Retour
8/9/24
Auteurs :
Aimery, Jade
Sécuriser votre site Wordpress est un point crucial. Pourquoi ? Parce que plus de 100 000 sites web sont piratés chaque jour
Et parmi ceux utilisant un CMS, 90% des sites attaqués tournent sous WordPress[ii], logiciel le plus populaire au monde. Victime de son succès, il est devenu une cible de choix pour les hackers, cherchant à exploiter ses failles.
Rassurez-vous, la vulnérabilité sur Wordpress n’est pas une fatalité. Des sites sensibles et hautement sécurisés y sont développés comme whitehouse.gov, paylib.fr ou encore vivendi.com.
Pour contrer ces cyber-attaques, de bonnes pratiques de sécurité doivent être déployées au plus tôt dans la vie de votre site. Après un petit rappel des risques que vous encourez, nous vous livrons 7 astuces pour protéger efficacement votre site internet.
Contactez nous pour sécuriser votre site
Afin de mieux savoir à quoi vous attendre en cas d’attaque et comment réagir, rappelons les différentes nuisances possibles en matière de piratage.
L’erreur serait de penser que les hackers s’attaquent principalement aux gros acteurs du web, et que les petits et moyens sites ne sont pas touchés. Faux.
Souvent, les piratages informatiques sont automatisés et ne font aucune différence entre les sites visés. Des robots scannent le web, pour identifier des vulnérabilités et les exploiter.
Le pirate prend le contrôle de votre base de données et de la totalité de votre site. Pourquoi ? Transformer votre site, le détruire, revendre ou voler des informations et des données sensibles.
Tendance du moment, le parasitage infeste votre site et l’ordinateur de vos utilisateurs, à l’aide d’un malware ou d’un code malveillant. Comme tout bon parasite, son but est de rester invisible sur son hôte afin d'y rester le plus longtemps, et d’y puiser le maximum de ressources. Il faut en moyenne 201 jours à une entreprise pour découvrir qu’elle a été victime d’une cyberattaque, selon l’Institut Ponemon.
Pourquoi ? Revendre des informations, envoyer des spams, accéder à des données sensibles telles que les données bancaires.
Vous souhaitez prendre les précautions de sécurité nécessaires et éviter ces désagréments ?
Voici des solutions pour repousser efficacement et durablement les risques et décourager les cybercriminels. Car, en matière de hacking, le dicton « Il vaut mieux prévenir que guérir » sonne à la perfection.
PHP (PHP Hypertext Preprocessor) est un langage utilisé par environ 79% des sites web. PHP est le langage côté serveur avec lequel WordPress fonctionne.
Problème :
Ne pas mettre à jour sa version expose à des failles de sécurité et limitera la performance du site.
Solutions :
La configuration de base n’est vraiment pas optimale et laisse filtrer de nombreuses failles de sécurité exploitables par des individus malintentionnés.
Problème :
La configuration de base n’est vraiment pas optimale et laisse filtrer de nombreuses failles de sécurité exploitables par des individus malintentionnés.
Solutions :
Wordpress offre un premier niveau de sécurité, si tant est qu’il soit mis à jour systématiquement. De même, les plugins WordPress peuvent être synonymes de vulnérabilités supplémentaires. La qualité de conception de ces extensions dépend, en effet, des compétences de programmation des auteurs, aux savoir-faire inégaux en la matière.
Problème :
Utiliser des plugins vulnérables ou une version trop ancienne de Wordpress est l’une des plus grosses erreurs de sécurité à éviter. Ces mises à jour incluent souvent des correctifs de sécurité essentiels.
Solutions:
Utiliser une version récente de Wordpress et avoir ses plugins à jour.
Découvrez en plus sur la maintenance de site internet WordPress
Des logiciels malveillants sont programmés par des développeurs aux mauvaises intentions pour mener plus massivement, plus rapidement et plus efficacement leurs campagnes de hacking.
Problème :
L’attaque par force brute
Cette célèbre méthode de cryptoanalyse est la plus simple pour accéder à un site. Un algorithme essaie de se connecter au back-office en utilisant des noms d'utilisateurs et des mots de passe jusqu’à trouver le bon résultat. Avec ce sésame, le pirate accède à un service en ligne, à des données personnelles ou un ordinateur.
Un mot de passe basique tel "123456" associé à un nom d'utilisateur "admin" peut être craqué en quelques secondes. Le temps nécessaire augmente avec la complexité du mot de passe.
