WordPress Security : Comment identifier et éliminer les menaces

Publié: 2018-05-11

Des excuses telles que « Nous sommes trop petits pour une attaque » ou « Nous ne traitons pas de données sensibles, telles que des rapports financiers » ne sont plus pertinentes. Il a été prouvé à plusieurs reprises que tous les sites Web, quelle que soit leur taille, sont vulnérables et peuvent tomber dans le piège des pirates.

Si vous abordez votre site Web de manière professionnelle, vous devez faire attention aux meilleures pratiques de sécurité pour WordPress. Nous partagerons une liste exhaustive de conseils pour protéger votre site WordPress contre les pirates et les logiciels malveillants.

En tant que propriétaire de site Web, vous avez la capacité d'améliorer la sécurité de WordPress, même si vous ne savez pas coder et ne voulez pas entrer dans le labyrinthe de ses complications.

Nous avons préparé une instruction étape par étape et créé une navigation afin que vous n'ayez pas de difficultés à parcourir le matériel. Vous pouvez accéder rapidement au bon fragment de texte et, à la fin de la lecture, votre site Web sera beaucoup plus sécurisé que la plupart des ressources sur le Web.

Pourquoi la sécurité est-elle importante ?

Un site WordPress piraté peut gravement nuire à votre entreprise et à votre réputation. Les pirates peuvent voler des informations sur les utilisateurs, des mots de passe, installer des logiciels malveillants et distribuer des chevaux de Troie parmi vos utilisateurs.

En 2017, Google a signalé que plus de 55 millions d'utilisateurs avaient été avertis de la visite de sites Web contenant des logiciels malveillants. Chaque semaine, Google dresse une liste de plus de 20 000 programmes malveillants.

Si votre site est votre entreprise, vous devez accorder plus d'attention à sa sécurité. Vous seul êtes responsable de la protection de votre ressource contre les intrus. Comme il est indiqué dans le WordPress Security Codex : « Fondamentalement, la sécurité ne concerne pas des systèmes parfaitement sécurisés. Une telle chose pourrait bien être peu pratique, ou impossible à trouver et/ou à entretenir. Ce qu'est la sécurité, c'est la réduction des risques, pas l'élimination des risques. Il s'agit d'utiliser tous les contrôles appropriés à votre disposition, dans des limites raisonnables, qui vous permettent d'améliorer votre posture globale en réduisant les chances de devenir une cible, puis d'être piraté.

Prenez votre temps et passez en revue les meilleures pratiques suivantes, ainsi que certaines des stratégies de sécurité WordPress éprouvées par l'industrie, telles que l'utilisation d'un logiciel WordPress à jour, une politique d'identification solide et une administration système axée sur la sécurité.

Types de vulnérabilités

Les vulnérabilités courantes de WordPress sont la faible sécurité des thèmes, les vulnérabilités des serveurs, des bases de données, des autorisations de fichiers, du FTP et des composants de fichiers spécifiques tels que wp-admin, wp-config et wp-includes. Ce sont les plus sujets aux attaques.

De nombreux incidents de piratage ont montré à quel point il est facile pour les intrus d'utiliser à leur avantage des liens non protégés dans les services de sécurité WordPress. Une vulnérabilité peut exposer votre site Web à des milliers d'attaques. Par exemple, début février, les cybercriminels ont lancé une campagne à grande échelle où les sites WordPress compromis redirigeaient les visiteurs vers des domaines avec un ensemble d' exploits .

Exploit est un morceau de code qui peut utiliser des failles dans votre site WordPress et permettre aux pirates de pirater le système. En d'autres termes, il s'agit d'un logiciel qui recherche des éléments non protégés sur votre site Web et les attaque.

Les exploits sont formés à la suite d'erreurs de programmeurs qui ne prêtent pas l'attention voulue à la sécurité de la ressource. Lorsqu'un exploit est découvert, vous devez créer un correctif qui supprime cette vulnérabilité.

