5 problèmes de sécurité WordPress courants
Publié: 2021-01-27Si vous possédez un site Web propulsé par WordPress ou envisagez d'utiliser WordPress comme CMS, vous pouvez être préoccupé par les problèmes de sécurité potentiels de WordPress. Dans cet article, nous décrirons quelques-unes des vulnérabilités de sécurité WordPress les plus courantes, ainsi que les mesures que vous pouvez prendre pour sécuriser et protéger votre site WordPress.
WordPress est-il sécurisé ?
La réponse à la question « WordPress est-il sécurisé ? est-ce que ça dépend . WordPress lui-même est très sécurisé tant que les meilleures pratiques de sécurité WordPress sont suivies .
Selon la dernière utilisation des données des systèmes de gestion de contenu de W3Techs, WordPress offre 34% de réduction sur tous les sites Web. Les vulnérabilités de sécurité WordPress sont donc inévitables car tous les utilisateurs ne sont pas prudents, approfondis ou soucieux de la sécurité avec leurs sites Web. Si un pirate peut trouver un moyen d'accéder à l'un des centaines de millions de sites Web WordPress sur le Web, il peut rechercher d'autres sites Web qui exécutent également des configurations non sécurisées d'anciennes versions ou non sécurisées de WordPress et les pirater également.
WordPress fonctionne sur du code open source et dispose d'une équipe spécialement dédiée à la recherche, l'identification et la résolution des problèmes de sécurité WordPress qui surviennent dans le code principal. Au fur et à mesure que des vulnérabilités de sécurité sont divulguées, des correctifs sont immédiatement déployés pour corriger tout nouveau problème de sécurité découvert dans WordPress. C'est pourquoi la mise à jour de WordPress avec la dernière version est extrêmement importante pour la sécurité globale de votre site Web.
Il est important de noter que les vulnérabilités de sécurité WordPress s'étendent au-delà du noyau WordPress dans les thèmes ou les plugins que vous installez sur votre site. Selon un récent rapport de wpvulndb.com, sur les 2 837 vulnérabilités de sécurité WordPress connues dans leur base de données :
- 75% proviennent de plugins WordPress
- 14% proviennent du noyau WordPress
- 11% proviennent de thèmes WordPress
5 problèmes de sécurité WordPress courants
Les problèmes de sécurité WordPress les plus courants surviennent avant ou juste après que votre site ait été compromis. Le but d'un piratage est d'obtenir un accès non autorisé à votre site WordPress au niveau administrateur, soit depuis le frontend (votre tableau de bord WordPress) soit côté serveur (en insérant des scripts ou des fichiers malveillants).
Voici les 5 problèmes de sécurité WordPress les plus courants que vous devez connaître :
1. Attaques par force brute
Les attaques par force brute WordPress font référence à la méthode d'essai et d'erreur consistant à saisir plusieurs combinaisons de nom d'utilisateur et de mot de passe jusqu'à ce qu'une combinaison réussie soit découverte. La méthode d'attaque par force brute exploite le moyen le plus simple d'accéder à votre site Web : votre page de connexion WordPress.
WordPress, par défaut, ne limite pas les tentatives de connexion, donc les robots peuvent attaquer votre page de connexion WordPress en utilisant la méthode d'attaque par force brute. Même si une attaque par force brute échoue, elle peut toujours faire des ravages sur votre serveur, car les tentatives de connexion peuvent surcharger votre système et ralentir votre site. Pendant que vous êtes victime d'une attaque par force brute, certains hébergeurs peuvent suspendre votre compte, en particulier si vous utilisez un plan d'hébergement partagé, en raison de surcharges du système.
2. Exploits d'inclusion de fichiers
Après les attaques par force brute, les vulnérabilités dans le code PHP de votre site WordPress sont le prochain problème de sécurité le plus courant qui peut être exploité par des attaquants. (PHP est le code qui exécute votre site Web WordPress, ainsi que vos plugins et thèmes.)
