDoS, comme Sucuri Security, pour contrer les attaques DDoS, qui envoient des requêtes par dizaine de milliers sur votre site afin de le faire planter et le rendre inaccessible.
- Ajouter un plugin pare-feu : Il existe des plugins qui comprennent des pare-feu et des scanners de logiciels malveillants, par exemple Wordfence.
Si vous chercher une agence spécialisée WordPress pour estimer le coût de la refonte ou le prix pour la création de votre site internet , vous pouvez obtenir votre devis en ligne.
Comment nettoyer son site WordPress piraté ?
- Savoir que l’on est impacté
Vous remarquez assez vite que votre site est piraté, vous recevez des messages d’avertissements, votre audience baisse drastiquement dans un laps de temps réduit, votre site redirige les utilisateurs sur d’autres sites, vous ne pouvez pas vous connecter à votre panneau d’administration, le site envoie des notifications push non désirées, vous trouvez sur votre site des messages d’erreurs inattendus, le site devient lent etc…
Il existe une technique infaillible pour savoir si un pirate a ajouté des pages indésirables sur votre site en passant par le SERP (la page de résultats d’un moteur de recherche), en tapant dans le moteur de recherche ceci “site:nom_de_mon_site.fr”, vous y trouverez toutes vos pages et pourrez facilement voir si une page étrangère y figure. Cela vous permet de trouver ou se trouve la faille et ainsi pouvoir la rectifier.
- Protéger les utilisateurs
Tout d’abord, commencez par activer le mode maintenance de votre site web, ainsi il n’apparaîtra pas sur le web, cela évite aux internautes de prendre peur et de ne jamais revenir s’il se rend compte que le site est piraté, et cela empêchera aussi aux utilisateurs qui ne s’en rendent pas compte d’être piratés à leurs tours.
- Vérifier tous vos fichiers
Pour ce faire, allez regarder dans vos fichiers, puis supprimer les lignes suivantes :
- Les liens malveillants
- Les fichiers php étrangers
- Les fichiers nouveaux et inconnus dans les répertoires wp-admin et wp-includes
- Les accès administrateurs que vous ne connaissez pas
Puis, vérifiez chacun des plugins et des thèmes que vous avez téléchargés.
Le problème peut aussi venir de la base de données, vérifiez-la et supprimer les éventuelles requêtes étrangères.
Nous vous invitons également à consulter les modifications récentes, les attaques peuvent être répertoriées dedans, et donc pourront plus facilement être identifiées et rectifiées.
- Changer les identifiants
Cela implique de modifier tous vos mots de passe (identifiants WordPress et hébergement).
- S’assurer que votre WordPress est pur
Pour ce point, vous pouvez comparer vos fichiers avec les fichiers d’un nouveau site WordPress non piraté.
Le plugin IThemes Security permet aussi d’interdire la connexion aux adresses IP des pirates identifiés.
- Si le site est irrécupérable
Si le site est trop fortement infecté, il vaut mieux le supprimer et le réinstaller intégralement à l’aide des sauvegardes que vous aurez faites au préalable. Assurez-vous bien sûr de vérifier chaque plugin ou thèmes que vous installez afin de ne pas éventuellement répéter votre erreur initiale.
Une fois votre site nettoyé ou réinstaller intégralement, suivez nos conseils afin de prévenir d’éventuelles autres attaques.
Chez Webalia, nous connaissons ce problème et les solutions qui conviennent et nous proposons de vous assister dans la mise en place de votre projet.