[Statistiques de sécurité WordPress] 4 principales raisons pour lesquelles les sites WordPress sont piratés et comment l'empêcher
Publié: 2021-02-22Propulsant 34% de tous les sites Web sur Internet et détenant une part de marché de 60,8% sur le marché des CMS, WordPress est sans aucun doute le système de gestion de contenu le plus populaire au monde. Cependant, cette immense popularité a aussi un coût.
Années après années, la sécurité de WordPress a toujours été un problème brûlant. Quant à l'étude Sucuri, parmi 8 000 sites Web infectés, 74 % d'entre eux ont été construits sur WordPress. Wordfence a également découvert qu'il y avait jusqu'à 90 000 attaques sur les sites WordPress chaque minute.
Alors pourquoi WordPress est-il hautement ciblé par les pirates ?
Il existe de nombreuses raisons pour lesquelles les sites WordPress sont piratés. Dans cet article, nous nous concentrerons sur les 4 principales raisons ainsi que sur les statistiques de piratage WordPress réelles passées au crible de diverses sources. En outre, nous fournissons également des conseils utiles sur la manière d'assurer la sécurité de WordPress.
Plongeons-nous !
- Hébergement Web non sécurisé
- Mots de passe faibles
- Site WordPress obsolète
- Thèmes et plugins obsolètes ou annulés
- Comment assurer la sécurité de WordPress
Hébergement Web non sécurisé
"41% des sites WordPress sont attaqués à cause des plateformes d'hébergement vulnérables."
Semblable à tout site Web, WordPress est hébergé sur un hébergeur ou un serveur Web. La plupart des propriétaires de sites WordPress ne semblent pas prendre de considérations sérieuses lors du choix de l'hébergement Web. Généralement, ils hébergent leurs sites Web sur un plan d'hébergement partagé car il est plus abordable. Cela s'avère malheureusement être la proie lucrative des attaquants.
Toute tentative de piratage réussie sur ce serveur partagé peut potentiellement conduire à la vulnérabilité de votre site, car les pirates peuvent accéder à votre site via ce site piraté.
Mots de passe faibles
C'est l'une des causes les plus fréquentes d'attaques par force brute réussies. WP Smackdown prouve que 8% des sites WordPress sont piratés à cause de mots de passe faibles.
Étonnamment, même à ce jour, les gens utilisent encore des mots de passe simples à deviner et courants comme "123456" ou "mot de passe" pour protéger leurs sites. NordPass a résumé les principales utilisations des mots de passe en 2020 et ce qu'ils révèlent vous sidérera.
| Les 10 meilleurs mots de passe | Nombre d'utilisateurs | Il est temps de le craquer |
| 123456 | 2 543 285 | Moins d'une seconde |
| 123456789 | 961 435 | Moins d'une seconde |
| Image 1 | 371 612 | 3 heures |
| le mot de passe | 360 467 | Moins d'une seconde |
| 12345678 | 322 187 | Moins d'une seconde |
| 111111 | 230 507 | Moins d'une seconde |
| 123123 | 189 327 | Moins d'une seconde |
| 12345 | 188 268 | Moins d'une seconde |
| 1234567890 | 171 724 | Moins d'une seconde |
| senha | 167 728 | 10 secondes |
Leurs recherches ont montré que les utilisateurs ont tendance à définir des chiffres ou des chaînes de lettres faciles à retenir comme mots de passe. De plus, ils ont tendance à réutiliser le même mot de passe pour plusieurs comptes pour des raisons de commodité. Ce qui compte le plus, ce sont les mots de passe faciles à retenir, plus ils sont vulnérables au piratage.
Versions obsolètes de WordPress
Une version obsolète de WordPress est l'une des principales raisons pour lesquelles un site est piraté. Une étude de Sucuri montre que 36,7% des sites Web piratés ont exécuté des versions obsolètes.