Dans une autre série d'attaques, des pirates ont exploité une vulnérabilité dans le fichier XML-RPC.

XML-RPC est un protocole d'appel de procédure à distance (RPC) qui utilise XML pour coder ses appels et HTTP pour envoyer à distance des demandes ou des commandes à des sites Web. Si vous ne voulez pas donner aux pirates une chance supplémentaire de pirater votre ressource, vous pouvez simplement la supprimer. En cas de besoin, vous pouvez le restaurer.

L' injection SQL est le moyen le plus courant d'attaquer une base de données en contournant les pare-feu lorsque des pirates envoient des requêtes SQL spéciales à un site Web. Ces injections de code peuvent créer de nouveaux comptes d'administrateur qui peuvent être liés à des sites malveillants ou frauduleux à partir de votre ressource.

Comment empêcher les injections SQL ?

Les messages d'erreur sont principalement utilisés pour récupérer des informations sensibles sur un site Web. Donc, soit ils doivent être désactivés, soit des messages d'erreur personnalisés doivent être créés. Les experts en cybersécurité des services de développement WordPress affirment que le cryptage SHA1 ou SHA doit être utilisé pour toutes les informations confidentielles et tous les mots de passe. Limiter le nombre d'autorisations accordées réduira la probabilité de telles attaques malveillantes.

Attaques par force brute

L'attaque par force brute consiste en des tentatives d'obtenir la bonne combinaison d'identifiant et de mot de passe par une méthode d'essai et d'erreur. C'est le moyen le plus simple pour les pirates d'essayer d'accéder à la connexion. Ce type d'attaque peut être exécuté de différentes manières, chaque méthode essayant à plusieurs reprises de deviner la combinaison du login et du mot de passe. C'est une tactique courante utilisée par les bots car il n'y a aucune restriction sur le nombre de tentatives de connexion à WordPress. Si l'attaque réussit, les informations sensibles de votre site Web et de votre entreprise peuvent être en danger. Même en cas d'échec, votre système peut toujours être surchargé.

Comment faire face aux attaques par force brute ?

La meilleure façon est d'activer une politique de verrouillage qui élimine les tentatives de connexion illimitées. Des délais progressifs peuvent également être utilisés lorsque le compte est verrouillé pendant une certaine période de temps. Des outils tels que Captcha seront utiles, même si cela affectera la convivialité du site Web. La création de mots de passe complexes pour lutter contre ces types d'attaques peut également être utile.

Script intersite

Près de 84% de toutes les failles de sécurité dans WordPress sont des attaques Cross-Site Script ou XSS. Ce type de vulnérabilité se trouve le plus souvent dans les plugins WordPress. Ici, un intrus utilise une application web pour envoyer des scripts et des codes malveillants vers des sites sûrs et fiables, parmi lesquels pourrait bien être le vôtre. En conséquence, des fichiers JavaScript malveillants sont téléchargés sur une page Web et utilisés pour voler des informations confidentielles.

Comment empêcher le cross-site scripting ?

Il existe plusieurs méthodes pour empêcher les attaques XSS :

  1. Ne laissez pas des données non fiables accéder à vos documents HTML.
  2. Utilisez l'API de désinfection WordPress et l'API d'échappement WordPress (fonctions de nettoyage de code pour protéger les informations confidentielles et non pour les afficher publiquement, par exemple, dans une ligne d'adresse de lien de navigateur).
  3. Avant d'entrer des données non fiables dans la chaîne de requête d'URL, assurez-vous qu'elles sont encodées dans l'URL.
  4. Avant de placer des données non fiables dans des pages HTML, assurez-vous qu'elles sont encodées en HTML, en remplaçant la syntaxe du code.