Ce genre d’agression peut aussi ralentir le serveur du site. Le nombre de requêtes http (c'est-à-dire le nombre de fois que quelqu'un visite votre site) est si élevé que le serveur finit par manquer de mémoire.
Solutions :
Problème : Le spamming
Les spams ne sont pas réservés aux boîtes mails. Ils pullulent dans les commentaires Wordpress en vous promettant de devenir millionnaire en 6 mois. Mais, leur but est surtout de détourner vos visiteurs vers des sites malveillants.
Solution :
Problème :
sécuriser les paiements et les données sensibles
À chaque paiement, une communication se fait entre le navigateur et le site e-commerce. Lorsque vous saisissez votre numéro de carte bancaire dans votre navigateur, celui-ci va partager ce numéro avec le e-commerçant. Une fois le paiement reçu, il indique alors à votre navigateur de vous informer que votre achat a été effectué avec succès.
Si la communication n'est pas cryptée, un pirate peut facilement intercepter les numéros de carte.
Ce cryptage des données est également essentiel si vous utilisez un formulaire de contact ou d’inscription. Des données personnelles telles que des adresses, numéros de téléphone ou encore logins et mots de passe vont circuler « en clair ». Il est donc essentiel de s’en prémunir.
En 2021, installer un certificat SSL sur son serveur est indispensable. Cela améliorera au passage votre SEO, votre crédibilité et la confiance que les visiteurs accorderont à votre site.
Solution :
Installer un certificat SSL sur le serveur
Un autre outil pour renforcer la sécurité WordPress sont les headers HTTP. Ceux-ci permettent l’échange entre le navigateur et le serveur, d’informations relatives à la gestion du site, comme l’authentification, le comportement du cache, les timeouts de connexions ou encore les cookies.
Problème :
sécuriser les headers HTTP.
Les en-têtes HTTP sont généralement configurés au niveau du serveur web, et indiquent au navigateur comment se comporter lorsqu'il traite le contenu du site. Il en existe beaucoup mais voici les plus importants :
Solutions :
Un site sécurisé mettra à mal la majorité des tentatives de piratage. Néanmoins, et parce que les techniques de piratages se multiplient et se renouvellent quotidiennement, les attaques sont de plus en plus sophistiquées. La sécurité informatique à 100% n’existe donc pas.
Problème :
ne pas perdre son site internet
Si vous êtes victime d’un piratage, disposer d’une sauvegarde peut faire gagner beaucoup de temps, et permettra de remettre le site dans un état antérieur à la détérioration, et ce rapidement.
En cas d’attaque, les solutions de sauvegarde automatique vont favoriser la récupération rapide d’un état sain du site.
Cette restauration permet d’assurer une continuité de service, de limiter l’impact négatif d’un piratage informatique auprès des visiteurs, et de gagner un temps précieux dans le déploiement des correctifs nécessaires afin de sécuriser le site.
Solutions :
En matière de sauvegarde, il existe plusieurs méthodes. Voici un aperçu des méthodes et des rythmes que nous recommandons :
• Une sauvegarde journalière sur disque dur
• Des disques de sauvegarde dans différentes salles d’hébergement
• Un enregistrement permanent d’1 semaine de sauvegardes journalières et 1 mois de sauvegardes hebdomadaires
• Sauvegarde mensuelle
• Sauvegarde hebdomadaire pour les sites vitrines ayant peu de trafic
• Sauvegarde quotidienne pour les sites qui utilisent les commentaires et qui sont mis à jour toutes les semaines
• Sauvegarde toutes les 12h pour les sites ayant du contenu mis à jour plusieurs fois par semaine
• Sauvegarde toutes les 6h pour les sites ayant du contenu mis à jour quotidiennement
• Sauvegarde en temps réel pour les sites ayant des mises à jour toutes les heures
Vigilance et prévention sont donc les maîtres mots. Concevoir un site attractif et bien le référencer prend du temps. Il serait dommage de laisser la place à des brèches de sécurité l’exposant à des actes malveillants.
Nous l’avons vu, la menace est lourde et particulièrement en France où la criminalité informatique explose. Trois points clés sont déterminants pour se protéger du piratage informatique.
N’hésitez pas à consultez notre équipe pour :
[i] D’après internet live stats
[ii] D’après Sucuri, société spécialisée en sécurité informatique, rapport 2018
Contactez nous pour envisager la migration de votre site sur nos serveurs. Nous gérons la migration pour vous de A à Z.