6 raisons pour lesquelles votre site WordPress peut être vulnérable aux pirates

Publié: 2019-04-26

Avec les fonctionnalités brillantes et les options de personnalisation fournies par WordPress, il n'est pas surprenant que près de 33 % des sites Web utilisent WordPress CMS. Cependant, les problèmes de sécurité potentiels peuvent revenir aux propriétaires de sites.

En fait, sur les 8 000 sites Web piratés analysés dans une étude récente, 74 % utilisaient WordPress.

Si vous utilisez un site Web WordPress, il est important de vous assurer que votre sécurité est correctement configurée afin de minimiser les risques.

Alors, quelle est la meilleure marche à suivre ?

Les problèmes de sécurité suivants sont parmi les plus vitaux et pourraient rendre votre site WordPress vulnérable aux pirates. Il est important que vous identifiiez ces problèmes et que vous les corrigiez ; tout de suite.

1. Service d'hébergement non sécurisé

L'hébergement Web est l'une des principales ressources nécessaires à la création d'un site Web.

Des performances de votre site à sa sécurité, votre service d'hébergement peut tout affecter. En tant que tel, il est crucial que vous choisissiez un fournisseur d'hébergement qui offre une sécurité adéquate.

Lorsque vous considérez et analysez vos options d'hébergement, les conseils suivants devraient vous aider.

    • Passez en revue toutes les fonctionnalités de sécurité qu'il fournit.
    • Comprenez qu'en matière d'hébergement, cher ne signifie pas toujours mieux.
    • Certains fournisseurs ont leurs plans d'entrée de gamme qui coûtent autant que les plans haut de gamme d'autres fournisseurs d'hébergement. Cela ne signifie pas toujours qu'ils peuvent être comparés.
    • Connaître la différence entre les deux types de services d'hébergement les plus populaires.

       Hébergement partagé:
       Un service d'hébergement partagé propose des analyses de sécurité de base capables de détecter les logiciels malveillants WordPress.
       Il vous permet également de suivre les visiteurs venant sur votre site. Cela peut vous aider à identifier les visiteurs nuisibles et à bloquer leurs adresses IP.
       Le principal atout d'un service d'hébergement partagé est sa capacité à héberger plusieurs sites Web, ce qui le rend également beaucoup moins cher que les autres types d'hébergement.

       Hébergement géré :
       Il s'agit du service d'hébergement qui fournit un pare-feu pour la sécurité ainsi qu'une analyse de routine des logiciels malveillants.
       Certains fournisseurs proposent des "services d'hébergement gérés" qui restreignent l'accès aux fichiers et dossiers WordPress pour les protéger.
       Par exemple, WP-Engine empêche les modifications dans tous les fichiers PHP, tandis que Pantheon n'autorise pas l'écriture sur des dossiers, à l'exception de celui contenant les données du thème et du plug-in.
  • Testez le support client :
     Le support client est un autre facteur que vous devez prendre en compte lors de la comparaison des fournisseurs d'hébergement.

     Qu'il s'agisse d'un problème trivial ou d'une panne complète ; s'il s'agit du service d'hébergement, le fournisseur doit offrir un support client complet.

     Pour savoir à quel point le système d'assistance d'un fournisseur est qualifié, obtenez simplement ses coordonnées et contactez-le. Posez-leur toutes vos questions et voyez à quel point ils sont patients et coopératifs pour répondre à vos préoccupations.

     Sur la base de cette expérience, vous auriez une idée de la façon dont ils réagiraient en cas de violation de la sécurité. Cela devrait vous aider à décider si vous voulez acheter chez eux ou non.

Si vous avez déjà acheté un plan d'hébergement auprès du mauvais fournisseur, ne vous inquiétez pas. Vous n'avez pas à attendre que votre plan expire. Des services comme BlogVault et Migrate Guru peuvent vous aider à migrer vers différents hébergeurs sans aucun problème.

2. Mises à jour du système

Comme tout autre CMS, WordPress nécessite une mise à jour régulière. Ignorer cela pourrait faire de votre site WordPress un risque potentiel pour la sécurité.

En fait, 80 % des sites Web WordPress qui ont été piratés utilisaient des thèmes et/ou des plugins obsolètes. Une révélation, n'est-ce pas ?

Étant un CMS open source avec des milliers de développeurs travaillant sur différents thèmes et plugins, votre tableau de bord WordPress peut recevoir de nombreuses mises à jour en fonction des plugins et des thèmes que vous utilisez.