Attaques de serveur Web et de système d'exploitation

Il existe également certaines vulnérabilités de sécurité sur les serveurs Web et les systèmes d'exploitation. De telles menaces de sécurité sont créées lorsqu'une erreur est enregistrée dans OpenSSL, ce qui permet aux pirates d'accéder aux bases de données et aux informations confidentielles. Cette grave vulnérabilité affecte près des deux tiers de tous les sites Web.

Comment prévenir les attaques sur un serveur web ?

  1. Effectuez des contrôles de sécurité réguliers sur le logiciel OpenSSL.
  2. Effectuez une validation côté serveur.
  3. Ne faites pas confiance aux entrées de l'extérieur.
  4. Mettez à jour les signatures IPS et pare-feu et activez les signatures Heartbleed.
  5. Annulez les certificats SSL existants et créez-en de nouveaux.
  6. Ne créez pas de nouveaux certificats avec l'ancienne clé.

Les programmes malveillants sont conçus pour détruire et endommager un système ou accéder à une base de données. Ces logiciels sont une forme de codes et de scripts exécutables qui pénètrent dans le système sans le consentement de l'utilisateur.

Chaque fois que votre site WordPress est piraté, jetez un œil aux fichiers récemment modifiés. Les infections de logiciels malveillants les plus courantes incluent les portes dérobées, les disques téléchargeables et les redirections malveillantes.

Comment faire face aux attaques malveillantes ?

  1. Supprimez les fichiers malveillants manuellement.
  2. Restaurez le site WordPress à partir d'une sauvegarde.
  3. Mettez toujours à jour WordPress et les plugins.
  4. Supprimez le compte "admin" et utilisez un autre nom d'utilisateur unique.

Détection de piratage

Il existe un faible pourcentage de tentatives de piratage qui sont extrêmement difficiles à détecter, mais en général, vous pouvez identifier toutes les tentatives, qu'elles soient réussies ou non.

Indicateurs de détection des vulnérabilités :

  • Des augmentations de trafic soudaines et imprévues, en particulier en provenance de l'étranger (souvent ne provenant pas de votre région, où la probabilité de trouver votre public cible est extrêmement faible) ;
  • Votre domaine est automatiquement redirigé vers un site tiers (souvent des spams) ;
  • Votre page d'accueil et vos pages internes changent soudainement ou le contenu disparaît ;
  • Des rafales de bande passante sortante peuvent indiquer que votre serveur est capturé et utilisé pour des attaques DDoS ;
  • Le trafic direct et organique diminue parce que les moteurs de recherche tels que Google, Yandex, Bing et les navigateurs (Firefox et Chrome) avertissent des dangers de la visite de votre site par les utilisateurs.

Si vous remarquez l'une des activités répertoriées sur votre site web, effectuez rapidement le diagnostic de sécurité de votre site WordPress ici . Remplacez simplement www.example.com par le domaine de votre site Web dans la barre d'adresse. Une alternative au service consiste à vérifier la réputation du site à l'aide de l' outil gratuit URLVoid .

Éliminer les failles de sécurité

Surveillez attentivement et objectivement votre ressource pour les tentatives de piratage. En cas de problèmes de sécurité, vous devriez commencer à éliminer les violations.

Si vous êtes certain que votre site est devenu une cible de cybercriminels, il sera bon d'en informer vos visiteurs. Organisez la distribution automatique d'e-mails à vos utilisateurs, car ils peuvent être vulnérables aux pirates. Avertissez-les que votre site peut être victime d'une faille de sécurité et qu'il vaut mieux suspendre la visite de votre site pendant un certain temps. Précisez la date à laquelle le problème sera résolu.

Si l'attaque s'est propagée, il est logique de désactiver le site et de travailler en mode hors ligne jusqu'à ce que vous trouviez et résolviez le problème. Pour la période des travaux, il est recommandé de mettre la page « Chantier en Reconstruction ». Cela indiquera clairement aux utilisateurs que le problème est temporaire et ne les effrayera pas pour toujours.

