• 07 68 26 70 54
  • contact@idevart.fr

Comment savoir si mon site WordPress a été piraté ?

Près de 47% de tous les sites Web infectés contenaient une ou plusieurs portes dérobées, permettant aux attaquants de conserver l’accès aux environnements compromis après l’infection initiale, selon le site  Sucuri.

Bien souvent à cause du téléchargement de thèmes ou extensions WordPress issus de plateformes douteuses.

Une étude de 2003 a révélé qu’il y avait une attaque toutes les 39 secondes en moyenne sur le Web.

Les noms d’utilisateur et les mots de passe non sécurisés se placent en tête des facilitateurs de piratage informatique réussies.

Lorsque votre site Web a été piraté, plus tôt vous pourrez identifier le problème, meilleures seront vos chances de le résoudre.

Idevart vous propose aujourd’hui de découvrir quelques signes qui pourraient vous alerter sur un piratage effectif de votre installation WordPress et autres éléments qui pourraient s’y trouver.

Si vous remarquez l’un de ces 6 signes présents sur votre site Web, contactez immédiatement votre webmaster ou l’agence web Idevart pour obtenir de l’aide.

1. Ralentissements importants du site

Les ralentissements de site Web n’est pas nécessairement dû à un piratage informatique mais ça pourrait être une piste à exploiter si au cours de votre investigation vous n’auriez pas réussi à trouver un problème manifeste.

Votre site Web utilise les ressources de votre serveur Web pour exécuter ses activités habituelles telles que l’affichage de contenu aux visiteurs. 

Lorsque des pirates informatiques pénètrent dans votre site, ils l’utilisent pour exécuter leurs propres activités malveillantes qui nécessitent généralement beaucoup de ressources.

Leurs activités consomment les ressources de votre serveur qui seraient autrement dédiées au fonctionnement de votre site. Cela réduit ses performances et le ralentit.

2. Vous ne pouvez plus accéder à l’administration de votre site internet

Le fait de ne plus pouvoir accéder à son panneau d’administration ne signifie évidemment pas à tous les coups que votre site internet a été piraté, mais les signes ne trompent pas.

Lorsque des pirates ont accès à votre site, ils suppriment vos privilèges d’administrateur en supprimant votre compte. Si vous ne parvenez pas à vous connecter et que vous constatez que votre compte n’existe pas, vous pouvez être sûr que votre site est piraté.

Je me souviens d’un client de l’agence web Idevart professionnel de santé qui a connu ce genre de situation avec un site internet qui n’avait pas été réalisé par Idevart.

Il était certain qu’il s’agissait d’un piratage et non d’un oubli de mot de passe ou autre puisque le pirate s’était également permis d’intégrer de la publicité dommageable pour son image de marque.

La première chose à faire pour vous ou votre webmaster est alors d’aller modifier la base de donnée de votre installation WordPress en tenant d’y insérer les bonnes informations de connexion à votre site web puis de mettre intégralement à jour votre installation de WordPress (Ou autre si votre site n’a pas été installé avec la solution WordPress) afin d’en assainir les fichiers.

Enfin, je vous conseille aussi de jeter un oeil sur les mises à jours de votre thème et de vos extensions WordPress, quitte à les changer si nécessaire.

3. Vous recevez une alerte de votre compte Google search console

Je vous conseille sérieusement de posséder un compte Google Search Console pour votre site internet, notamment pour prévenir d’éventuelles failles pouvant risquer de compromettre la sécurité de votre site web.

L’un d’eux est qu’il surveille votre site Web pour les logiciels malveillants et autres types d’infections.

La console de recherche Google vous envoie une notification par e-mail si elle détecte une infection en parcourant vos pages, par un logiciel malveillant sur le site Web.

Google affiche également un signe d’avertissement aux visiteurs qui tentent d’accéder à votre site.

La Search Console est généralement utilisée pour surveiller le trafic et l’indexation de votre site Web, c’est aussi une excellente ressource «comment savoir si vous avez été piraté».

Si un code malveillant est injecté dans une page explorée par Google, le moteur de recherche vous signalera immédiatement par e-mail.

Si vous recevez un drapeau de la console de recherche, il est impératif que vous suiviez rapidement ses instructions pour éviter que votre page ne perde son classement dans les moteurs de recherche.