Vous devez vous assurer que tous les thèmes principaux et plugins sont mis à jour vers la dernière version.

 Étapes pour mettre à jour un plugin :

  • Ouvrez votre tableau de bord WordPress et accédez à Plugins > Plugins installés
  • Le tableau de bord vous amènera à la page affichant les plugins que vous avez installés.

     Identifiez les plugins en attente et mettez-les à jour et cliquez sur "mettre à jour maintenant".

De même, vous pouvez mettre à jour les thèmes de votre site de la même manière en accédant à Apparence > Thèmes.

Cela débloquera également les dernières fonctionnalités ajoutées au thème/plugin/système. Cela aide à maintenir la sécurité et la stabilité de votre site Web en même temps.

3. Thèmes ou plugins piratés

Bien que la configuration d'un site Web WordPress ne brûle pas un trou dans votre poche, le rendre esthétique et riche en fonctionnalités pourrait, comme un bon thème/plugin WordPress, vous coûter entre 10 $ et 200 $.

Pour échapper à ces coûts "soi-disant" non sollicités, les webmasters empruntent souvent la voie la moins chère et utilisent des plugins/thèmes annulés/piratés, qui sont disponibles gratuitement ou à des prix négligeables.

Quels en sont les résultats ?

Il y a eu un certain nombre de cas où un site Web utilisant un thème annulé a involontairement accordé un accès de porte dérobée aux pirates via l'URL : http://www.example.xyz?backdoor=go

 Les pirates ont pu accéder au site car l'URL a déclenché une porte dérobée vers le site Web, créant un nouveau compte administrateur WordPress avec les informations d'identification suivantes :

 Nom d'utilisateur : backdooradmin
 Mot de passe : Pa55W0rd

Ceci est généralement le résultat d'un shortcode supplémentaire qui a été ajouté au fichier functions.php par le véritable propriétaire du thème.

Pour sauver votre site de tels risques. Procurez- vous toujours des thèmes et des plugins à partir du référentiel WordPress officiel ou d'autres sources fiables telles que Theme Forest ou Themeisle.

4. Détails de connexion factices

Page de connexion par défaut :
 L'utilisation des mêmes anciens noms d'utilisateur et de mots de passe faciles à deviner rend la vie beaucoup plus facile pour les pirates qui tentent d'accéder au back-end de votre site Web.

Comment réparer?

  • Problème de nom d'utilisateur et de mot de passe :
     Essayez de créer un nom d'utilisateur et un mot de passe que vous n'avez pas utilisés sur un autre compte.

     Veuillez noter qu'il est crucial d'avoir un nom d'utilisateur unique. Si le nom d'utilisateur est facile à deviner, la seule chose qu'un pirate informatique devra découvrir est votre mot de passe.

     Assurez-vous de ne jamais afficher votre nom d'utilisateur sur votre site Web. Faire cela reviendrait à donner aux pirates une invitation personnelle à se régaler de votre tableau de bord WordPress. Utilisez plutôt un surnom ou un titre différent du nom d'utilisateur. Problème d'URL de la page de connexion par défaut : www.votresite.com/wp-admin

     Il s'agit du choix le plus simple et le plus courant d'une URL de page de connexion WordPress, ce qui rend votre site vulnérable aux pirates.

     La plupart des pirates n'attaquent pas manuellement. Ils programment des bots pour accéder aux pages de connexion et déchiffrer les identifiants de connexion des sites cibles.

     L'utilisation de l'URL de la page de connexion par défaut réduira le travail des robots et des pirates qui tentent d'accéder à votre site Web.

     La meilleure solution consiste à modifier l'URL de connexion par défaut.

     Par exemple, changer – www.yoursite.com/wp-admin en www.yoursite.com/welcometomysite

     Pour ce faire, suivez ces étapes simples.

     – Tout d'abord, effectuez une sauvegarde complète de votre site WordPress à l'aide de UpdraftPlus.

    – Ensuite, installez et activez le plugin 'Easy Hide Login' (c'est gratuit).
    - Allez dans les paramètres du plugin et soumettez votre choix de slug de connexion (comme "welcometomysite").

     – Cela changera votre adresse de connexion WordPress de yoursite.com/wp-admin à yoursite.com/welcometomysite et rendra beaucoup plus difficile le piratage de votre site.


 5. Fichiers PHP inscriptibles

Comme tout autre programme informatique sur ou hors du Web, un site Web WordPress se compose également de fichiers et de dossiers.

L'un de ces dossiers est le dossier 'Téléchargements'. Ce dossier stocke toutes les données de thèmes et de plugins pour votre site.

