Quels facteurs de sécurité devez-vous prendre en compte lors du choix de votre fournisseur d'hébergement WodPress ?

Publié: 2021-12-03

En raison de la popularité croissante de WordPress dans tous les domaines, il y a de plus en plus d'incidents de sécurité affectant différentes sociétés d'hébergement de sites Web WordPress.

GoDaddy est l'exemple le plus récent, car ils ont récemment eu une faille de sécurité dans son environnement d'hébergement WordPress. La semaine dernière, le a annoncé qu'il y avait eu un accès tiers non autorisé à son environnement d'hébergement WordPress géré, affectant les données de jusqu'à 1,2 million de clients actifs et inactifs .

Violation de la sécurité WordPress sur GoDaddy

Le Chief Information Security Officer (CISO), Demetrius Comes, a annoncé le 22 novembre, dans un dossier déposé auprès de la Securities and Exchange Commission (SEC), que le 17 novembre, ils avaient découvert un accès non autorisé aux serveurs WordPress gérés de GoDaddy. Ils ont déterminé que l'incident avait commencé le 6 septembre 2021 et avait exposé les données de 1,2 million de clients WordPress gérés actifs et inactifs. Ils avaient identifié une activité suspecte dans l'environnement d'hébergement WordPress géré et ont immédiatement lancé une enquête avec l'aide d'une société d'expertise informatique et contacté les autorités judiciaires. Un mot de passe compromis a permis aux attaquants d'accéder à leurs systèmes.

L'annonce indiquait que :

  • Jusqu'à 1,2 million de clients WordPress gérés actifs et inactifs ont vu leur adresse e-mail et leur numéro de client exposés. L'exposition des adresses e-mail présente un risque d'attaques de phishing.
  • Le mot de passe d'origine de l'administrateur WordPress qui a été défini au moment de l'approvisionnement a été exposé. Si ces informations d'identification étaient encore utilisées, elles réinitialisent ces mots de passe.
  • Pour les clients actifs, les noms d'utilisateur et mots de passe sFTP et de base de données ont été exposés. Ils réinitialisent les deux mots de passe.
  • Pour un sous-ensemble de clients actifs, la clé privée SSL a été exposée. Ils sont en train de délivrer et d'installer de nouveaux certificats pour ces clients.

Enfin, Comes a ajouté : « Nous sommes sincèrement désolés de cet incident et de l'inquiétude qu'il suscite chez nos clients. Nous, la direction et les employés de GoDaddy, prenons très au sérieux notre responsabilité de protéger les données de nos clients et ne voulons jamais les laisser tomber. Nous tirerons des leçons de cet incident et prenons déjà des mesures pour renforcer notre système d'approvisionnement avec des couches de protection supplémentaires.

Comme vous pouvez l'imaginer, de nombreux messages sur Internet critiquent GoDaddy, non seulement pour avoir mis 5 jours à signaler la violation, mais aussi pour avoir mis plus de 2 mois à détecter ladite attaque, car elle a vraisemblablement eu lieu le 6 septembre. Vous trouverez également des informations supplémentaires sur les mesures à prendre, tant sur le plan technique que juridique, si vous êtes un client concerné. Je ne veux même pas penser à quel gâchis c'est pour GoDaddy et tous ces clients qui ont pu être touchés !

L'importance de la sécurité lors de la sélection d'une société d'hébergement

Lorsque nous parlons des exigences clés pour choisir votre hébergement WordPress, nous examinons tout un ensemble de facteurs : la compatibilité avec différentes versions de PHP, les fonctionnalités et les outils qu'il propose pour gérer facilement l'installation de WordPress, la vitesse de chargement rapide de nos pages, un support efficace service et, bien sûr, un coût raisonnable.

Mais ne nous leurrons pas : on finit souvent par reléguer l'aspect sécuritaire au bas de nos priorités. Pourquoi? Premièrement, parce que la sécurité de notre hébergeur est quelque chose que nous tenons pour acquis. Mais c'est absurde, car s'il y a une chose dont nous sommes sûrs, c'est qu'aucun système informatique n'est sécurisé à 100 %. Deuxièmement, la sécurité est difficile à évaluer rapidement et facilement. Ce n'est que lorsqu'une faille de sécurité se produit que nous prenons conscience d'éventuelles vulnérabilités.