4. Votre hébergeur prend des mesures sur votre site

De la même manière que la console de recherche analysera vos pages, la plupart des hébergeurs Web les analyse également périodiquement pour protéger leurs propres serveurs.

Votre hôte vous a peut-être envoyé un e-mail indiquant que votre compte a été désactivé ou suspendu.

En effet, une infection sur le serveur de votre site internet peut également se répandre sur d’autres serveurs dans le cas d’un hébergement mutualisé.

Votre hébergeur peut avoir reçu des rapports de visiteurs du site indiquant que votre site a été piraté, leurs propres outils de sécurité automatisés peuvent les avoir alertés ou ils peuvent avoir reçu des alertes de systèmes automatisés extérieurs à leur propre entreprise.

Dans les deux cas, ils mettront généralement immédiatement votre site hors ligne.

Pour cette raison, il est important de rapidement pouvoir disposer d’une sauvegarde intégrale de votre site internet afin de le récupérer et revenir a sa version antérieure à l’infection de celui-ci.

5. Votre outil d’analyse de trafic affiche un pic soudain provenant de l’étranger

De nombreux piratages trouvent leur origine dans les pays de l’est comme l’Ukraine, la Russie ou en Asie avec la Chine ou le Vietnam.

Si votre site internet n’est pas destiné à ces pays mais que vous constatez des pics de trafic massifs en provenance d’eux, il y a de fortes chances que vous ayez été piraté ou que quelqu’un soit en train de vous pirater.

Pour empêcher une adresse IP étrangère d’envoyer un ping à votre site, vous pouvez toujours essayer de bloquer certains territoires avec l’aide de votre hébergeur.

Vous pouvez également installer un outil d’authentification tel que “Google Authenticate” pour qu’il soit beaucoup plus difficile pour les mauvais acteurs d’accéder à votre site.

5. Google marque votre site comme trompeur ou non sécurisé

Google donne la priorité à la satisfaction et à la sécurité de ses utilisateurs. Ils surveillent et analysent constamment les sites à la recherche de logiciels malveillants.

Google supprime souvent simplement les sites piratés des résultats de recherche. 

Mais dans certains cas, le site peut toujours être répertorié, mais il sera signalé par un message indiquant que “Ce site peut être piraté” ou “Ce site peut endommager votre ordinateur”. 

“Ce site peut endommager votre ordinateur” signifie que Google a détecté des logiciels malveillants sur le site et si vous visitez le site, vous le faites à vos risques et périls et vous verrez l’avertissement Google contre les logiciels malveillants si vous cliquez dessus, ce qui est censé vous alerter que le site est actuellement dangereux.

 

 

Top 6 des causes les plus courantes de cyberattaques réussies contre les sites WordPress, selon l’agence web Idevart

Avec plus de 50 millions de téléchargement de la dernière version 5.5 de WordPress, plus de 57 900 plugins et enfin 38.8% des sites internet réalisés avec WordPress, il n’est pas étonnant de voir le premier des CMS, ciblé par les pirates de tous bords.

Mais avec une grande popularité, une énorme base d’utilisateurs et des options de développement disponibles gratuitement, Les sites installés sous WordPress subissent environ 2 800 attaques par seconde, selon L’extension de Sécurité Wordfence !

Ces hackers tentent généralement, à l’aide de bots, de “percer” les vulnérabilités que pourrait avoir votre site internet.

L’agence web Idevart vous invite à découvrir un ensemble de 6 causes de cyberattaques parmi les courantes que subissent généralement les installations WordPress:

Pourquoi aucune entreprise n’est à l’abri d’une cyberattaque ?

Les cyberattaques sont à la hausse, Arkose Labs une entreprise américaine spécialisée dans la prévention des fraudes rapporte une augmentation de 20% des attaques numériques en 2020.

Au cours de cette période, Arkose Labs a également enregistré le plus haut niveau d’attaques de robots, avec 1,3 milliard détecté au total. 

Nombreux sont les propriétaires de petites entreprises qui estiment ne pas représenter un cible de choix pour les pirates informatiques du fait de la valeur jugée faible de leur activité, grave erreur, car les pirates informatiques comptent précisément sur cette certitude.

Le fait que vous n’ayez jamais subit d’attaque informatique ne signifie pas que vous ne figurez pas parmi les priorités des pirates et leurs attaques peuvent survenir à tout moment.