Les nouvelles versions ajouteront des fonctionnalités plus avancées et corrigeront les vulnérabilités des anciennes. Cependant, certains utilisateurs désactivent même la fonction de mise à jour automatique. Selon WordPress, seuls 32,2 % des utilisateurs de WordPress ont mis à jour leurs sites vers la dernière version 5.6.
Pourquoi les utilisateurs refusent-ils de mettre à jour leurs sites ?
Les principales excuses sont :
- Ils ont tendance à retarder ou à oublier les notifications de mise à jour en raison de leur activité (ou de leur paresse).
- Ils craignent que la mise à jour n'affecte les performances de leurs sites.
Mais vous savez ce que, parfois, l'ignorance vous coûte très cher. Le piratage de la plateforme de blogs Reuters en 2012 est une leçon typique.
Reuters a oublié de maintenir l'installation de WordPress à jour, ce qui donne aux pirates des chances d'attaquer leur site. Ils ont rempli de nombreux faux messages sur le site Web de Reuters, y compris une prétendue interview avec le chef de l'armée rebelle sibérienne. A cette époque, Reuters utilisait la version 3.1.1 au lieu de 3.4.1.
Thèmes et plugins obsolètes ou annulés
De nombreux propriétaires de sites Web ont subi des attaques en raison de vulnérabilités de thèmes et de plugins. Alors que WordPress met instantanément à jour son noyau avec des correctifs de sécurité, cette amélioration ne s'applique pas à ses plugins.
Selon une statistique de WP Scan, jusqu'en 2020, il y a eu 21 936 vulnérabilités WordPress. Parmi eux, 52% et 11% des vulnérabilités WordPress signalées sont respectivement liées aux plugins et aux thèmes, tandis que WordPress core représente le reste.
De plus, dans le rapport WordPress Wordfence 2020, Wordfence a souligné que les logiciels malveillants provenant de plugins et de thèmes annulés constituent une menace pour la sécurité de WordPress. WP Scan et Wordfence conviennent que les scripts intersites et l'injection SQL sont les types de vulnérabilités les plus populaires dans les plugins et les thèmes WordPress.
Consultez les 10 thèmes et plugins les plus vulnérables répertoriés par Wpwhitesecurity (dernière mise à jour le 08 octobre 2020) et vous serez surpris.
Top 10 des plugins les plus vulnérables : 
Dans le graphique ci-dessus, Nextgen Gallery, Ninja Forms et WooCommerce sont en tête du top 3 avec plus de 20 vulnérabilités. Même un plugin de sécurité nommé "All In One WP Security & Firewall" apparaît dans cette liste, ce qui signifie que les plugins de sécurité peuvent également être ciblés par les pirates.
Top 10 des thèmes les plus vulnérables : 
Le graphique ci-joint montre que les thèmes ne causent pas beaucoup de vulnérabilités par rapport aux plugins. Le plus grand nombre de vulnérabilités est de cinq et relève du thème Echelon et Traveler. En effet, les thèmes n'impliquent pas d'étendre les fonctionnalités comme le font les plugins. Ils assument principalement la responsabilité de l'apparence et de la convivialité des sites WordPress.
Comment assurer la sécurité de WordPress
À partir des statistiques et des faits alarmants sur la sécurité de WordPress ci-dessus, nous avons conclu 5 solutions viables pour vous aider à assurer la sécurité de votre WordPress. Ce que vous devez faire maintenant, c'est :
- Investissez dans vos hébergements web
- Créer des mots de passe uniques
- Gardez votre site à jour
- Utiliser les plugins de sécurité WordPress
- Évitez d'utiliser des thèmes et des plugins annulés
Investissez dans vos hébergements Web
En avoir pour son argent. Opter pour un hébergement Web fiable réduira considérablement la probabilité que votre site soit piraté. Un hébergement Web de haute qualité prendra non seulement en charge la dernière version de PHP et MySQL, mais fournira également des analyses de logiciels malveillants et une sauvegarde régulière.
Un serveur dédié est fortement recommandé comme option d'hébergement la plus sécurisée. Bien sûr, c'est assez coûteux, mais c'est très utile si votre site reçoit un trafic élevé et contient des données sensibles.