Contactez votre hébergeur

Les sociétés d'hébergement Web travaillent quotidiennement avec des milliers de sites Web et font face à toutes sortes de problèmes de sécurité sur Internet. Une fois que vous apprenez que la sécurité de votre site est menacée, contactez l'hébergeur et expliquez votre problème.

La plupart des sociétés d'hébergement Web ont des spécialistes en informatique et en sécurité. Ils peuvent aider à identifier et à corriger les attaques malveillantes. Même si votre hébergeur ne propose pas son aide, ses experts peuvent contacter d'autres propriétaires de sites Web qui ont rencontré un problème similaire. Cela vous aidera à comprendre ce que vous devez faire pour résoudre le problème.

Les bons hébergeurs prennent des mesures supplémentaires pour protéger leurs serveurs contre les menaces courantes. Mais sur l'hébergement partagé, vous partagez des ressources avec d'autres propriétaires de sites Web. Cela augmente le risque d'attaques de scripts intersites lorsqu'un pirate informatique peut utiliser un site Web voisin pour attaquer le vôtre.

L'utilisation de l'hébergement géré WordPress offre un fonctionnement plus sûr de votre site Web en raison de ses fonctionnalités supplémentaires telles que la sauvegarde automatique, les mises à jour et des configurations de sécurité plus complexes pour protéger votre ressource.

Obtenez l'aide d'experts en sécurité Web

En règle générale, les fichiers de site Web les plus vulnérables sont les fichiers multimédias, les fichiers .php et ceux qui sont stockés dans des endroits dangereux. Les pirates injectent du code malveillant dans ces fichiers et endommagent votre site Web à l'aide d'attaques de porte dérobée. Comme il s'agit de zones à risque typiques, vous devez d'abord les inspecter et, ensuite, vous rendre dans d'autres zones du site pour commencer le processus de nettoyage.

Pour supprimer le code malveillant des fichiers infectés, vous devez les télécharger à partir de votre serveur, supprimer le code affecté et télécharger à nouveau les fichiers sains sur le serveur.

Parfois, il ne suffit pas de nettoyer les fichiers infectés. Peut-être que des pirates ont accès à vos fichiers, et ils continueront à y apporter des modifications et à supprimer des extraits de code. La bonne pratique consiste à comparer la version nettoyée de vos fichiers infectés avec les fichiers source de vos développeurs Web pour voir si vous avez perdu des morceaux de code critiques.

N'oubliez pas que généralement, les pirates installent des shells backend qui leur permettent de pirater votre site même après avoir supprimé tous les fichiers infectés. Ces coquilles sont souvent déguisées en limes régulières. Si votre site a été compromis, lorsque vous revenez à votre sauvegarde, sous-traitez le travail à des services de sécurité pour vous assurer que votre site Web est complètement sécurisé et peut continuer à fonctionner.

Changer les mots de passe

Le nettoyage des fichiers infectés n'est qu'une partie de la tâche de suppression des vulnérabilités. Vous devez vous assurer que les pirates n'ont plus accès à vos données. Le moyen le plus simple mais le plus efficace consiste à modifier les mots de passe. TOUS vos mots de passe de :

  • E-mail;
  • compte FTP ;
  • Compte d'hébergement ;
  • Panneau d'administration WordPress.

Vous devez être sûr que vos nouveaux mots de passe sont fiables et ne peuvent pas être piratés à l'aide de méthodes de force brute. N'oubliez pas que le vol de mots de passe est le type le plus courant de piratage de sites Web WordPress. Par conséquent, nous vous recommandons de créer des mots de passe plus complexes qui n'ont jamais été utilisés auparavant.

La principale raison pour laquelle les débutants ne préfèrent pas utiliser des mots de passe forts est qu'ils sont difficiles à retenir. Il existe maintenant une solution à ce problème - utilisez simplement le gestionnaire de mots de passe.