Même si une entreprise vend des produits supposément sans grandes valeurs, elle a presque certainement toujours des informations que les pirates informatiques veulent.

Lorsque vous n’avez aucune sécurité même de base sur votre site internet, même les escroqueries les plus élémentaires deviennent efficaces.

La grande majorité des menaces de cybersécurité n’ont en fait pas de cible spécifique. Au lieu de cela, ils visent les faiblesses générales de nombreuses petites entreprises.

L’agence web Idevart vous propose de découvrir les 6 types d’attaques que subissent principalement les sites internet:

 

1. Vulnérabilité des plugins et des thèmes

L’un des objectifs les plus courants d’un pirate est de télécharger des logiciels malveillants sur l’appareil d’un utilisateur et la popularité de WordPress en fait une cible populaire.

Une erreur importante est d’utiliser des thèmes et des plugins non protégés ou mal codés. En plus de ralentir les performances du site, ils creusent également un passage pour l’entrée de logiciels malveillants.

Ne pas garder vos plugins et thèmes sous contrôle peut être une grosse erreur WordPress et un risque pour la sécurité.

Des recherches américaines ont démontrés que plus de 55,9% des sites WordPress ont été piratés à cause de vulnérabilités des thèmes ou plugins.

L’utilisation de thèmes et de plugins WordPress mal codés est un choix risquée car ils sont souvent négligés ou ne sont pas régulièrement corrigés et peuvent être vulnérables au JavaScript malveillant, aux bogues, etc., qui peuvent ruiner votre site Web.

Pour vous défendre contre les logiciels malveillants, des plugins sont disponibles pour analyser et identifier les logiciels malveillants et les codes malveillants sur votre page.

2. Un mot de passe faible et mal inspiré

Les mots de passe sont la clé pour ouvrir les portes de votre site Web. 

Par conséquent, l’utilisation de mots de passe faibles ou faciles à deviner constitue un risque pour la sécurité et affaiblit également la sécurité du site. Selon une enquête Google, 52% des utilisateurs ont tendance à réutiliser leurs mots de passe pour de nombreux comptes.

Le piratage par bruteforce est la plus simple et la plus répandue de attaques informatiques et elle tente d’exploiter un élément de base de la sécurité d’un site web: votre mot de passe!

Cette forme d’attaque est loin d’être complexe mais s’est avérée très efficace contre les mots de passe faibles et les noms d’utilisateur comme «123», «password» et «admin».

Cependant, une attaque simple a une défense simple.

3. L’absence de certificat SSL / TLS sur votre site Web WordPress

De nombreux propriétaires d’entreprise ne savent même pas ce qu’est et représente un certificat SSL pour la sécurité de leur site internet. 

Ce n’est pas parce qu’il n’y a pas de transactions monétaires sur votre site internet que vous êtes dispensé de certificat SSL (Secure Socket Layer) qui fournit une sécurité de cryptage 256 bits robuste à votre site Web.

En effet, en l’absence de cette élément de base de sécurité d’un site internet, les pirates peuvent facilement compromettre toute information sensible non chiffrée qui transiteront sur votre site internet. 

Cela expose non seulement vos visiteurs au risque de vol de leurs informations d’identification, mais votre site peut également être compromis.

Pour vérifier si le site Web sur lequel vous naviguez est sécurisé ou non, recherchez un cadenas vert dans la barre d’URL avec le nom du site Web écrit en vert. Si ce sceau de site sécurisé n’est pas affiché, la navigation sur le site Web n’est pas sûre

Enfin, sachez que pour assurer une navigation sûre pour les utilisateurs, Google améliorera le classement des moteurs de recherche pour les sites Web avec un certificat SSL. HTTPS sera utilisé comme paramètre de classement SEO . 

4. Ne pas mettre à jour son site WordPress

Votre site internet est bien plus exposé aux cyberattaque si vous négligez les mises à jours des thèmes et des plugins ainsi que de l’installation elle-même, qu’un mot de passe d’accès à l’administration de faible niveau.

Eh oui, réaliser et publier un site internet n’est pas la fin de votre implication dans sa maintenance, surtout si vous utilisez un CMS comme WordPress qui est censé vous aider à correctement gérer votre site internet sans grande connaissance en informatique.

Les recherches de Sucuri (Une extension WordPress de sécurité) indiquent que 36% des sites WordPress piratés utilisaient des versions obsolètes .

