Si vous avez lu nos articles sur le fonctionnement de WordPress et pourquoi vous devriez l’utiliser, vous aurez remarqué que nous avons souligné un (et peut-être le seul) inconvénient majeur de l’utilisation de WordPress: le fait qu’il est souvent la cible de cyberattaques .
Il y a bien sûr une bonne raison à cela. WordPress est le CMS le plus populaire car il est le plus simple à utiliser. De plus, démarrer votre propre site Web WordPress peut être l’un des modèles commerciaux en ligne les plus rentables s’il est exécuté correctement.
Cependant, comme tant de gens l’utilisent, WordPress est devenu une cible pour les pirates. En d’autres termes, il est devenu victime de son propre succès.
Cela ne veut pas dire que WordPress est moins sécurisé que les autres constructeurs de sites Web. S’ils sont utilisés correctement, les outils intégrés fournis par WordPress peuvent facilement vaincre la plupart des types de cyberattaques. Comme nous l’avons souligné dans notre tutoriel WordPress, cependant, trop peu d’entre nous prennent le temps de mettre en place des mesures de sécurité de base.
Dans cet article, nous expliquerons les types de cyberattaques les plus courants qui sont tentés contre WordPress, et comment vous protéger contre eux.
1. Attaques par force brute
Dans une attaque par force brute, un pirate essaiera de deviner votre mot de passe. Cela fait que ce type d’attaque semble simple et voué à l’échec jusqu’à ce que vous réalisiez les outils à la disposition du pirate informatique moyen (ou du gamin moyen désireux de causer des méfaits, d’ailleurs).
Croyez-le ou non, il existe des outils gratuits qui peuvent être téléchargés et utilisés contre des sites WordPress, et ces outils peuvent essayer des centaines (voire des milliers) de mots de passe par seconde. Un autre niveau de menace est fourni par les botnets, dans lesquels un pirate va asservir des machines sans méfiance et les utiliser pour deviner encore plus de mots de passe.
La meilleure protection contre ce type d’attaque est assez simple: utilisez un gestionnaire de mots de passe qui peut créer des mots de passe forts et uniques pour votre site WordPress, puis faites pivoter ces mots de passe pour garder les cybercriminels sur leurs gardes. Malgré tous les guides pour débutants sur l’utilisation de WordPress disant aux utilisateurs de le faire, un pourcentage remarquable de personnes ne le font toujours pas.
2. Attaques XSS (Cross-Site Scripting)
Les attaques XSS sont une menace puissante et en augmentation rapide. Ils fonctionnent comme ça. Un attaquant utilisera une section de votre site WordPress où il pourra écrire du texte, tel que votre section de commentaires, pour partager un lien vers un morceau de code malveillant (généralement JavaScript) hébergé sur un autre site.
Ce script malveillant sera injecté directement dans le code sur lequel votre site s’exécute et peut être utilisé pour voler vos informations de connexion ou envoyer des ransomwares à votre site WordPress.
Si vous gérez un site affilié, les attaques XSS sont parmi les menaces les plus courantes auxquelles vous serez confronté, car elles peuvent être utilisées pour voler des cookies utilisateur et réclamer les revenus que vous générez.
La protection contre les attaques XSS nécessite de la vigilance. Vous devez surveiller attentivement tous les endroits de votre site où les utilisateurs peuvent laisser des commentaires ou saisir tout type d’informations. Vous devez supprimer rapidement tous les commentaires suspects. Il existe également un certain nombre d’outils disponibles, comme Akismet, qui peuvent automatiser ce processus pour vous.
3. Vulnérabilités PHP
PHP est un autre des langages de codage sur lesquels la plate-forme WordPress est construite, et comme tous les langages de codage, il comporte certaines vulnérabilités. PHP est le langage que votre site WordPress utilise pour garder une trace de toutes vos pages et des informations de connexion de tous vos utilisateurs.
Les plus importantes de ces données sont stockées dans un fichier nommé «wp-config.php». Il s’agit du fichier le plus important dans l’ensemble de votre configuration WordPress, le fichier le plus fréquemment attaqué sur les sites WordPress et le plus important à protéger. Il est généralement attaqué par un pirate téléchargeant un fichier malveillant sur votre site qui leur permettra de voir le contenu du fichier de configuration.
La protection de ce fichier peut sembler un processus technique, mais ce n’est pas vraiment le cas. Vous pouvez, par exemple, envisager de déplacer le fichier hors de votre répertoire racine, ce qui signifie que le chemin d’accès au fichier n’est pas le chemin standard. Cela ne vaincra pas les pirates informatiques les plus déterminés, mais cela suffit souvent à dissuader les amateurs qui naviguent sur le Web à la recherche de «petits exploits» à exploiter.