Un moyen efficace de réduire les risques consiste à avoir plusieurs rôles pour accéder à votre compte WordPress. Si vous avez des auteurs invités, assurez-vous de bien comprendre les rôles et les capacités de chacun avant d'ajouter de nouveaux utilisateurs à votre site Web.

Comment sécuriser votre site WordPress

Habituellement, le maintien de la sécurité du site Web est considéré comme un travail compliqué et nécessite une équipe de professionnels hautement rémunérés. Dans le cas de WordPress, les choses ne sont pas si effrayantes. Nous vous montrerons comment protéger votre site WordPress sans connaissances techniques approfondies. Vous n'avez pas besoin de savoir coder, d'effectuer des actions complexes, de vous tenir sur la tête ou d'effectuer des rituels vaudous secrets.

Allons-y !

Étape 1. Définir les options de sauvegarde

Les sauvegardes sont votre bouclier contre toute attaque WordPress. N'oubliez pas qu'aucun site Web ne peut être sécurisé à 100 %. Même les sites Web du gouvernement sont piratés de temps en temps. Ainsi, votre ressource peut également devenir une cible.

Les sauvegardes sont conçues pour restaurer rapidement un site Web vulnérable. Par conséquent, nous vous recommandons d'utiliser des plugins WordPress prêts à l'emploi à cette fin. Il y en a beaucoup : il y a des options payantes et gratuites.

La chose la plus importante ici est que les sauvegardes doivent être effectuées régulièrement. Il existe une règle importante : ils doivent être créés sur un service de stockage tiers (par exemple, dans le cloud Dropbox, Amazon), et non sur votre compte d'hébergement.

Plus vous mettez à jour votre site Web souvent, plus vous devez en faire des copies de sauvegarde. Si vous effectuez des mises à jour quotidiennes du blog, nous vous recommandons de faire une sauvegarde au moins une fois par jour.

Comment faire?

Téléchargez des plugins comme VaultPress ou BackupBuddy . Ils sont fiables et, surtout, faciles à utiliser, faciles à configurer et remplissent parfaitement leur fonction principale de sauvegarde.

Utiliser les plugins et services de sécurité WordPress

Disposer d'une infrastructure de sécurité de base est indispensable pour tout site Web, quelle que soit son ampleur. Par exemple, un outil simple, Login Lockdown , pour les utilisateurs de WordPress est utile pour empêcher les attaques primitives de tentatives de connexion utilisant la force brute.

Par conséquent, si vous ne disposez pas déjà d'un pare-feu ou d'un système de sécurité protégeant votre site, activez-les sans tarder. Étant donné que notre objectif est d'empêcher l'attaque et non de restaurer une fois le dommage causé, nous vous suggérons d'utiliser un pare-feu d'application Web (WAF) comme solution.

Un pare -feu est une solution logicielle prête à l'emploi qui ajoute un niveau de protection supplémentaire et contrôle tout le trafic entrant sur votre site Web, bloquant un large éventail de menaces malveillantes.

Il combat les menaces les plus courantes et les plus agressives, notamment le projet de sécurité des applications Web ouvertes, les injections SQL, les scripts intersites et les redirections invalidées. Un pare-feu ou un pare-feu est souvent intégré aux systèmes d'exploitation modernes ou inclus dans les systèmes antivirus payants.

Un pare-feu applicatif Web (WAF) est le moyen le plus simple de protéger un site et d'être sûr de sa sécurité. Il bloque tout le trafic malveillant avant qu'il ne dépasse votre ressource.

Les bons hébergeurs offrent une protection WAF intégrée en utilisant le module serveur Apache mod_security avec open source, mais nous comprenons que cela ne suffit pas pour bloquer les dernières menaces détectées. Le module est rarement mis à jour par les hébergeurs qui ne disposent pas de suffisamment de ressources pour suivre l'évolution rapide du paysage des menaces.