Les exploits d'inclusion de fichiers se produisent lorsqu'un code vulnérable est utilisé pour charger des fichiers distants qui permettent aux attaquants d'accéder à votre site Web. Les exploits d'inclusion de fichiers sont l'un des moyens les plus courants pour un attaquant d'accéder au fichier wp-config.php de votre site Web WordPress, l'un des fichiers les plus importants de votre installation WordPress.
3. Injection SQL
Votre site WordPress utilise une base de données MySQL pour fonctionner. Les injections SQL se produisent lorsqu'un attaquant accède à votre base de données WordPress et à toutes les données de votre site Web.
Avec une injection SQL, un attaquant peut être en mesure de créer un nouveau compte utilisateur de niveau administrateur qui peut ensuite être utilisé pour se connecter et obtenir un accès complet à votre site Web WordPress. Les injections SQL peuvent également être utilisées pour insérer de nouvelles données dans votre base de données, y compris des liens vers des sites Web malveillants ou de spam.
4. Script intersites (XSS)
84 % de toutes les vulnérabilités de sécurité sur l'ensemble d'Internet sont appelées attaques de type "Cross-Site Scripting" ou XSS. Les vulnérabilités de Cross-Site Scripting sont la vulnérabilité la plus courante trouvée dans les plugins WordPress.
Le mécanisme de base du Cross-Site Scripting fonctionne comme ceci : un attaquant trouve un moyen d'amener une victime à charger des pages Web avec des scripts javascript non sécurisés. Ces scripts se chargent à l'insu du visiteur et sont ensuite utilisés pour voler des données à leurs navigateurs. Un exemple d'attaque de type "Cross-Site Scripting" serait un formulaire piraté qui semble résider sur votre site Web. Si un utilisateur saisit des données dans ce formulaire, ces données seraient volées.
5. Logiciels malveillants
Un logiciel malveillant, abréviation de logiciel malveillant, est un code utilisé pour obtenir un accès non autorisé à un site Web afin de collecter des données sensibles. Un site WordPress piraté signifie généralement que des logiciels malveillants ont été injectés dans les fichiers de votre site Web, donc si vous suspectez des logiciels malveillants sur votre site, jetez un œil aux fichiers récemment modifiés.
Bien qu'il existe des milliers de types d'infections malveillantes sur le Web, WordPress n'est pas vulnérable à tous. Les quatre infections de malware WordPress les plus courantes sont :
- Portes dérobées
- Téléchargements au volant
- Piratage pharmaceutique
- Redirections malveillantes
Chacun de ces types de logiciels malveillants peut être facilement identifié et nettoyé en supprimant manuellement le fichier malveillant, en installant une nouvelle version de WordPress ou en restaurant votre site WordPress à partir d'une sauvegarde précédente non infectée.
Qu'est-ce qui rend votre site WordPress vulnérable aux problèmes de sécurité WordPress ?
Plusieurs facteurs peuvent rendre votre site WordPress plus vulnérable aux attaques réussies.
1. Mots de passe faibles
L'utilisation d'un mot de passe faible est l'une des plus grandes vulnérabilités de sécurité que vous pouvez facilement éviter. Votre mot de passe administrateur WordPress doit être fort, inclure plusieurs types de caractères, symboles ou chiffres. De plus, votre mot de passe doit être spécifique à votre site WordPress et ne pas être utilisé ailleurs.
Curieux de savoir si votre mot de passe a été compromis ? Le plugin iThemes Security vérifie si votre mot de passe est apparu dans une violation de données. Une violation de données est généralement une liste de noms d'utilisateur, de mots de passe et souvent d'autres données personnelles qui ont été exposées après qu'un site a été compromis. Avec le paramètre Refuser les mots de passe compromis, vous pouvez refuser les mots de passe compromis et forcer les utilisateurs à utiliser des mots de passe qui n'apparaissent dans aucune violation de mot de passe suivie par l'API Have I Been Pwned.
