Votre site WordPress est-il sécurisé ? Les sites Web WordPress sont-ils vulnérables ?

Il y a deux ou trois décennies, le vol se limitait à l'introduction par effraction pour voler l'argent ou les objets de valeur de quelqu'un. Les malfaiteurs et les voleurs d'aujourd'hui prennent la forme de pirates informatiques. Toute personne qui trouve et exploite des vulnérabilités dans un logiciel à des fins de gain personnel ou pour des raisons politiques.

Avant de commencer, vous devez savoir que cet article n'entre pas dans les détails de la sécurité WP, mais traite plutôt des causes des vulnérabilités WordPress. Si ce n'est pas ce que vous recherchez, je vous suggère de lire - "Renforcer la sécurité WordPress - Un guide complet pour sécuriser les sites WordPress". Cependant, je dois dire que comprendre la nature des vulnérabilités de WP dans le passé fournit un excellent aperçu de la façon dont vous pouvez garantir les protocoles de sécurité de votre site Web.

Pourquoi les gens s'introduisent-ils dans les sites Web et les centres de données ? Il est plus rentable de pénétrer dans des sites Web contenant des informations sur les clients, des identifiants de messagerie, des numéros de carte de crédit, etc. que de voler une banque. Si vous exploitez un site Web assez performant, je suis sûr que des centaines, voire des milliers de tentatives pour accéder aux informations de votre site Web ont déjà été effectuées.

Plus récemment, AshleyMadison.com a été piraté et les détails de 37 millions d'utilisateurs ont été volés. Les pirates ont exigé la fermeture du site Web, faute de quoi ils divulgueront les détails des informations de l'utilisateur volé, y compris les fantasmes sexuels. Cela vous donne un avant-goût du type de destruction qu'un pirate informatique peut provoquer en accédant simplement à l'information.

La sécurité Web est un sujet très important et de plus en plus pertinent étant donné le nombre de sites Web surgissant pour collecter des informations personnelles sur ses utilisateurs.

Jusqu'à 65% du Web fonctionne avec WordPress en tant que système de gestion de contenu, donc aujourd'hui, je vais discuter de la sécurité de WordPress et de la façon dont les sites WP ont été ciblés ou piratés dans le passé.

Pourquoi investir dans les bonnes pratiques de sécurité ?

• Vous le devez à vos clients et clients qui vous font confiance avec des informations personnelles sensibles pour les garder en sécurité.
• Votre site est piraté – Vous perdez de l'argent.
• Votre site est piraté – Vos classements dans les moteurs de recherche font presque un aller simple en enfer.

Les sites Web WordPress sont piratés par milliers, voire par centaines de milliers. Tous les sites Web ne signalent pas le fait qu'ils ont été piratés dans le passé. Ce n'est pas une grande approbation pour leur marque comme vous pouvez le deviner.

Je voudrais faire la lumière sur la nécessité de cet article sur la sécurité WordPress.

Selon une étude, partagée par Sandro Gucci (Founder Of Enable Security).

• 73,2% des installations WordPress les plus populaires sont vulnérables aux vulnérabilités qui peuvent être détectées à l'aide d'outils automatisés gratuits.
• Seuls 7 814 sites Web (18,55 %) ont été mis à niveau vers WordPress 3.6.1, il s'agissait de la dernière version de WP lorsque le test a été effectué.
• 13 034 sites Web (30,95 %) exécutaient toujours une version vulnérable de WordPress, la version 3.6. WordPress 3.6 avait 5 vulnérabilités connues à ce moment-là.

Et si vous vous demandiez, eh bien, ce n'est qu'une caractérisation généralisée et injuste de petits sites Web inconnus quelque part sur le dark web, vous vous tromperiez. Les statistiques ont été produites sur la base d'une étude d'environ 42 000 sites Web WordPress sur le Top One Million de sites Web d'Alexa. C'est un nombre énorme de sites Web vulnérables pour les sites Web censés être les plus visités sur le Web. Ces sites Web collectent une grande quantité d'informations sur leurs visiteurs et leurs abonnés.

Les statistiques étaient vraies en septembre 2013, je ne pense pas que cela aurait beaucoup dévié depuis lors et même si c'était le cas, les statistiques affichées ici montrent l'ampleur des problèmes de sécurité qui affligent WordPress.

Si vous souhaitez plus de preuves qui prouvent que WordPress peut être compromis. Je vous renvoie à une étude de Netcraft,

• En février 2014, il y avait 12 000 blogs WordPress qui servaient de plateformes pour les sites de phishing.
• Plus de 8 % de toutes les URL de logiciels malveillants bloquées par Netcraft pour la distribution de logiciels malveillants hébergés sur le Web étaient des blogs WordPress.

Je dois souligner qu'aucun de ces blogs n'a été exécuté sur Automattic wordpress.com. Cela devrait illustrer assez clairement que même WordPress, s'il n'est pas utilisé avec prudence et une certaine connaissance de la sécurité WP peut être vulnérable. Une autre raison à cela peut être liée au fait que tous les blogs hébergés sur wordpress.com sont mis à jour presque dès que les mises à jour WordPress sont publiées. Il convient de noter que depuis lors, les mises à jour automatiques de WordPress ont été introduites dans la version 3.7 de WP pour protéger les sites Web contre les exploits zero day.

Et même après cela, il y a eu une multitude de problèmes de sécurité qui ont tourmenté WordPress. Consultez cette liste de vulnérabilités WordPress dans différentes versions de la plateforme.