La sécurité de votre site Web est un peu comme votre santé. Si tu vas bien, tu n'y penses pas beaucoup. Mais le jour où vous ne vous sentez pas bien, le monde s'effondre sur vous. Souvent, tomber malade est inévitable, mais la prévention et la détection précoce peuvent vous éviter bien des soucis. C'est pareil avec la sécurité. Si votre site Web est piraté, non seulement votre entreprise peut faire faillite, mais vous pouvez également vous retrouver avec des problèmes juridiques pour ne pas avoir pris les mesures de sécurité appropriées.

Si nous voulons essayer d'empêcher une faille de sécurité, que devons-nous attendre de notre hébergeur ?

Sécurité des logiciels

Quelque chose qui nous ennuie tous est de devoir mettre à jour le logiciel que nous utilisons sur nos ordinateurs. Mais il est très important que nous le fassions, car la plupart des mises à jour visent précisément à le protéger des vulnérabilités connues !

Pour cette raison, lorsque vous hébergez un site Web WordPress avec une société d'hébergement, assurez-vous qu'il répond aux exigences de compatibilité et aux dernières mises à jour logicielles recommandées par WordPress. Jetez un œil au site Web officiel de WordPress pour les connaître. Au moment de la rédaction de cet article, les exigences recommandées étaient les suivantes :

  • PHP 7.4 ou plus récent.
  • MySQL 5.6 ou plus récent, ou MariaDB 10.1 ou plus récent.
  • HTTPS

Ma recommandation : ne considérez même pas une société d'hébergement qui ne répond pas à ces exigences.

Disponibilité et assistance SSL

Le protocole de transfert hypertexte ( H yper T ext T ransfer Protocol ou HTTP ) est un protocole utilisé dans les systèmes de réseau, conçu dans le but de définir et de normaliser la syntaxe et la sémantique des transactions qui ont lieu entre les différents ordinateurs qui composent un réseau . En d'autres termes, il décrit la manière dont un serveur Web communique avec des navigateurs Web tels que Google Chrome ou Mozilla Firefox.

HTTPS fait référence à l'utilisation de HTTP sur un protocole SSL (Secure Sockets Layer) ou une connexion avec Transport Layer Security (TLS), et il est chargé de chiffrer tous les messages HTTP afin que leur transmission soit sécurisée. Lorsqu'un utilisateur soumet des informations à un serveur Web, SSL fournit essentiellement tout un ensemble de couches de protection :

  • chiffrement : si un attaquant parvient à intercepter cette information, elle sera inutile puisqu'il ne saura pas la déchiffrer (mais vous le saurez).
  • intégrité des données : les attaquants ne pourront pas « modifier » le contenu du message envoyé.
  • authentification : les attaques de phishing ou man-in-the-middle, dans lesquelles un utilisateur fournit des informations à des tiers alors qu'il croit parler à quelqu'un d'autre, sont évitées.

De cette façon, par exemple, vous vous assurez que les données des achats effectués sur votre site Web ne peuvent pas être lues et/ou modifiées par des criminels.

Si votre site Web utilise SSL, la plupart des navigateurs afficheront l'URL Web commençant par https:// et une icône de cadenas quelque part à proximité ou dans la barre d'adresse, offrant aux visiteurs un indice visuel sur la sécurité du site Web actuel.

Image de l'URL de Nelio affichée dans le navigateur
Image de l'URL de Nelio affichée dans le navigateur.

Lorsque vous recherchez un fournisseur de services d'hébergement, assurez-vous qu'il prend en charge SSL et vérifiez à quel point il est facile de le configurer.

Sauvegarde et restauration

Si jamais vous subissez une attaque de logiciel malveillant sur votre WordPress, vous devrez très probablement restaurer une ancienne sauvegarde exempte de code infecté. Pour cette raison, assurez-vous que votre hébergeur effectue des sauvegardes régulières et automatiques de votre site WordPress .

