Nos publications
Mai 29
Panneau d'administration d'un site WordPress

Hausse des attaques sur les sites WordPress : 15 conseils pour éviter les ennuis

Il semble, selon de nombreuses sources, que WordPress connaisse ces temps-ci une hausse des attaques de pirates informatiques. Voici comment protéger un peu mieux votre site s’il est sous WordPress.

Hausse vertigineuse des attaques au cours des dernières semaines

Un article de ZDNet relevait récemment que des vulnérabilités dans des plugins WordPress avaient permis de détourner des plateformes d’apprentissage en ligne.

D’autres sources révélaient pour leur part qu’environ 900 000 sites web avaient quant à eux été ciblés lors d’une campagne de piratage à grande échelle au cours de la dernière semaine d’avril. Developpez.com, qui traite d’internet et d’informatique, expliquaient que les auteurs des attaques souhaitaient rediriger les visiteurs vers des sites malveillants ou installer une porte dérobée.

Sur notre propre site d’ailleurs, des milliers de tentatives d’attaques se sont produites depuis un mois environ.

Les Rendez-vous de la francophonie 2024

La bonne nouvelle ? Heureusement, toutes se sont soldées par des échecs pour les pirates.

Pourquoi ? Notamment parce qu’en tant que webmestre j’applique scrupuleusement une série de règles que je partage avec vous.

Je ne dis pas qu’on ne se fera jamais pirater, ni que notre site ne tombera pas. Non. Sauf qu’on essaie de réduire nos risques autant qu’on peut.

15 mesures immédiates à prendre

En passant, c’est normal que WordPress soit autant la cible des pirates informatiques. Puisqu’on estime qu’à peu près le tiers (35 %) des sites web fonctionnent actuellement sous WordPress.

Il existe pourtant quelques mesures à appliquer afin de vous protéger des risques potentiels. En voici quelques-unes parmi les plus connues et les plus élémentaires que je partage avec vous :

1. Changez l’identifiant d’administrateur par défaut (Admin) lors de l’installation WordPress.

2. Faites vos mises à niveau WordPress dès qu’elle sont disponibles.

3. Utilisez une bonne version à jour de PHP (PHP: Hypertext Preprocessor).

4. Utilisez des mots de passe sécuritaires. Alternez lettres majuscules et minuscules,  chiffres, etc.

5. Prenez uniquement des gabarits (thèmes) provenant de sources fiables et recommandées.

6. Même chose pour les plugins. Fuyez ceux qui sont douteux et/ou qui ne sont plus supportés.
Si WordPress affiche qu’un plugin n’a pas été mis à jour depuis des années, il peut s’agir d’une brèche potentielle.

7. Avant d’installer un plugin, faites une recherche et renseignez-vous sur sa fiabilité.

8. Désactivez et désinstallez les plugins que vous n’utilisez plus.

9. N’utilisez strictement que les plugins dont vous avez réellement besoin.

10. Utilisez le protocole sécurisé HTTPS plutôt que HTTP.

10. Installez un pare-feu (firewall) dans votre site comme Sucuri, Wordfence ou Jetpack.

11. Réalisez des sauvegardes régulières soit avec un plugin fiable (ex. : Jetpack), soit côté hébergeur.

12. Désactivez les comptes inactifs d’anciens employés qui accédaient au site.

13. Ne laissez pas des visiteurs publier des commentaires sans qu’ils ne soient approuvés.

14. Ne permettez pas le téléversement de fichiers depuis le site web.
Ex. : Certains radios permettent l’envoi de pièces jointes (photos, de la musique, etc.).

15. Vérifiez à l’occasion la fiabilité de votre site.
P.S. Ces 9 outils sont connus, maintes fois suggérés et offrent au moins une version de base gratuite :
Sucuri
Google Safe Browsing
Qualys SSL Server Test
UpGuard
Mozilla Observatory
Pentest-Tools
SiteGuarding
Quttera
SSL Trust

À propos de l'auteur

Professionnel du domaine des médias électroniques avec plus de 30 ans d'expérience, Simon Forgues est à l'emploi de l'Alliance des radios communautaires du Canada depuis 2007. Diplômé en animation radio et télévision au Collège Radio Télévision de Québec, il possède aussi une attestation d'études en création de podcast du Collège Bart. Impliqué dans de nombreux projets liés à la radiodiffusion, et ce, de l'idéation de contenu jusqu'à la production, il a œuvré dans différentes radios du Québec et de l'Ontario, où il a cumulé également des tâches liées à la coordination musicale et à la programmation.