Tout logiciel bien conçu est sujet à des vulnérabilités, tôt ou tard. Si ces vulnérabilités ne sont pas corrigées, votre site est voué à être exploité par des pirates.

Les langages informatiques avec lesquels sont développés le CMS WordPress, ses extensions et thèmes deviennent tôt ou tard obsolètes, d’où cette nécessité de veiller de prêt à ce que votre installation le soit au même rythme que les corrections régulièrement apportées par la communauté.

Voici quelques vulnérabilités WordPress courantes incluent:

  • Exploits de backdoors
  • Attaques de phishing
  • Attaques par force brute
  • Attaques DDoS

5. Solution d’hébergement Web de faible qualité

De mauvais choix d’hébergement peuvent sérieusement nuire à la sécurité de votre site WordPress. 

En effet, l’erreur principale que font souvent les propriétaires de sites internet est qu’ils n’anticipent pas assez les différentes causes de changement ou d’évolution de leur formule d’hébergement web.

Ils ne se rendent pas compte qu’un choix d’hébergement Web basé sur un faible coût peut, à son tour, créer un vaste problème de sécurité et mettre leur site Web en danger.

Bien que la majorité des environnements d’hébergement partagé soient sûrs, il y a souvent une séparation incorrecte des comptes d’utilisateurs. 

Il s’agit d’un risque considérable lorsqu’un compte compromis peut affecter tous les autres sites Web sur le serveur.

6. Stocker des extensions et des thèmes inutilisés

Désactiver les extensions de votre site WordPress ne signifie pas les supprimer, hors ceci est une attitude qui pourrait finir par menacer la sécurité de votre site internet. 

Bien sûr, vous devez continuer à ajouter des plugins en fonction des besoins de l’entreprise. Mais il est indispensable que supprimiez les plugins inutilisés de votre installation WordPress.

Bien que ces plugins inactifs n’utilisent pas de ressources en RAM ou de bande passante, ils utilisent l’espace serveur ce qui réduit les performances du site internet.

Pire encore, chaque compte utilisateur inactif peut faciliter les attaques par bruteforce.

Pour éviter de démultiplier les risques d’attaques à l’encontre de votre site WordPress, vous le savez désormais, la première chose à faire est désactiver puis supprimer les extensions dont vous n’avez pas l’utilité.

Les 10 principales raisons de plantage d’un site internet selon l’agence web Idevart

Il existe de nombreuses raisons pour lesquelles un site internet pourrait planter.

Lorsqu’un site internet plante, cela signifie qu’il cesse de diffuser des données et que quelque chose s’est mal passé, en interne.

Chez Idevart, nous savons qu’un site internet ayant planté constitue un grave problème à résoudre immédiatement pour nos clients, car elles coûtent de l’argent à leur entreprise pour chaque seconde de panne.

En effet, la plupart des gens s’attendent à ce qu’un site internet se charge en 2 secondes voire 3 secondes maximum, dans le cas contraire, vous risqueriez de voir 14% de vos visiteurs et clients potentiels aller à la concurrence.

Un situation de plantage de site internet est encore moins une option acceptable pour les propriétaires de sites E-commerce.

Le concepteur de site web Idevart vous propose aujourd’hui les raisons les plus courantes de plantage d’un site internet (CMS inclus).

 

1. Attaques virales

Les attaques sont l’autre extrême d’un crash de site Web. Ces attaques peuvent provenir de robots ou de personnes réelles qui tentent de pirater votre site Web de manière malveillante.

Il existe de nombreux robots sur Internet, et beaucoup d’entre eux contiennent des logiciels antivirus. Ils sont comme les insectes d’Internet. Ils rampent sur Internet et essaient de trouver des sites Web sur lesquels ils peuvent s’introduire.

Si quelqu’un est attiré par votre site Web, le reste grouillera, provoquant généralement le plantage de votre site Web. Les robots n’ont même pas besoin de s’introduire par effraction pour fermer le site.

 

2. Domaines expirés et non-renouvelés

Votre domaine peut être composé de quelques petits mots, mais c’est l’une des parties les plus importantes de votre site Web.

Votre nom de domaine est l’adresse de votre site Web. Si vous invitez quelqu’un chez vous mais ne lui donnez pas l’adresse, il ne pourra pas trouver la maison. La même chose se produit avec un nom de domaine. Si les utilisateurs ne trouvent pas votre domaine, ils ne peuvent pas trouver votre site Web.