Par conséquent, les utilisateurs doivent prendre la tâche en main, en utilisant le pare-feu fourni par les fournisseurs de sécurité cloud. Ces WAF basés sur le cloud sont des solutions plug-and-play qui contrôlent tout le trafic entrant et traitent de manière autonome l'ensemble du processus de détection et de suppression des menaces pour répondre rapidement aux menaces nouvelles et existantes.

En outre, ces services cloud sont généralement fournis avec des réseaux de diffusion de contenu CDN, des services de basculement DDoS et même des solutions d'équilibrage de charge pour améliorer les performances, la sécurité et la disponibilité.

En tant que meilleur pare-feu pour les applications Web pour WordPress, nous recommandons Sucuri . L'avantage du pare-feu Sucuri est qu'il est livré avec une garantie de suppression des logiciels malveillants. Les développeurs garantissent qu'ils répareront votre site Web (quel que soit le nombre de pages que vous avez). Les spécialistes de la sécurité estiment généralement leur travail à 250 $ de l'heure alors que vous pouvez obtenir toute la gamme de sécurité avec Sucuri pour 199 $ par an.

Sucuri n'est pas le seul fournisseur de pare-feu. Son célèbre concurrent qui lui marche déjà sur les talons est Cloudflare .

Quelles sont les différences entre Sucuri et Cloudflare ?

Les deux services proposent des plans différents, qui viennent avec un ensemble différent de fonctionnalités.

Fonctionnalités Cloud Flare

Cloudflare est devenu célèbre pour le service CDN gratuit. Il est spécialisé dans la prévention des attaques DDoS. Cloudflare maintient votre site accessible aux utilisateurs lors d'une attaque ou d'un trafic important lorsque votre serveur ne répond plus.

Le pare-feu couvre également les formulaires et protège votre site Web contre les commentaires de spam et les enregistrements de spam. Cloudflare propose également des certificats SSL gratuits dans tous ses forfaits payants. Les plans gratuits vous permettent d'utiliser uniquement les certificats Cloudflare. Pour obtenir un certificat personnalisé, vous devez passer à un plan d'affaires ou d'entreprise.

Bien que Cloudflare dispose d'une version gratuite qui fournit un CDN gratuit, la plupart des autres fonctionnalités, y compris le pare-feu d'application Web, nécessitent une transition vers un plan payant.

Cloudflare n'offre pas de service d'analyse des serveurs pour détecter les logiciels malveillants. Il ne fournit pas non plus de garantie pour la suppression des logiciels malveillants.

Caractéristiques de Sucuri

Sucuri est l'un des services de sécurité les plus fiables pour la surveillance des sites Web. Il offre une surveillance et une analyse complètes des logiciels malveillants, une protection contre les attaques DDoS et la suppression des logiciels malveillants.

Sucuri propose CloudProxy, un pare-feu de site Web et des services d'équilibrage de charge. Il bloque le trafic suspect, le code infecté, les robots et autres menaces. Sucuri scanne régulièrement votre site Web.

Que choisir ?

Sucuri a évidemment plus d'avantages car il offre la meilleure combinaison d'outils et de services (site pare-feu + équilibrage de charge + nettoyage des logiciels malveillants/restauration des hacks).

Tarification

Cloudflare propose un service CDN gratuit pour tout le monde. Ils ne facturent pas la bande passante, c'est-à-dire que vous pouvez utiliser leur CDN gratuit quelle que soit la quantité de trafic.

Cependant, le plan gratuit ne comprend pas de pare-feu pour les applications Web. Votre site Web peut utiliser le CDN, mais il ne sera pas correctement protégé contre les attaques DDoS, le spam, etc.

Pour utiliser un pare-feu, vous avez besoin d'un plan Pro qui coûte 20 $ par mois, mais ce plan n'inclut pas la réduction avancée des attaques DDoS et le SSL personnalisé. Pour obtenir ces fonctionnalités, vous devrez acheter un plan d'affaires qui coûte 200 $ par mois.

