WordPress est le CMS le plus populaire au monde pour créer des sites Web. Sur les 10 millions de sites les plus visités sur le net, près d’un site sur trois est propulsé par WordPress.
Il n’est pas étonnant que l’entreprise à l’origine de l’outil, Automattic, dispose d’une équipe de programmeurs hautement qualifiés et experts en sécurité connue sous le nom d «WordPress Core Team». Ces experts de renommée mondiale sont chargés de protéger le logiciel de base de WordPress contre les pirates et les attaques malveillantes, et y arrivent plutôt bien, pour peu que chaque utilisateur de WordPress s’acquitte d’un certain nombre de tâches visant à sécuriser son site.
Car comme vous le savez, vous pouvez installer divers thèmes et plugins, (dont certains sont gratuits) dans WordPress afin d’ajouter des fonctionnalités à votre site Web.
Seulement, dans quelques cas, il est possible que l’un de vos plugins ou votre thème présente une faille de sécurité, que des pirates vont utiliser pour endommager à votre site Web. C’est un fait, plus de 50 % des attaques sur WordPress se produisent par le biais de plugins.
Dans cet article, nous nous intéresserons aux mesures que vous pouvez prendre pour prévenir les attaques futures, pour protéger votre site Web contre les actes malveillants, et examinerons enfin les principales mesures à prendre s’il est trop tard, et que votre site s’est fait pirater.
Étant donné que la plupart des étapes de cet article peuvent être mises en œuvre gratuitement, nous vous recommandons de passer en revue chaque conseil que nous partageons, et de mettre en œuvre ce qui n’a pas encore été fait sur votre site Web WordPress dès aujourd’hui.
Bien sûr si vous ne savez pas comment faire, il est possible de recourir à un professionnel.
Comment WordPress se fait pirater ?
La sécurité de votre site Web et sa capacité à résister aux attaques dépend des mesures que vous avez prises en amont pour le sécuriser.
Le respect de règles de sécurité simples peut contribuer à réduire de façon considérable les risques de piratage de votre installation.
Si vous vous êtes fait pirater, voici quelques raisons parmi les plus courantes, pour lesquelles votre site a pu être affecté, et comment vous pouvez adopter les mesures adéquate de sécurité pour éviter un nouveau piratage de WordPress :
1. WordPress n’était pas à jour
Il s’agit de la mesure de sécurité la plus élémentaire pour un site WordPress, et quelque chose que tous les développeurs ne cessent de rabâcher : le fait de ne pas mettre à jour de WordPress dans sa toute dernière version est de loin la raison principale des piratages du CMS.
Il est impératif que vous soyez toujours le plus rapide possible dans la mise à jour vers la dernière version : cela permet de corriger les vulnérabilités connues de votre site Web.
La version de WordPress la plus récente, au moment de la rédaction de ces lignes, est la 5.8.1.
Souvent, une mise à jour intervient après qu’une faille soit révélée : imaginez donc que l’information selon laquelle WordPress peut être piraté en faisant telle ou telle chose, soit rendue publique et que pourtant vous conservez cette mouture ?
Une personne mal intentionnée n’aurait vraiment pas grand-chose à faire pour s’en prendre à votre site, la façon de s’y prendre étant publique ! METTEZ. À. JOUR.
2. Plugins ou thème obsolètes
De nombreux propriétaires de sites WordPress utilisent des plugins et des thèmes obsolètes.
Comme ces plugins et thèmes contiennent des vulnérabilités connues, il est très facile pour un pirate de les exploiter.
Par conséquent, si le développeur du plugin propose une mise à jour, vous devriez vous empresser de la suivre.
De même, ne conservez aucun thème ou plugin inutile ou désactivé sur votre serveur : tant qu’il est présent sur celui-ci, il représente une menace potentielle. Et pour les plugins dont vous vous servez : METTEZ. À. JOUR.
3. Des mots de passe ou des noms d’utilisateur faibles
Presque toutes les zones sensibles de votre site web, convoitées par les pirates, sont sécurisées par un mot de passe.
Un mot de passe composé de votre propre nom (ou le nom de votre site Web) et ne comportant aucun chiffre, majuscule ou caractère spécial est un mot de passe faible.
Pensez à utiliser de mots de passe forts pour les accès suivants :
- l’accès au compte des administrateurs de WordPress,
- le panneau de configuration du serveur (votre hébergement),
- la base de données,
- les comptes FTP,
- votre compte de messagerie lié à votre site.
De plus, il est important de modifier le nom d’utilisateur par défaut par quelque chose d’unique.
Des mots comme admin, votre nom, le nom du site Web, sont trop faciles à deviner pour l’attaquant.
4. Autorisations de fichiers incorrectes
Des autorisations de fichiers faciles à obtenir peuvent permettre aux attaquants d’y accéder, de les modifier ou de les supprimer. Dans certains cas, les attaquants peuvent aller jusqu’à demander une rançon pour ces fichiers.