Et les domaines expirent.

Si votre domaine expire, votre site Web n’apparaîtra plus en ligne.

Prenez l’habitude de vérifier la date d’expiration de votre domaine pour vous assurer qu’il n’expire jamais.

 

3. Erreurs de codage

Les thèmes WordPress mal codés sont légions sur internet et il faut partir de la base que plus un site internet WordPress ou autre est chargé en fonctionnalité, plus vous avez intérêt à avoir choisi un développeur sérieux et expérimenté à l’origine du site ou du thème de CMS.

L’une des raisons pour lesquels un site internet devrait régulièrement être mis à jour est notamment la question de la version en cours du code et de l’obsolescence de celui qui structure votre site internet ou installation WordPress.

Pour ce qui est du plantage d’un site site internet ou thème de CMS développé sur-mesure, il incombe à votre développeur d’effectuer un travail maintenable et simple à corriger en cas d’éventuels conflits possibles entre différentes fonctionnalités que vous pourriez être amené à intégrer à votre site web.

4. Piratage informatique

Il existe des centaines de façons d’attaquer un site internet et bien souvent en ce qui concerne les CMS comme WordPress qui, je le rappelle, fait tourner plus de 40% des sites internet sur la toile la raison principale d’un plantage de site suite à une attaque est généralement la négligence de leur propriétaire.

Voici un classement des 6 types d’attaques informatique parmi les lus répandus du web:

En moyenne, 30 000 nouveaux sites Web sont piratés chaque jour. Les attaques peuvent être des robots ou des personnes réelles qui tentent de s’introduire dans votre site Web. Parfois, ils réussissent. Si tel est le cas, cela peut dévaster votre site Web et ruiner la réputation de votre marque auprès des nouveaux visiteurs et clients potentiels. 

Ces attaques provoquent non seulement le plantage des sites internet, mais risquent également de basculer votre site web sur des listes noires des moteurs de recherche comme Google, Bing ou autres, ce qui influera sur la reprise du trafic de votre site internet après réparation.

5. Conflits entre les extensions ajoutées au site web

Les plugins sont des extraits de code qui sont ajoutés à un site internet pour ajouter des fonctionnalités ou améliorer les fonctionnalités déjà présentes.

En d’autres termes, ils permettent à votre site Web d’afficher du contenu et des fonctions qui ne faisaient pas à l’origine partie de votre site.

Les conflits de plugins sont l’une des erreurs les plus courantes dans un CMS comme WordPress, et vous en avez probablement rencontré si vous possédez un site internet réalisé à l’aide de cette solution. 

Étant donné que les conflits de plugins sont principalement causés par des plugins mal codés, il est utile d’évaluer soigneusement chacun des plugins WordPress avant de l’ajouter à votre site.

 

6. Erreur du fournisseur d’hébergement web

Cette erreur est l’une des plus frustrantes à surmonter car vous ne pouvez rien y faire.

Les fournisseurs de services d’hébergement Web conserve les fichiers d’installation de votre site internet et donc votre site web lui-même.

Vous ne pouvez pas avoir de site Web à moins qu’il ne soit hébergé par un fournisseur de service d’hébergement notamment parmi les plus plus connus comme OVH, LWS ou IONOS.

Les serveurs des fournisseurs de services tombent parfois inévitablement en panne, ce qui signifie que votre site Web le sera également.

Cela peut être dû à un certain nombre de raisons, y compris une maintenance nécessaire ou l’une des mêmes choses qui pourraient arriver à votre site Web.

Les fournisseurs de services remettent toujours en marche leurs serveurs, généralement assez rapidement, il tiennent en général des blogs ou vous pourrez vous informer sur les délais de remise en service.

7. Problème de formule d’hébergement web

Très courant chez les personnes sans solide préparation et qui auraient des connaissances insuffisantes dans la mise en place d’un site internet mais qui s’en occupe eux-mêmes.

L’une des raisons les de plantage les plus répandus pour un site internet est le mauvais choix de formule d’hébergement fait par le propriétaire.

Certaines personnes ne veulent pas sérieusement investir dans un bon serveur d’hébergement ou ne s’embarrassent pas d’une recherche approfondie des plus adaptables à leur projet web, grave erreur, car arrivé aux limites d’un serveur low-cost ou de capacité limitée, votre site plantera et il n’est pas forcément évident de répondre rapidement à ce genre de problème.