Sucuri ne propose pas de plan gratuit. Leur plan de sécurité commence à 199 $ par an, ce qui s'avère plus abordable que le plan Pro de CloudFlare. Ce plan de base comprend une surveillance complète du site, un pare-feu d'application Web, une protection DDoS, la suppression des logiciels malveillants et un certificat SSL gratuit.

Plutôt que d'exclure des fonctionnalités importantes des plans de niveau inférieur, Sucuri utilise la priorité temporelle comme incitation pour ses plans plus chers. Par exemple, le temps de suppression des logiciels malveillants dans un plan tarifaire de base est de 12 heures, 6 heures pour un plan professionnel et 4 heures pour un plan commercial. Dans le même temps, le temps de nettoyage réel est plus rapide que celui indiqué dans les plans.

Sucuri offre une assistance 24 heures sur 24 pour tous les plans. Leurs abonnés au plan d'affaires peuvent également utiliser l'assistance par chat.

Que choisir ?

Sucuri est un choix évident pour les petites entreprises en matière de prix. Cloudflare Pro coûte 240 $ par an contre Sucuri qui facture 199 $ par an avec un large éventail de fonctionnalités. Pour obtenir la même fonctionnalité, vous devrez passer au plan Cloudflare à 2 400 $ par an. Le plan Sucuri le plus cher est de 499 $ par an.

Suppression des logiciels malveillants

Les logiciels malveillants et le code infecté sont les menaces les plus courantes auxquelles sont confrontés les propriétaires de sites Web.

Comment Sucuri et Cloudflare protègent-ils les sites contre ces menaces courantes ?

Une version gratuite de Cloudflare est généralement bonne en tant que réseau de diffusion de contenu qui rendra votre site plus rapide à télécharger.

La sécurité du pare-feu pour les sites Web (disponible dans la version payante) comprend la protection du site contre les codes malveillants, les exploits dans XSS JavaScript et les formulaires. Il n'offre pas la détection des modifications dans les fichiers, l'analyse des logiciels malveillants, la surveillance de la liste noire et d'autres fonctionnalités de sécurité. Vous pouvez ajouter des applications tierces pour analyser les logiciels malveillants, mais ces services vous coûteront de l'argent supplémentaire.

Sucuri est spécialisé dans la surveillance des sites et leur protection contre les logiciels malveillants et autres attaques. Le pare-feu Sucuri vous protège contre les attaques DDoS, les injections SQL, les injections XSS JavaScript, les commentaires et les formulaires de contact indésirables.

Cependant, si un attaquant brise également ces barrières, Sucuri vous proposera de nettoyer votre site (gratuitement). Si vous avez maintenant un site Web affecté par des logiciels malveillants, Sucuri peut également le nettoyer.

Que choisir ?

Pour utiliser un pare-feu d'application Web avec des services de surveillance, de protection anti-malware et de nettoyage, Sucuri est le mieux adapté. Cependant, dans le domaine de la diffusion de contenu, il est préférable d'utiliser Cloudflare.

Étape 2. Transférez vers HTTPS si vous ne l'avez pas déjà fait

L'un des facteurs de classement les plus récents annoncés officiellement par Google est l'obligation de passer au HTTPS. Cet accent mis sur la sécurité des sites Web montre que Google prend au sérieux le fait que les sites Web non fiables ou piratés sont déclassés dans les classements des moteurs de recherche. Selon Google lui-même, il s'agit d'une tentative de rendre Internet plus sûr.

HTTPS est un protocole permettant de sécuriser la confidentialité des échanges de données entre un utilisateur et un site Internet. Il assure la sécurité du transfert d'informations importantes entre les sites et les serveurs, contrairement à l'ancien protocole HTTP.