2. Ne pas mettre à jour WordPress, les plugins ou les thèmes
En termes simples : vous risquez une attaque si vous utilisez des versions obsolètes de WordPress, des plugins et des thèmes sur votre site Web. Les mises à jour de version incluent souvent des correctifs pour les problèmes de sécurité dans le code, il est donc important de toujours exécuter la dernière version de tous les logiciels installés sur votre site Web WordPress.
Les mises à jour apparaîtront dans votre tableau de bord WordPress dès qu'elles seront disponibles. Prenez l'habitude d'exécuter une sauvegarde, puis d'exécuter toutes les mises à jour disponibles chaque fois que vous vous connectez à votre site WordPress. Bien que la tâche d'exécuter les mises à jour puisse sembler gênante ou fastidieuse, il s'agit d'une bonne pratique de sécurité WordPress importante.
Si vous gérez plusieurs sites Web WordPress, vous pouvez utiliser un outil permettant de gagner du temps comme iThemes Sync Pro pour mieux gérer les mises à jour. Au lieu de vous connecter à chaque site individuel, vous offre un tableau de bord pour gérer les mises à jour de plusieurs sites WordPress à partir d'un seul endroit.
3. Utilisation de plugins et de thèmes provenant de sources non fiables
Un code mal écrit, non sécurisé ou obsolète est l'un des moyens les plus courants pour les attaquants d'exploiter votre site Web WordPress. Étant donné que les plugins et les thèmes sont des sources potentielles de vulnérabilités de sécurité, en tant que meilleure pratique de sécurité, téléchargez et installez uniquement des plugins et des thèmes WordPress à partir de sources réputées, telles que le référentiel WordPress.org, ou d'entreprises premium qui sont en activité depuis un certain temps. . Évitez également les versions pirates ou torrentielles « gratuites » de thèmes et de plugins premium, car les fichiers peuvent avoir été modifiés pour contenir des logiciels malveillants. Le coût de ces plugins et thèmes « gratuits » peut se faire au détriment de la sécurité de votre site.
4. Utilisation d'un hébergement de mauvaise qualité ou partagé
Étant donné que le serveur sur lequel réside votre site Web WordPress est une cible pour les attaquants, l'utilisation d'un hébergement de mauvaise qualité ou partagé peut rendre votre site plus vulnérable à la compromission. Bien que tous les hébergeurs prennent des précautions pour sécuriser leurs serveurs, tous ne sont pas aussi vigilants ou ne mettent pas en œuvre les dernières mesures de sécurité pour protéger les sites Web au niveau du serveur.
L'hébergement partagé peut également être un problème car plusieurs sites Web sont stockés sur un seul serveur. Si un site Web est piraté, les attaquants peuvent également accéder à d'autres sites Web et à leurs données. Bien que l'utilisation d'un VPS, ou serveur privé virtuel, soit plus chère, cela garantit que votre site Web est stocké sur son propre serveur.
8 actions que vous pouvez prendre aujourd'hui pour protéger votre site WordPress
1. Utilisez un mot de passe fort pour chaque compte en ligne.
Si vous utilisez actuellement un mot de passe contenant moins de 6 caractères, modifiez-le maintenant. Si vous utilisez actuellement un mot de passe sur plusieurs connexions, modifiez-le maintenant. Si vous avez le même mot de passe depuis plus de six mois, changez-le maintenant. Si vous réutilisez un mot de passe pour plusieurs comptes en ligne, modifiez-le maintenant.
2. Installez un plugin de sécurité WordPress.
L'utilisation d'un plugin de sécurité WordPress est un excellent moyen de prendre en charge des mesures de sécurité supplémentaires sur votre site Web WordPress. iThemes Security propose un contrôle de sécurité WordPress en un clic qui active les paramètres de sécurité WordPress les plus importants et recommandés. Un bon plugin de sécurité WordPress peut gérer les aspects les plus techniques de la sécurité de votre site, vous n'avez donc pas besoin d'être un expert en sécurité pour en utiliser un.