Assurez-vous de savoir :

  • Fréquence des sauvegardes,
  • A combien de sauvegardes de votre site vous avez accès,
  • Que vous puissiez facilement tous les restaurer par vous-même ou que vous deviez demander une restauration et payer le service,
  • Que vous puissiez effectuer des restaurations partielles de fichiers, de dossiers, de comptes de messagerie ou de bases de données,
  • Si vous pouvez accéder à l'historique de restauration.

Protection contre les attaques DDoS

Une attaque par déni de service distribué (DDoS) est un type d'attaque qui tente de faire tomber le serveur Web en déclenchant « une tonne » de requêtes jusqu'à ce que le serveur soit surchargé et tombe en panne.

Illustration d'une attaque DDoS
Illustration d'une attaque DDoS (source : Anti DDoS)

Pour les éviter, certains hébergeurs tels que SiteGround et Bluehost travaillent avec des réseaux de diffusion de contenu (CDN) comme Cloudflare. Les CDN exploitent des réseaux de serveurs mondiaux qui facilitent le traitement plus rapide des données et absorbent les attaques gourmandes en ressources telles que DDoS. Cela aide les sociétés d'hébergement à réduire la charge sur leurs propres serveurs sans avoir à investir massivement dans une infrastructure supplémentaire. Il est fortement recommandé de vérifier si votre hébergeur travaille avec des CDN.

Assurez-vous également qu'ils disposent de protocoles préparés pour ce type d'attaque, tels que :

  • Matériel de pare-feu qui filtre le trafic d'inondation,
  • Logiciel de pare-feu basé sur iptables avec des fonctions complexes et une surveillance du trafic,
  • Ils limitent le nombre de connexions pouvant être établies à distance,
  • Ils vérifient le nombre élevé de tentatives de connexion infructueuses des hôtes et effectuent un filtrage.

Analyse des logiciels malveillants

Les logiciels malveillants, comme nous l'avons vu dans le cas de GoDaddy, sont des logiciels malveillants qui peuvent affecter les serveurs. Ils peuvent provoquer une infection mineure, comme le vol de certaines données, ou effacer une base de données entière.

Il est important de savoir comment votre hébergeur contrôle et vérifie ce type d'attaques. À quelle fréquence effectuent-ils des scans ? Disposent-ils d'un système d'isolement des comptes afin qu'en cas d'infection, celle-ci soit contenue ?

Disponibilité et disponibilité

Les trois piliers de la sécurité de l'information sont connus sous le nom de triade CIA (confidentialité, intégrité et disponibilité). La disponibilité et la disponibilité de votre site Web (pourcentage de temps pendant lequel un site Web est actif et disponible) sont essentielles sur tout site Web.

Les sociétés d'hébergement disposent de plusieurs moyens pour assurer cette disponibilité. Par exemple, certains utilisent la technologie RAID, des redondances matérielles, des redondances réseau et même des emplacements de miroir alternatifs. Assurez-vous que votre fournisseur d'hébergement vous garantit une disponibilité minimale dans le contrat de niveau de service (SLA) de ses termes et conditions. Par exemple, dans le cas de Siteground, ils garantissent :

5.2. Nous garantissons une disponibilité du réseau de 99,9 % sur une base annuelle. Si nous tombons en dessous de la disponibilité garantie du réseau, nous vous indemniserons comme suit ;

  • Disponibilité de 99,9 % à 99,00 % : 1 mois d'hébergement gratuit
  • Un mois supplémentaire d'hébergement gratuit pour chaque 1 % de temps de disponibilité perdu en dessous de 99,00 % .

Le SLA est un autre indicateur de l'investissement dans l'infrastructure réalisé par votre hébergeur et de l'engagement qu'il prend pour garantir le service.

Conclusion

La sécurité, comme je l'ai déjà mentionné, est comme la santé. Bien que vous ne puissiez jamais garantir un contrôle absolu sur celui-ci, moins vous prenez de risques, mieux c'est. Protéger votre site et prendre soin de sa sécurité peut prévenir des conséquences indésirables majeures. Et cette protection commence par la sélection d'un bon fournisseur d'hébergement pour votre site Web WordPress.

Image en vedette de Liam Tucker sur Unsplash.