HTTPS était auparavant largement utilisé pour les transactions financières sur les sites de commerce électronique, afin de protéger les boîtes aux lettres. En d'autres termes, il s'appliquait à toutes les transactions nécessitant sécurité et fiabilité.

En transférant votre site vers un protocole HTTPS, vous ne vous contenterez pas de le rendre plus sécurisé ; vous augmenterez également vos chances d'obtenir des positions élevées dans les résultats de recherche sur les requêtes thématiques Google et Bing.

Étape 3 : Installez les plugins de sécurité WordPress

Il est important de mettre en place un système d'audit et de surveillance qui suit chaque activité qui se produit sur votre site.

Vous avez besoin d'un plugin de sécurité pour :

  • surveiller l'intégrité des fichiers ;
  • suivre les tentatives de connexion infructueuses ;
  • analyser le site à la recherche de logiciels malveillants ;
  • éliminer toutes les menaces ;
  • protéger votre site contre les menaces ;
  • avoir un assistant universel dans la lutte contre toutes sortes de vulnérabilités ;

Le plugin gratuit, Sucuri Scanner, peut gérer ces tâches.

Comment configurer Sucuri Scanner ?

  1. Créez une clé API gratuite. Cela aidera à conserver des enregistrements de piste, à vérifier l'intégrité du site Web, à notifier par e-mail lorsque des menaces se produisent.
  2. Accédez à l'onglet Durcissement dans le menu Sucuri du tableau de bord WordPress. Marquez chaque option et cliquez sur le bouton "Renforcer".

Ces paramètres aident à bloquer les zones à risque que les pirates utilisent souvent pour leurs attaques.

  1. Configurez les alertes de menace par e-mail. Pour vous assurer que votre e-mail n'encombre pas votre courrier, nous vous recommandons de configurer la réception d'e-mails uniquement sur les actions critiques telles que l'enregistrement de nouveaux utilisateurs, les modifications de plugins.

Wordfence Security est l'un des plugins de sécurité les plus connus avec plus de 2 millions d'installations actives et un pare-feu intégré. Il offre une protection complète d'un site Web sur tous les fronts :

  • Protection universelle du site ;
  • Protection contre les nouvelles menaces ;
  • Protection contre les attaques par force brute ;
  • Détection du trafic malveillant ;
  • Bloquer les intrus avant qu'ils n'atteignent le site ;
  • Protection contre les robots ;
  • Blocage des réseaux malveillants ;
  • Protection de l'entrée contre les mots de passe de force brute, les attaques DDoS ;
  • Analyser le site pour détecter les menaces ;
  • Analyse des portes dérobées ;
  • Recherche de chevaux de Troie, code suspect ;
  • Analyse des messages et des commentaires.

Pour obtenir un pare-feu plus fiable, vous devrez acheter une version Premium (à partir de 99 $ pour l'année). Les fonctionnalités de base du plugin sont disponibles dans la version gratuite.

Envoyez une demande à Google, Bing, etc.

Le résultat négatif du piratage est que de nombreux moteurs de recherche, navigateurs et logiciels de sécurité identifient votre ressource comme problématique et émettent des alertes aux utilisateurs qui souhaitent visiter le site. Ainsi, ils essaient d'assurer la sécurité de leurs utilisateurs, de les prévenir du danger.

Pour que votre site soit opérationnel le plus rapidement possible, contactez Google, Bing, Yahoo, Mozilla et d'autres services pour retirer votre site de leur liste noire.

De conclure

Comme pour la plupart des autres choses qui ont soudainement mal tourné, soyez prudent et assurez-vous que vous avez pris toutes les précautions possibles pour protéger votre site WordPress de toute attaque. Si c'était inévitable et que vous avez déjà été piraté, ne vous découragez pas.

Utilisez simplement l'expérience négative (qui peut généralement être évitée) comme sonnette d'alarme, suivez les étapes décrites ci-dessus et utilisez toutes les mesures de sécurité pour éviter un tel événement à l'avenir.