3. Activez l'authentification à deux facteurs WordPress.
L'authentification à deux facteurs ajoute une couche de protection supplémentaire à votre connexion WordPress. En plus de votre mot de passe, un code supplémentaire sensible au temps est requis à partir d'un autre appareil tel que votre smartphone, afin de vous connecter. L'authentification à deux facteurs est l'un des meilleurs moyens de verrouiller votre connexion WordPress et minimise presque complètement le potentiel d'attaques par force brute réussies.
4. Gardez votre site WordPress à jour.
Encore une fois : maintenir votre site WordPress à jour est l'un des meilleurs moyens d'éviter les problèmes de sécurité potentiels de WordPress. Connectez-vous à votre site WordPress maintenant et exécutez toutes les mises à jour disponibles pour le noyau WordPress, vos thèmes ou plugins. Si vous utilisez des plugins ou des thèmes WordPress premium, assurez-vous d'avoir une licence à jour pour vous assurer d'obtenir des mises à jour et de ne pas exécuter de versions obsolètes.
5. Configurez les autorisations appropriées sur votre serveur.
Assurez-vous que les autorisations appropriées sont définies sur tous les répertoires de votre serveur. Les autorisations appropriées déterminent qui a l'autorisation de lire les fichiers, de créer et de modifier des fichiers.
6. Exécutez des analyses de programmes malveillants programmées.
Gardez un œil sur les infections potentielles de logiciels malveillants avec des analyses de logiciels malveillants programmées. La plupart des services, comme l'analyse des logiciels malveillants proposée dans le plug-in iThemes Security Pro, vous fournissent un rapport sur l'état des logiciels malveillants de votre site Web ainsi que plusieurs autres statuts de liste noire.
7. Ayez un plan de sauvegarde WordPress fiable.
Avoir un plan de sauvegarde WordPress est un élément important de votre stratégie de sécurité WordPress. Configurez des sauvegardes planifiées à exécuter et assurez-vous que vous envoyez vos sauvegardes en toute sécurité hors site vers un emplacement de sauvegarde WordPress distant et sécurisé. Assurez-vous également que votre stratégie de sauvegarde comporte un composant de restauration au cas où vous auriez besoin de restaurer votre site à partir d'une sauvegarde propre.
8. Activez WordPress Brute Force Protection.
Se protéger des attaques par force brute est un autre moyen de réduire les vulnérabilités potentielles ou les surcharges de serveur. Utilisez un service qui inclut à la fois une protection contre la force brute locale et réseau pour interdire aux utilisateurs qui ont tenté de pénétrer dans d'autres sites de pénétrer également dans le vôtre.
Obtenez iThemes Security Pro maintenant et économisez 25 % !
Bien qu'il existe des problèmes de sécurité pour WordPress, la plupart peuvent être évités avec les meilleures pratiques de sécurité WordPress et une prise de conscience des risques de sécurité potentiels. Armé de connaissances et de stratégies pour protéger votre site WordPress, vous pouvez réduire considérablement votre vulnérabilité aux piratages et garder votre site WordPress sûr et sécurisé.
Un plugin de sécurité WordPress de confiance comme iThemes Security Pro peut vous aider à sécuriser et à protéger votre site Web WordPress. Avec plus de 30 façons de verrouiller votre site, iThemes Security fonctionne pour verrouiller WordPress, corriger les failles courantes, arrêter les attaques automatisées et renforcer les informations d'identification des utilisateurs.
Forfait iThemes Security Pro.
Obtenez iThemes Security Pro
Kristen écrit des tutoriels pour aider les utilisateurs de WordPress depuis 2011. Vous pouvez généralement la trouver en train de travailler sur de nouveaux articles pour le blog iThemes ou de développer des ressources pour #WPprosper. En dehors du travail, Kristen aime tenir un journal (elle a écrit deux livres !), faire de la randonnée et du camping, cuisiner et vivre des aventures quotidiennes avec sa famille, dans l'espoir de vivre une vie plus présente.
