Protéger votre site WordPress contre les ransomwares

WordPress est le CMS le plus populaire au monde. Et bien que ce soit généralement une bonne chose, cela peut également faire de WordPress une cible pour les logiciels malveillants à la recherche d'une large portée.

Malheureusement, étant donné que les cyberattaques sont devenues plus importantes et plus évolutives au fil des ans, à long terme, ce n'est souvent pas une question de « si » mais de « quand » les entreprises en ligne seront attaquées. Et les succès très médiatisés des récentes attaques de rançongiciels signifient que cette tendance est susceptible de se poursuivre.

Cela étant dit, vous pouvez prendre de nombreuses mesures pour rendre votre site Web beaucoup moins vulnérable aux attaques courantes.

Comprendre le risque

Un rançongiciel est un logiciel qu'un attaquant installe sur votre serveur ou votre ordinateur après avoir utilisé un exploit pour y accéder. Une fois installé, le logiciel s'exécute souvent automatiquement, soit immédiatement, soit après être resté inactif pendant un certain temps.

Jusqu'à il y a quelques années, les attaques de ransomware ciblaient généralement les postes de travail Windows. Cependant, en 2017, les analystes ont commencé à enregistrer une augmentation des cas d'attaques sur les sites Web WordPress.

Une fois le logiciel exécuté, le ransomware utilise un cryptage puissant pour verrouiller tous vos fichiers, vous en refusant l'accès. À la place, il vous reste une interface exigeant le paiement d'une rançon – généralement en bitcoin introuvable – afin de déverrouiller les fichiers.

Payer la rançon

Un certain nombre d'entreprises de premier plan, et même de villes, ont été touchées à travers le monde ces dernières années. En juin, Lake City en Floride a payé une rançon de 500 000 dollars aux pirates qui avaient pris le contrôle de leurs systèmes informatiques.

Mais payer la rançon ne garantit pas que les pirates déchiffreront vos données. Et même s'ils le font, ils peuvent laisser des parties du logiciel derrière eux afin de crypter à nouveau vos fichiers à une date ultérieure.

Dans certains cas, le logiciel crée un fichier .php contenant une interface censée déverrouiller les fichiers cryptés. Cependant, ce fichier ne fonctionne pas, et même si vous y accédez, vous aurez besoin d'un développeur WordPress qualifié pour réparer tout le code cassé.

Gardez tout à jour

Garder WordPress et tous les thèmes et plugins mis à jour avec les dernières versions est le moyen le plus simple de protéger votre site Web contre les ransomwares. Ces mises à jour contiennent, entre autres, les derniers correctifs de sécurité des développeurs.

Les pirates sont constamment à la recherche de vulnérabilités à exploiter. Une fois ceux-ci identifiés, les développeurs publient des correctifs pour résoudre les problèmes. Les versions obsolètes de WordPress présentent une énorme vulnérabilité, car elles n'auront pas été développées pour résister aux dernières menaces de sécurité.

Vous devez également vérifier régulièrement que les versions PHP et MySQL de votre hôte sont à jour. Une bonne agence WordPress se chargera de tout mettre à jour pour vous, afin que vous n'ayez pas à vous inquiéter.

Protégez-vous contre les attaques par force brute

Une attaque par force brute, comme son nom l'indique, est une attaque non sophistiquée dans laquelle un bot tente d'accéder à votre site Web en utilisant des centaines de combinaisons de nom d'utilisateur et de mot de passe par minute jusqu'à ce qu'il réussisse.

La nature brutale de ces attaques les rend relativement faciles à prévenir en interdisant les adresses IP qui tentent d'accéder plusieurs fois à votre site avec des informations de connexion incorrectes. Mais sans cette simple couche de protection, les robots peuvent continuellement tenter d'accéder jusqu'à ce qu'ils réussissent.

Limit Login Attempt Reloaded est un plugin qui vous permet de limiter le nombre de tentatives de connexion, à la fois via la page de connexion et les cookies.

Définir une sécurité d'accès renforcée

Aussi évident que cela puisse paraître, l'utilisation de mots courts et faciles à deviner – ou, pire encore, de « mot de passe » – comme mot de passe rendra votre site WordPress incroyablement vulnérable.

Mais même les mots de passe forts qui ont été utilisés trop longtemps, ou pour trop d'applications différentes, peuvent devenir vulnérables. Nous vous recommandons d'utiliser un générateur de mots de passe tel que 1Password pour créer et stocker en toute sécurité des mots de passe forts et uniques pour chaque connexion.