Un autre niveau de protection contre les vulnérabilités PHP peut être fourni par un processus que nous avons déjà mentionné: garder vos plugins à jour.
De nombreux plugins WordPress – et la plupart des plus populaires – utilisent PHP, et beaucoup auront besoin d’accéder à votre fichier de configuration. Mais même si les plugins peuvent aider à améliorer les fonctionnalités de votre site, il est recommandé de les utiliser uniquement si nécessaire. En effet, trop de plugins peuvent en fait ralentir la vitesse de votre site et, s’ils ne sont pas correctement entretenus, certains peuvent même permettre à des logiciels malveillants dangereux d’infecter également votre site.
4. Injection SQL
Les attaques SQL sont une autre forme «classique» de cyberattaque, mais qui ne montre aucun signe de disparition. SQL est un langage informatique utilisé pour exécuter de nombreux aspects de votre site WordPress, et surtout les utilisateurs que vous avez configurés pour lui sont définis dans SQL.
Malheureusement, les pirates peuvent exploiter ce fait en utilisant une injection SQL. Le principe de base est qu’un pirate utilisera un champ de données sur votre site – dites l’endroit où il peut entrer un nouveau nom d’utilisateur pour ouvrir un compte – pour envoyer du code SQL à vos serveurs. Ce code malveillant peut leur permettre de prendre le contrôle de votre site, ou même d’ajouter un nouvel utilisateur administratif afin qu’ils puissent faire ce qu’ils veulent.
La plupart des plugins et thèmes WordPress de haute qualité sont conçus avec ce type d’attaque à l’esprit et vous offriront un bon niveau de protection. Pour cette raison, vous devez éviter d’utiliser des plugins ou des thèmes qui n’ont pas une large base d’utilisateurs, ne sont pas bien examinés, ou sont anciens et ne sont plus maintenus. Vous devez vérifier régulièrement les plugins que vous utilisez afin de vous assurer qu’ils ne sont pas obsolètes.
5. Attaques DDoS
Les attaques par déni de service distribué (DDoS) sont parmi les plus anciennes attaques du monde: elles ont été vues presque dès que l’Internet a été inventé. Dans ce type d’attaque, un attaquant inondera votre site de gigaoctets (et peut-être même de téraoctets) de données. Le simple nombre de demandes reçues par votre serveur forcera votre serveur à planter.
Une fois que votre serveur plante, vous avez deux problèmes. La première est que, lors du redémarrage du serveur, il peut être vulnérable à d’autres attaques susceptibles de compromettre vos informations de connexion. Même si cela ne se produit pas, cependant, alors que votre serveur est hors ligne, vous perdez de l’argent et des clients.
Étant donné que la plupart des utilisateurs de WordPress ne gèrent pas directement le serveur sur lequel leur site est hébergé, empêcher les attaques DDoS signifie en grande partie compter sur votre hébergeur pour assurer votre sécurité. Les meilleurs hôtes WordPress vous fourniront une protection DDoS en standard, protégeant automatiquement votre site si le niveau de trafic augmente considérablement.
Heureusement, vous pouvez prendre vous-même quelques mesures supplémentaires qui vous aideront à prévenir ce type d’attaque.
Il s’agit notamment de surveiller de près le trafic vers votre site Web et de bloquer toutes les adresses IP qui semblent suspectes, d’utiliser un réseau de diffusion de contenu pour stocker le contenu de votre site Web sur plusieurs serveurs et pas seulement un, et d’utiliser un pare-feu sur votre connexion Internet à la maison et au bureau pour empêcher les attaques DDoS de se propager dans vos autres systèmes.
En conclusion
Il faut se rappeler que la cybersécurité est difficile. C’est une industrie de plusieurs millions de dollars, après tout, et de nombreux analystes gagnent bien leur vie à repérer de nouvelles vulnérabilités dans WordPress et d’autres systèmes.
En conséquence, aucune mesure de cybersécurité que vous mettez en place ne vous offrira une protection à 100%. Vous devez donc reconnaître qu’à un moment donné, vous risquez d’être victime d’un hack.
Cela dit, les étapes simples ci-dessus peuvent considérablement améliorer le niveau de protection de votre site WordPress. Assurez-vous d’utiliser des mots de passe forts et uniques, choisissez un service d’hébergement Web de qualité et gardez tous vos plugins WordPress à jour, et vous pourrez vaincre les types d’attaques les plus courants contre votre site.
N’oubliez pas que la cybersécurité n’est pas un événement, mais un processus. Vous devrez répéter certaines des étapes ci-dessus régulièrement et rester constamment vigilant, afin de vous assurer que votre site WordPress n’est pas seulement sécurisé maintenant, mais dans le futur.