Hausse des attaques sur les sites WordPress : 15 conseils pour éviter les ennuis

Il semble, selon de nombreuses sources, que WordPress connaisse ces temps-ci une hausse des attaques de pirates informatiques. Voici comment protéger un peu mieux votre site s’il est sous WordPress.

Hausse vertigineuse des attaques au cours des dernières semaines

Un article de ZDNet relevait récemment que des vulnérabilités dans des plugins WordPress avaient permis de détourner des plateformes d’apprentissage en ligne.

D’autres sources révélaient pour leur part qu’environ 900 000 sites web avaient quant à eux été ciblés lors d’une campagne de piratage à grande échelle au cours de la dernière semaine d’avril. Developpez.com, qui traite d’internet et d’informatique, expliquaient que les auteurs des attaques souhaitaient rediriger les visiteurs vers des sites malveillants ou installer une porte dérobée.

Sur notre propre site d’ailleurs, des milliers de tentatives d’attaques se sont produites depuis un mois environ.

La bonne nouvelle ? Heureusement, toutes se sont soldées par des échecs pour les pirates.

Pourquoi ? Notamment parce qu’en tant que webmestre j’applique scrupuleusement une série de règles que je partage avec vous.

Je ne dis pas qu’on ne se fera jamais pirater, ni que notre site ne tombera pas. Non. Sauf qu’on essaie de réduire nos risques autant qu’on peut.

15 mesures immédiates à prendre

En passant, c’est normal que WordPress soit autant la cible des pirates informatiques. Puisqu’on estime qu’à peu près le tiers (35 %) des sites web fonctionnent actuellement sous WordPress.

Il existe pourtant quelques mesures à appliquer afin de vous protéger des risques potentiels. En voici quelques-unes parmi les plus connues et les plus élémentaires que je partage avec vous :

1. Changez l’identifiant d’administrateur par défaut (Admin) lors de l’installation WordPress.

2. Faites vos mises à niveau WordPress dès qu’elle sont disponibles.

3. Utilisez une bonne version à jour de PHP (PHP: Hypertext Preprocessor).

4. Utilisez des mots de passe sécuritaires. Alternez lettres majuscules et minuscules,  chiffres, etc.

5. Prenez uniquement des gabarits (thèmes) provenant de sources fiables et recommandées.

6. Même chose pour les plugins. Fuyez ceux qui sont douteux et/ou qui ne sont plus supportés.
Si WordPress affiche qu’un plugin n’a pas été mis à jour depuis des années, il peut s’agir d’une brèche potentielle.

7. Avant d’installer un plugin, faites une recherche et renseignez-vous sur sa fiabilité.

8. Désactivez et désinstallez les plugins que vous n’utilisez plus.

9. N’utilisez strictement que les plugins dont vous avez réellement besoin.

10. Utilisez le protocole sécurisé HTTPS plutôt que HTTP.

10. Installez un pare-feu (firewall) dans votre site comme Sucuri, Wordfence ou Jetpack.

11. Réalisez des sauvegardes régulières soit avec un plugin fiable (ex. : Jetpack), soit côté hébergeur.

12. Désactivez les comptes inactifs d’anciens employés qui accédaient au site.

13. Ne laissez pas des visiteurs publier des commentaires sans qu’ils ne soient approuvés.

14. Ne permettez pas le téléversement de fichiers depuis le site web.
Ex. : Certains radios permettent l’envoi de pièces jointes (photos, de la musique, etc.).

15. Vérifiez à l’occasion la fiabilité de votre site.
P.S. Ces 9 outils sont connus, maintes fois suggérés et offrent au moins une version de base gratuite :
Sucuri
Google Safe Browsing
Qualys SSL Server Test
UpGuard
Mozilla Observatory
Pentest-Tools
SiteGuarding
Quttera
SSL Trust

Simon Forgues

Diplômé en animation radio/télé au début des années 1990, il a œuvré pendant près d'une vingtaine d'années dans diverses stations de radio et a cumulé également des tâches en coordination musicale et à la programmation.

COMMENTAIRES DES LECTEURS

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Hors connexion | No connection

%d blogueurs aiment cette page :