Vérifiez que les permissions accordées sont celles qui sont recommandées et veillez à ne pas accorder le moindre privilège superflu.
Pour les fichiers, WordPress recommande le code 644, tandis que les répertoires doivent se trouver en 755.
5. Accès non protégé au répertoire /wp-admin
Le répertoire /wp-admin, c’est la zone à partir de laquelle vous contrôlez l’ensemble de votre site web.
Un accès non protégé au répertoire admin de WordPress permet à vos utilisateurs/membres de l’équipe d’effectuer des actions non désirées sur votre site Web.
Ainsi, limitez-en l’accès en définissant des permissions pour les différents rôles utilisateurs.
Ainsi, aucun utilisateur n’a le pouvoir de tout faire. Et vous pouvez ajouter une couche supplémentaire d’authentification à votre répertoire d’administration WordPress.
6. Utiliser un compte FTP au lieu de SFTP/SSH
Les comptes FTP sont utilisés pour télécharger des fichiers sur votre serveur Web à l’aide d’un logiciel FTP. Le FTP « simple » ne crypte pas votre mot de passe, et augmente le risque que quelqu’un le pirate.
Le protocole SFTP, quant à lui, envoie des données cryptées au serveur. Donc, optez toujours pour SFTP plutôt que FTP.
Que faire lorsque votre site WordPress a été piraté ?
Si vous avez été piraté, la première chose à faire est de rester calme avant de tenter de résoudre le problème : si vous paniquez ou si vous vous savez incapable de réparer votre site internet, faites appel à un expert en sécurité WordPress.
Mettez votre site WordPress en mode maintenance
Votre site WordPress a été compromis, et vous ne voulez pas que vos visiteurs voient votre site dans cet état : passez votre site en mode maintenance pendant que vous le réparez.
De cette façon, vos utilisateurs penseront que vous effectuez une maintenance de routine.
Réinitialisez tous vos mots de passe
Un piratage signifie peut-être qu’un mot de passe fonctionnel a été utilisé.
Vous n’avez aucune idée de quel mot de passe il s’agit, réinitialisez donc tous vos mots de passe. Cela inclut les mots de passe cités plus haut, celui de l’admin de WordPress comme de l’hébergeur ou celui de la base de données.
Veillez également à informer les autres administrateurs, et demandez-leur de réinitialiser également leurs mots de passe.
Vous ne résoudrez pas le problème si le pirate est toujours capable d’accéder à l’administration. Il est donc préférable de supprimer tout compte administrateur inconnu ou suspect.
Avant de le faire, vérifiez avec votre équipe quels sont les comptes qui leur appartiennent, pour éviter de supprimer accidentellement un compte administrateur autorisé que vous n’auriez pas reconnu.
Mettez à jour tous vos plugins et thèmes
METTEZ. À. JOUR. TOUT : WordPress, les plugins, les thèmes.
Pour les plugins et les thèmes que vous n’aviez pas mis à jour (c’est à dire les plus à même d’avoir été piratés) vous pouvez les supprimer, et les réinstaller.
- Vérifiez la sécurité du plugin ou du thème avant de procéder à la réinstallation.
- Ne réinstallez pas les plugins ou les thèmes gratuits que vous avez obtenus en dehors des répertoires de plugins et de thèmes WordPress. Achetez plutôt des versions premium ou remplacez-les par des alternatives gratuites mais sécurisées.
- Si le problème persiste, vous devrez peut-être réinstaller WordPress lui-même. Les fichiers compromis dans le noyau de WordPress seront remplacés par une installation « propre ».
Supprimez tout fichier indésirable
Regardez si des fichiers qui ne devraient pas être là, y sont.
Attention, l’identification de ces fichiers indésirables peut être difficile à faire manuellement.
Il est préférable d’installer un plugin de sécurité qui peut scanner votre site web et vous dire si vous avez des fichiers qui ne sont pas censés être là.
À lire aussi : Comment supprimer un site WordPress ?
Nettoyez votre Sitemap
Il se peut que votre fichier sitemap.xml ait été piraté. Vous devez donc nettoyer votre sitemap et le régénérer en utilisant un plugin de référencement.
Avant de pouvoir régénérer votre sitemap, vous devez informer Google qu’il a été nettoyé.
Vous devrez donc soumettre à nouveau votre site Web à Google en envoyant un rapport via Google Search Console pour lui indiquer que vous souhaitez que votre site Web soit exploré.
Cela peut prendre jusqu’à deux semaines, et malheureusement, vous ne pouvez rien faire pour accélérer le processus.
Conclusion
Pour vous assurer que la faille de sécurité a bien été comblée, la meilleure solution reste de faire appel à un expert WordPress pour qu’il réalise un audit de sécurité sur votre site.
Cet article a-t-il été utile ?
C'est super !
Merci pour votre commentaire
Désolé ! Nous n'avons pas pu vous être utile
Merci pour votre commentaire
Commentaires envoyés
Nous apprécions vos efforts et nous allons corriger l'article