Il est important de prévoir une stratégie de développement sur le long terme de votre activité incluant un serveur puissant et capable d’absorber une croissance soudaine du trafic de votre site internet standard ou E-commerce.

 

8 – Site web placé sur la liste noire de Google

Ce n’est techniquement pas une panne ou un crash mais cela pourrait avoir les mêmes conséquences désastreuses pour votre site internet.

En effet, un placement de votre site sur la liste noire de Google peut tout simplement le paralyser.

Si Google détecte les problèmes des sites internet et tente alors de protéger ses utilisateurs cherchant à accéder au vôtre, Google remplace votre page d’accueil par une page d’avertissement des problèmes présents sur votre site et les risques éventuels pour leur ordinateur.

Bien que les visiteurs puissent toujours accéder à votre site s’ils savent sur quels liens cliquer, la plupart iront ailleurs.

8. Les pics de trafic

Même si vous pensez avoir choisi une formule d’hébergement web assez robuste, des pics de trafic occasionnels peuvent brutalement entraîner un plantage de votre site internet, c’est particulièrement le cas si vous êtes propriétaire d’un site E-commerce et que vous proposez des événements promotionnels occasionnels. 

Sauf si vous êtes victime d’une attaque DDoS, la solution consiste à faire évoluer vos ressources en fonction de vos besoins.

La meilleure façon de garder un œil sur votre trafic Web est d’adapter votre formule hébergement lorsque votre site atteint l’extrémité supérieure de votre plan actuel.

Apprenez également à préparer votre site aux pics de trafic en utilisant un CDN et d’autres mesures préventives.

Que puis-je faire pour réparer un crash de site Web?

Le concepteur de site internet Idevart saura intervenir sur votre site internet pour rapidement corriger les problèmes engendrés par l’une des raisons évoquées plus haut.

Pour cela, n’hésitez pas à utiliser le numéro de téléphone présent sur Idevart.fr ou utiliser l’infobulle en bas à droit de votre écran.

Mon site WordPress est-il assez sécurisé contre le piratage?

Le site wpsec.com/scan est un excellent début pour commencer à tester la sécurité de votre site avec les plugins qui pourraient éventuellement exposer votre site internet WordPress aux piratages.

Cet article explique comment vous pouvez tester si votre site WordPress est vulnérable et quelles précautions prendre avant de devenir la proie d’une attaque.

Selon W3Techs, WordPress fait tourner 40% de tous les sites web sur Internet, vous le comprendrez donc pourquoi les sites Web WordPress deviennent de plus en plus une cible privilégiée pour les pirates qui cherchent à s’amuser à percer à jour les défenses de votre installation WordPress.

Des millions de sites WordPress ont été victime d’attaques informatiques durant l’année 2020, selon l’entreprise de cyberdéfense Defiant, à l’origine du pare-feu web Wordfence.

Cette soudaine recrudescence d’attaques s’est produite après que des pirates ont découvert et commencé à exploiter une vulnérabilité de type “zero-day” dans “File Manager”, un plugin WordPress populaire, installé sur plus de 700 000 sites.

Pour un pirate informatique, il vaut également la peine d’investir du temps et de l’argent dans l’identification des vulnérabilités, car des millions de sites à travers le monde utilisent WordPress, et être capable de compromettre l’un d’entre eux peut vous amener à être en mesure de le répliquer pour d’autres sites avec la même vulnérabilité.

Le site Web wpscan.com répertorie tous les exploits et vulnérabilités connus et les classe sous WordPress Core, Thèmes et Plugins.

Cet article explique comment vous pouvez tester si votre site WordPress est vulnérable et quelles précautions prendre avant de devenir la proie d’une attaque.

Faites attention à vos extensions WordPress

Selon un rapport Wordfence, en 2020, des pirates informatiques ont exploité un bug dans Duplicator, un plugin qui permet aux administrateurs de sites d’exporter le contenu de leurs sites.

Le bug, corrigé dans la version 1.3.28 du plugin, a permettait aux attaquants d’exporter une copie du site, d’où ils pouvait alors extraire les informations d’identification de la base de données, puis pirater le serveur MySQL sous-jacent d’un site WordPress.