Éloignez-vous des solutions d'hébergement mutualisé. Cependant, si vous utilisez déjà un plan d'hébergement mutualisé, passez à l'hébergement VPS.
Créer des mots de passe uniques
Des mots de passe sécurisés sont nécessaires non seulement pour les comptes d'administrateur WordPress, mais également pour l'hébergement Web, les comptes FTP et les bases de données MySQL.
Pour créer un mot de passe fort, vous devez d'abord éviter d'utiliser des chiffres ou des lettres adjacents communs, tels que "1234567" ou "abcdef", et des caractères répétitifs, notamment "abc123" ou "111111111".
De plus, évitez d'utiliser les mêmes mots de passe pour différents sites Web. Vous devez trouver un mot de passe long, complexe et robuste avec au moins 8 caractères pour chaque compte.
Un mot de passe idéal doit être composé de mots, de chiffres et de symboles, par exemple, !wdf34*de5. N'oubliez pas de réinitialiser vos mots de passe régulièrement tous les 90 jours.
Gardez votre site à jour
Pour éviter d'être le deuxième Reuters, ce que vous devez faire est de mettre à jour votre site WordPress vers la dernière version. Faites attention aux notifications de mise à jour dans votre tableau de bord.
Si vous craignez que la mise à jour casse vos sites, vous devez créer une sauvegarde avant d'exécuter une mise à jour et tester la mise à jour sur votre site intermédiaire.
Utiliser les plugins de sécurité WordPress
L'installation de plugins de sécurité WordPress est la solution la plus simple mais la plus efficace pour protéger votre site contre tout type d'attaque, y compris les logiciels malveillants.
Opter pour un plugin de sécurité qui vous permet de rechercher les vulnérabilités, d'appliquer des mots de passe forts, de bloquer les réseaux malveillants, de mettre en place un pare-feu, etc. Il existe une large gamme de plugins de sécurité WordPress fiables dans ce domaine, dont plusieurs gros bonnets sont Sucuri, Wordfence et BlogVault.
Évitez d'utiliser des thèmes et des plugins nuls
Les plugins et les thèmes annulés sont la version piratée des premium, qui ne dispose pas d'une fonction de vérification de licence. Normalement, cette fonctionnalité est désactivée ou supprimée de ces plugins et thèmes, ce qui conduit à des logiciels malveillants potentiellement malveillants.
Nous ne pouvons pas nier que les plugins et les thèmes annulés sont tentants, étant donné qu'ils sont gratuits et faciles à télécharger. Cependant, veuillez prendre en compte cette idée : si vous utilisez ces copies pirates, il n'y a pas de correctifs de sécurité, car elles n'auront aucune mise à jour disponible de leurs développeurs.
Par conséquent, nous vous suggérons de télécharger des plugins ou des thèmes originaux à partir de sites Web de confiance ou d'investir votre argent dans des premium. Pensez-y à long terme, vous pouvez à la fois sécuriser votre site et recevoir de nouvelles fonctionnalités ou une assistance supplémentaire dans les correctifs de sécurité.
Conclusion
Cet article vous a présenté 4 raisons principales pour lesquelles WordPress est piraté avec des chiffres réels. Les statistiques de piratage WordPress fournies visent à souligner l'importance de renforcer votre sécurité WordPress.
Nous avons également proposé des conseils utiles sur la façon d'empêcher WordPress d'attaques potentielles. "Mieux vaut prévenir que guérir." Vous devez porter une attention particulière au choix de votre hébergement Web, à la mise à jour de votre noyau WordPress, de vos plugins et de vos thèmes, ainsi qu'à la création de mots de passe forts.
Y a-t-il des statistiques de piratage WordPress que vous espérez partager dans cet article mais que nous avons manquées ? Avez-vous eu de l'expérience avec l'exploitation de sites Web? N'hésitez pas à partager avec nous dans la section des commentaires ci-dessous!