Maintenant, vous ne pouvez plus rien faire pour empêcher que cela se produise, de nouvelles vulnérabilités seront presque toujours découvertes. De toute évidence, l'équipe de base de WP a pris la sécurité très au sérieux et a rendu WordPress beaucoup plus sûr.

Mais comme pour tous les autres logiciels populaires, l'exploitation des vulnérabilités devient plus rentable lorsque davantage de personnes commencent à les utiliser.

Ne me fais pas confiance ? Si vous pensez que WordPress deviendra soudainement libre de toutes vulnérabilités, consultez ce graphique !

Alors que le nombre de vulnérabilités a diminué au fil du temps par rapport à leurs sommets de 2007 et 2014, l'incitation à découvrir de nouvelles vulnérabilités et à les exploiter est toujours à la hausse compte tenu de la rentabilité croissante due à la popularité croissante de WordPress.

WordPress est peut-être sécurisé dès le départ, mais après avoir ajouté autant de plugins/thèmes et de code personnalisé, le nombre de vulnérabilités commence à augmenter avec une grande hâte.

Cela étant dit, nous pouvons apporter de petites modifications à votre WordPress, pour le rendre beaucoup plus sécurisé. Tout d'abord, nous devons avoir une compréhension approfondie de la sécurité de WordPress, ce qui est très utile pour déterminer les causes d'échec de la sécurité.

Vous serez peut-être surpris d'apprendre qu'il est très rare que la plate-forme principale WP soit en faute dans les cas de failles de sécurité. Il est beaucoup plus probable que quelque chose que vous avez ajouté à votre WP crée une vulnérabilité que les pirates pourraient exploiter.

Comment les sites WordPress sont-ils compromis ?

La difficulté d'assurer une sécurité totale est que cela n'existe pas.

En supposant que votre WordPress soit entièrement sécurisé, vous avez toujours votre Apache, votre client FTP, MySQL et tout logiciel qui s'exécute sur votre serveur dont vous devez vous soucier. Votre site Web est aussi sûr que son maillon le plus faible. Et cela inclut la qualité du logiciel de votre hébergeur, les thèmes et les plugins sur lesquels fonctionnent vos sites Web.

J'aurais aimé avoir des statistiques plus récentes que je puisse vous indiquer aussi, mais cette étude présentée sous forme d'infographie sur le blog de WpWhiteSecurity fournit de nombreuses informations sur la façon dont les sites Web WordPress sont piratés et ce qui les rend vulnérables.

L'étude a été menée sur la base des informations de 170 000 sites Web qui ont été piratés en 2012. Une augmentation de 18% du nombre de piratages par rapport à l'année précédente (2012), le plus amusant est que le nombre de vulnérabilités n'a pas augmenté du même pourcentage. Mais même une petite augmentation des vulnérabilités affecte beaucoup plus de sites Web, en raison de l'utilisation accrue de WordPress et des produits basés sur WordPress.

• 41% des WordPress piratés ont été piratés via une faille de sécurité sur leur plateforme d'hébergement.
• 29% ont été piratés via un problème de sécurité dans le thème WordPress qu'ils utilisaient.
• 22% ont été piratés via un problème de sécurité dans les plugins WordPress qu'ils utilisaient.
• 8% ont été piratés parce qu'ils avaient un mot de passe faible.
• De ce qui précède, nous pouvons conclure que plus de 51% des sites WordPress piratés ont été piratés via une vulnérabilité dans les thèmes ou plugins WordPress qu'ils utilisaient.

Une écrasante majorité des piratages sont survenus à la suite de l'installation de logiciels sous forme de plugins, de thèmes et parce que les fournisseurs de services d'hébergement Web n'ont pas réussi à renforcer adéquatement la sécurité côté serveur.

Il ne sert à rien de discuter des mesures pour protéger votre site Web, avant d'aborder les bonnes options dont vous disposez en termes de sécurité en matière d'hébergement, de thèmes et de plugins. Et je vais certainement discuter de la façon dont vous pouvez trouver un bon logiciel tiers et un hébergement sûr pour votre site Web, avant de commencer à recommander des mesures de sécurité spécifiques pour renforcer la sécurité de WP.

Conclusion

Les sites Web WordPress sont rarement vulnérables en raison d'erreurs dans le code principal du système de gestion de contenu. Mais un site Web ne fonctionne pas uniquement sur la base du système de gestion de contenu, il nécessite un hébergeur pour héberger le CMS sur le Web, des thèmes pour le rendre fantaisiste et des plugins pour ajouter les fonctions nécessaires. Maintenant, l'ajout de plusieurs couches de logiciels tiers à votre installation WordPress commence à rendre votre sécurité un peu poreuse, si ce n'est pas fait correctement.

Votre noyau WordPress, les plugins, les thèmes et l'hébergeur doivent communiquer pour que votre site WordPress continue de fonctionner. Cette interaction a parfois des défauts et rend les sites Web vulnérables.

Bien sûr, 8% des sites Web peuvent être compromis en raison de mots de passe faibles, mais il existe une quantité écrasante de preuves suggérant que l'ajout de plugins / thèmes mal écrits ou d'un hébergeur Web fonctionnant sur des logiciels obsolètes est la principale cause d'un grand pourcentage de tous les sites Web WordPress. piraté ou arrêté.

Maintenant que nous avons établi une certaine clarté en ce qui concerne les causes des vulnérabilités WordPress, dans le cadre du prochain article de la série WP Security, je vais discuter des étapes à suivre pour renforcer votre sécurité WordPress.

Si votre site WordPress a déjà été compromis par un piratage ou victime d'une attaque DDOS, veuillez partager les détails. Soit Aigars, soit moi essaierons de remédier au problème, si cela est en notre pouvoir. À votre santé