Pour aggraver les choses, Duplicator est l’un des plugins les plus populaires de WordPress, avec plus d’un million d’installations au moment où les attaques ont commencé, vers le 10 février 2020. Duplicator Pro, la version commerciale du plugin, installée sur 170 000 sites supplémentaires, était également affectée.

De nombreux plugins gratuits pour WordPress, peut-être obsolètes, vulnérables, mal codés et peuvent ne plus être pris en charge par une équipe de développement active. 

Cela signifie que l’utilisation d’un tel plugin peut être préjudiciable à la sécurité de votre site Web et peut vous conduire à gravement menacer la sécurité de votre site en raison des failles de ce plugin.

Installez toujours des plugins qui ont de bonnes critiques, de bonnes notes, sont compatibles avec votre version actuelle de WordPress et qui sont régulièrement mis à jour par une équipe de développeurs active.

Vous pouvez voir les détails du plugin et les inspecter avant de l’intégrer à votre site Web.

Attention au codage de vos thèmes

La même chose s’applique aux thèmes WordPress.

Lisez toujours les critiques de thèmes et voyez leur note avant de choisir un thème. 

De plus, ce n’est pas parce que vous payez pour un thème qu’il est plus sécurisé ou qu’il n’a pas de vulnérabilités, le seul avantage sera que vous pourrez contacter les développeurs pour corriger les failles de votre thème ou le mettre à jour.

Un mauvais codage dans les thèmes peut conduire votre site à devenir lent ou à l’ouvrir aux pirates pour l’exploiter.

Mettez à jours votre installation, thème et plugins WordPress

Gardez toujours votre version principale de WordPress et tous les autres thèmes et plugins à jour. 

Vous pouvez le faire manuellement ou si votre hébergeur vous fournit un programme d’installation automatique, vous pouvez aussi autoriser le programme d’installation automatique à mettre à jour WordPress, les thèmes et les plugins via une commande cron programmée. 

Garder votre site synchronisé avec la dernière version empêchera les pirates d’exploiter d’anciennes vulnérabilités, pour lesquelles un correctif est déjà disponible. 

Bien qu’il s’agisse d’une contre-mesure très simple et facile, la mise à jour d’un élément de votre CMS peut contribuer grandement à garantir la sécurité.

Pensez à sauvegarder votre base de donnée et vos fichiers

Sauvegardez toujours votre site régulièrement et maintenez un emplacement de sauvegarde à distance en cas de sinistre ou d’endommagement de votre site. 

Garder un emplacement de sauvegarde à distance est idéal, de sorte que vous “ne gardiez pas tous vos œufs dans le même panier”. 

Avant de vous lancer dans un quelconque projet de réalisation de site internet, assurez-vous de pouvoir régulièrement sauvegarder votre site internet et le restaurer en cas de grave problème. 

Certains hébergeurs (Comme notamment LWS) vous permettent de bénéficier de sauvegarde régulière afin de pouvoir récupérer votre base de donnée et/ou vos fichiers en un clic mais aussi de sauvegarder et télécharger des parties de votre site Web séparément, sous forme de fichier compressée zip récupérable de l’ensemble de votre site Web dans un seul fichier. 

Testez votre installation WordPress, thème et extension

L’agence web Idevart vous propose de tester et corriger les vulnérabilités connus de votre installation WordPress avant les pirates mais vous pouvez également le faire vous-même en vous servant de certains outils d’audit de sécurité disponibles en ligne.

Voici deux plateformes utiles qui vous aideront à rapidement détecter d’éventuelles failles:

1 – wpsec.com

2 – wpscan.com

3 – hackertarget.com/wordpress-security-scan/

Des outils en ligne gratuits Wordfence Security analyseront votre site Web et suggéreront des mesures de sécurité.

Ils vous alerteront également de toute faille majeure du système et indiqueront également les versions obsolètes de WordPress. Mieux vaut analyser votre site Web avant les pirates.

Comment sécuriser votre site WordPress efficacement

WordPress est le système de gestion de contenu (Ou CMS) le plus utilisé du web, avec plus de 40% d’installation, mais aussi le plus ciblé par les pirates du monde entier. 

Ils essaieront généralement d’infiltrer votre site via vos extensions, vos thèmes ainsi que vos fichiers d’installation WordPress et surtout la page de connexion.

Le premier reflexe qui puisse vous éviter ces attaques est d’abord de régulièrement mettre à jour votre site WordPress (Extensions, Thème et installation WordPress).