Alternativement, vous pouvez ajouter une authentification à 2 facteurs à votre connexion WordPress à l'aide de Google Authenticator. Cette couche de sécurité supplémentaire peut être activée pour chaque utilisateur, permettant aux rôles d'utilisateur moins privilégiés de continuer à se connecter avec un mot de passe.

Installer les certificats SSL

Les certificats SSL garantissent que toutes les données transmises entre votre ordinateur et votre navigateur sont cryptées, ce qui rend beaucoup plus difficile pour les pirates d'intercepter la connexion.

Les fournisseurs d'hébergement WordPress gérés comme WP Engine incluent l'installation et le renouvellement automatisés du certificat SSL avec tous leurs plans d'hébergement.

Changer le préfixe de la base de données WordPress

WordPress utilise un préfixe de base de données par défaut, et l'utilisation de ce préfixe rend votre site Web vulnérable aux attaques par injection SQL. Cela peut être évité en remplaçant le préfixe wp- par défaut par un autre mot.

Si vous avez déjà installé WordPress avec le préfixe par défaut, ne vous inquiétez pas. Il existe un certain nombre de plugins qui peuvent encore vous permettre de le modifier - assurez-vous simplement de tout sauvegarder en premier, au cas où quelque chose tournerait mal.

Désactiver l'édition de fichiers

Si les pirates ont réussi à accéder à votre tableau de bord WordPress d'administration, ils pourront modifier tous les fichiers faisant partie de votre installation WordPress.

La mise en place d'une sécurité d'accès forte est donc la première ligne de défense. Cependant, en désactivant l'édition de fichiers, les pirates ne pourront modifier aucun de vos fichiers, même s'ils accèdent à votre tableau de bord.

Cela se fait en restreignant complètement le fichier theme-editor.php et en supprimant l'option d'édition de thème du CMS.

Mesures supplémentaires

Les mesures de sécurité supplémentaires incluent toujours le respect des directives de développement des meilleures pratiques décrites dans le WordPress Codex. Idéalement, vous devriez également effectuer un examen par les pairs de votre code, car cela contribue à améliorer la qualité globale et peut éliminer toute erreur ou vulnérabilité négligée.

Vous devez également vérifier que tous les formulaires de votre site Web sont protégés contre les injections SQL et les scripts intersites, et désactiver XMLRPC.

Un moyen simple d'améliorer la sécurité d'accès est d'empêcher les pirates de connaître vos noms d'utilisateur, car cela signifie qu'ils n'ont qu'à trouver vos mots de passe pour y accéder. Vous pouvez le faire en supprimant l'utilisateur avec le nom "admin" et en limitant les points de terminaison par défaut WP-JSON pour masquer tous les autres noms d'utilisateur.

Vous pouvez également fournir une couche de sécurité supplémentaire à votre serveur en exécutant une application telle que Sucuri, qui recherche en permanence les vulnérabilités.

Sauvegardez régulièrement votre site Web

L'une des principales raisons pour lesquelles tant d'entreprises finissent par payer la rançon aux pirates est qu'elles n'avaient pas de bonnes sauvegardes en place, ce qui signifie que le coût de la rançon allait être moins cher que la perte de toutes leurs données.

Et avec les sauvegardes, plus vous en avez, mieux c'est. Les attaques de ransomware peuvent également crypter vos sauvegardes si celles-ci sont stockées sur un disque local. Vous pouvez sauvegarder vos données sur le serveur, mais les sauvegardes hors site stockées dans un emplacement séparé sont encore plus sûres.

Les hébergeurs WordPress gérés proposent généralement des sauvegardes côté serveur dans le cadre de leurs plans d'hébergement.

Conclusion

Bien que vous ne puissiez pas arrêter définitivement toutes les attaques, en particulier si votre entreprise est ciblée, vous pouvez prendre un certain nombre de mesures pour vous assurer que votre site Web ne se démarque pas comme une cible facile pour les pirates.

L'échelle et la sophistication des ransomwares ne cessent de croître, mais les pirates - comme la plupart des criminels - sont également des opportunistes, et s'assurer que votre site Web est moins vulnérable que la plupart reste le meilleur moyen de protéger vos données.

Si vous souhaitez discuter de la sécurité de votre site Web WordPress et de la manière dont il peut être amélioré, veuillez nous contacter.