Les pirates potentiels peuvent trouver un moyen de télécharger un code PHP dans ce dossier pour accéder à votre site Web.

Une fois que les pirates ont accès via cette méthode, ils peuvent voler le contenu que vous prévoyiez de publier à l'avenir ainsi que d'autres ressources importantes telles que les adresses e-mail de votre liste de diffusion. Ils peuvent également vendre des liens de retour à partir de votre site ou utiliser votre contenu pour créer des liens vers leurs sites Web à votre insu. Ou pire encore, ils peuvent détruire tout le site Web et le supprimer.

Le pire dans ce type de piratage est que vous ne sauriez rien de tout cela jusqu'à ce que votre fournisseur d'hébergement ou un moteur de recherche interdise votre site Web.

Pour vous éviter cela, vous pouvez désactiver l'exécution de PHP en suivant les étapes suivantes.

  • Créez un fichier .htaccess dans le dossier "Téléchargements" du répertoire racine de votre site Web dans cPanel.

  • Créez un nouveau fichier avec Notepad (sur Windows) ou TextEdit (sur Mac).
  • Collez le code suivant dans ce fichier et enregistrez-le sous .htaccess (et non sous .htaccess.txt).

     # COMMENCER WordPress

     Moteur de réécriture activé
     RéécrireBase /
     RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
     RewriteCond %{REQUEST_FILENAME} !-d
     Réécrire la règle . /index.php [L]
     # FIN WordPress
  • Téléchargez ce fichier dans le dossier "Téléchargements".
  • Maintenant, vous avez un nouveau fichier .htaccess spécifiquement pour votre dossier "Téléchargements". Faites un clic droit pour le modifier et collez le code suivant.


     Commander Autoriser, Refuser
     Refuser de tout

Après avoir mis en œuvre les étapes ci-dessus, votre site Web empêchera l'exécution de tout fichier étranger composé de "PHP". Ce changement ajoutera une autre brique au mur de sécurité de votre site.

Notez également que l'utilisation de cette méthode est un peu risquée. Même une erreur insignifiante peut endommager votre site. Donc, si vous n'êtes pas sûr de l'utilisation de cPanel, consultez quelqu'un qui l'est.

6. Absence de certificat SSL

Bien que http://yoursite.com et https://yoursite.com chargent tous les deux la même page Web, il existe une petite différence qui peut rompre l'accord.

Le certificat SSL.

La première URL de l'exemple ci-dessus n'utilise pas de certificat SSL, alors que le deuxième exemple l'est.

 Cela peut grandement affecter la sécurité d'un site Web en mettant en péril la communication entre l'appareil du visiteur et vos serveurs Web.

Un certificat SSL crypte les informations afin qu'elles ne soient accessibles qu'aux destinataires prévus. Pour protéger votre site Web contre de telles fuites, il est recommandé d'installer un certificat SSL le plus tôt possible.

 L'installation d'un certificat SSL est généralement simple et facile à faire. Vous pouvez généralement acheter un certificat SSL auprès de votre fournisseur d'hébergement, mais s'il ne vend pas de service SSL, vous devriez envisager d'acheter auprès d'un autre fournisseur.

Obtenir un certificat SSL auprès de votre fournisseur d'hébergement vous évitera également les tracas de l'installation. Ils mettront tout en place et vous n'aurez plus qu'à rediriger vos pages 'http' vers 'https'.

En résumé

Ne pas sécuriser votre site WordPress contre les menaces de sécurité peut nuire à votre entreprise de plusieurs façons. Il n'est pas surprenant que tous les webmasters doivent faire attention à la sécurité du site Web et avoir un plugin et un système de sauvegarde adéquats en place. Malgré tous vos efforts, si le pire se produisait et que votre site subissait une attaque malveillante ; UpdraftPlus peut fournir une option de sauvegarde et de restauration sûre et sécurisée. Cela vous aidera à vous assurer que votre site Web dispose toujours de ce filet de sécurité important, même en cas de piratage.

Dans cet article, vous avez lu environ 6 failles qui pourraient potentiellement mettre en danger la sécurité de votre site Web WordPress en raison de pirates. J'espère que cet article vous a aidé à sécuriser votre site et à faire passer sa sécurité au niveau supérieur.

Par Vaibhav Kakkar

Le post 6 raisons pour lesquelles votre site Web WordPress peut être vulnérable aux pirates est apparu en premier sur UpdraftPlus. UpdraftPlus – Plugin de sauvegarde, de restauration et de migration pour WordPress.