Aucun site n’est à l’abri d’éventuels actes de piratages, mais il existe des moyens de rendre le piratage plus difficile. Dans cet article, vous apprendrez quelques éléments de bases à savoir afin d’augmenter la sécurité de votre site et de restaurer vos fichiers facilement en cas de piratage.

Si votre site internet a été installé avec WordPress et que vous y avez installé et activé une extension de sécurité, il est courant de constater le nombre incroyable de tentative de connexion par de tierces personnes ou robots envoyés par des pirates.

Retenez bien que plus votre site sera visité, plus il sera attaqué par un ou plusieurs pirates en même temps, c’est la rançon inévitable du succès, il convient alors de penser à mettre en place une stratégie de sécurité évolutive dans le temps pour votre site internet. 

Les attaques de piratage de site web n’est généralement pas effectué manuellement, les hackers utilisent plutôt des logiciels de robots pour explorer Internet et trouver les points faibles des sites les moins bien sécurisés.

Il existe de nombreux conseils de sécurité WordPress que vous pouvez essayer, mais je vous recommande de commencer par augmenter la sécurité de votre page de connexion administrateur. 

Les trois premières choses à faire pour améliorer la sécurité de votre installation WordPress est de:

  • Changer l’identifiant de base de votre site internet, qui est généralement “admin”.
  • Renforcer votre mot de passe, quitte a le rendre difficile à retenir, vous le copiez-collez et l’enregistrez dans votre navigateur.
  • Mettre à jour votre thème, vos extensions et votre installation WordPress. 

Votre mot de passe fort doit au moins être composé de caractères spéciaux, de chiffres et de caractères majuscules / minuscules.

N’hésitez pas à vous servir d’un générateur de mot de passe en ligne comme celui-ci, copiez-collez d’abord le mot de passe sur un document de votre ordinateur puis enregistrez-le.

Ensuite remplacez l’actuel mot de passe de votre installation WordPress par celui-ci en allant dans “modifier profil” tout en haut à droite de votre tableau de bord.

Laissez votre navigateur enregistrer le nouveau mot de passe afin que vous puissiez vous reconnecter rapidement.

Une autre solution pour vous serait de modifier la page de connexion par défaut qui est généralement “votredomaine.com/wp-admin/” par un mot que connu par vous seul “votredomaine.com/votre-mot/”, WPS Hide Login est une extension WordPress qui va facilement vous aider mettre en place cette solution supplémentaire de sécurité. 

Pourquoi ne pas également penser à un principe d’authentification à deux facteurs ? En effet, cela pourrait faire en sorte que si quelqu’un se connecte avec votre nom d’utilisateur et votre mot de passe, le système envoie un SMS à votre téléphone avec un code de vérification.

En outre, d’autres conseils pour sécuriser davantage votre page de connexion serait aussi de limiter le nombre de tentatives de connexion ou même d’implémenter le google reCapcha pour arrêter les outils automatisés.

Une fois que vous avez rendu votre connexion plus sécurisée, la prochaine chose recommandée est de renforcer le firewall du site. 

Il est aussi extrêmement important de penser a installer un certificat SSL valide à votre site internet afin de protéger les données qui y transiteront, ce qui est particulièrement important pour les sites e-commerce. C’est ce qui rendra cryptée la connexion entre vous ou vos visiteurs aux serveurs. 

Cela signifie que les pirates ne pourront pas intercepter les données pendant les communications. La prochaine recommandation est de faire attention aux extensions que vous installez et au thème que vous choisissez. 

Assurez-vous de ne pas télécharger ces éléments à partir de plateformes de piratages ou non vérifiés. Tous les thèmes WordPress ne sont pas codés sérieusement, c’est pourquoi, Idevart vous propose de réaliser votre thème WordPress sur-mesure.

Si vous préférez acheter un thème WordPress découvert sur une plateforme de vente de produits digitaux, il est important que vous vérifiiez les commentaires, le pourcentage de vente et de réclamation de leur auteurs.

Pour finir, n’hésitez pas à souscrire au solution de sauvegarde de fichiers et bases de données proposée par certains hébergeurs, cela pourrait pour épargner de graves problèmes et faciliter la récupération de l’intégralité de votre internet au moindre souci.

Vous souhaitez être recontacté ?