Le site wpsec.com/scan est un excellent début pour commencer à tester la sécurité de votre site avec les plugins qui pourraient éventuellement exposer votre site internet WordPress aux piratages.
Cet article explique comment vous pouvez tester si votre site WordPress est vulnérable et quelles précautions prendre avant de devenir la proie d’une attaque.
Selon W3Techs, WordPress fait tourner 40% de tous les sites web sur Internet, vous le comprendrez donc pourquoi les sites Web WordPress deviennent de plus en plus une cible privilégiée pour les pirates qui cherchent à s’amuser à percer à jour les défenses de votre installation WordPress.
Des millions de sites WordPress ont été victime d’attaques informatiques durant l’année 2020, selon l’entreprise de cyberdéfense Defiant, à l’origine du pare-feu web Wordfence.
Cette soudaine recrudescence d’attaques s’est produite après que des pirates ont découvert et commencé à exploiter une vulnérabilité de type “zero-day” dans “File Manager”, un plugin WordPress populaire, installé sur plus de 700 000 sites.
Pour un pirate informatique, il vaut également la peine d’investir du temps et de l’argent dans l’identification des vulnérabilités, car des millions de sites à travers le monde utilisent WordPress, et être capable de compromettre l’un d’entre eux peut vous amener à être en mesure de le répliquer pour d’autres sites avec la même vulnérabilité.
Le site Web wpscan.com répertorie tous les exploits et vulnérabilités connus et les classe sous WordPress Core, Thèmes et Plugins.
Cet article explique comment vous pouvez tester si votre site WordPress est vulnérable et quelles précautions prendre avant de devenir la proie d’une attaque.
Faites attention à vos extensions WordPress
Selon un rapport Wordfence, en 2020, des pirates informatiques ont exploité un bug dans Duplicator, un plugin qui permet aux administrateurs de sites d’exporter le contenu de leurs sites.
Le bug, corrigé dans la version 1.3.28 du plugin, a permettait aux attaquants d’exporter une copie du site, d’où ils pouvait alors extraire les informations d’identification de la base de données, puis pirater le serveur MySQL sous-jacent d’un site WordPress.
Pour aggraver les choses, Duplicator est l’un des plugins les plus populaires de WordPress, avec plus d’un million d’installations au moment où les attaques ont commencé, vers le 10 février 2020. Duplicator Pro, la version commerciale du plugin, installée sur 170 000 sites supplémentaires, était également affectée.
De nombreux plugins gratuits pour WordPress, peut-être obsolètes, vulnérables, mal codés et peuvent ne plus être pris en charge par une équipe de développement active.
Cela signifie que l’utilisation d’un tel plugin peut être préjudiciable à la sécurité de votre site Web et peut vous conduire à gravement menacer la sécurité de votre site en raison des failles de ce plugin.
Installez toujours des plugins qui ont de bonnes critiques, de bonnes notes, sont compatibles avec votre version actuelle de WordPress et qui sont régulièrement mis à jour par une équipe de développeurs active.
Vous pouvez voir les détails du plugin et les inspecter avant de l’intégrer à votre site Web.
Attention au codage de vos thèmes
La même chose s’applique aux thèmes WordPress.
Lisez toujours les critiques de thèmes et voyez leur note avant de choisir un thème.
De plus, ce n’est pas parce que vous payez pour un thème qu’il est plus sécurisé ou qu’il n’a pas de vulnérabilités, le seul avantage sera que vous pourrez contacter les développeurs pour corriger les failles de votre thème ou le mettre à jour.
Un mauvais codage dans les thèmes peut conduire votre site à devenir lent ou à l’ouvrir aux pirates pour l’exploiter.
Mettez à jours votre installation, thème et plugins WordPress
Gardez toujours votre version principale de WordPress et tous les autres thèmes et plugins à jour.
Vous pouvez le faire manuellement ou si votre hébergeur vous fournit un programme d’installation automatique, vous pouvez aussi autoriser le programme d’installation automatique à mettre à jour WordPress, les thèmes et les plugins via une commande cron programmée.
Garder votre site synchronisé avec la dernière version empêchera les pirates d’exploiter d’anciennes vulnérabilités, pour lesquelles un correctif est déjà disponible.
Bien qu’il s’agisse d’une contre-mesure très simple et facile, la mise à jour d’un élément de votre CMS peut contribuer grandement à garantir la sécurité.
Pensez à sauvegarder votre base de donnée et vos fichiers
Sauvegardez toujours votre site régulièrement et maintenez un emplacement de sauvegarde à distance en cas de sinistre ou d’endommagement de votre site.
Garder un emplacement de sauvegarde à distance est idéal, de sorte que vous “ne gardiez pas tous vos œufs dans le même panier”.
Avant de vous lancer dans un quelconque projet de réalisation de site internet, assurez-vous de pouvoir régulièrement sauvegarder votre site internet et le restaurer en cas de grave problème.
Certains hébergeurs (Comme notamment LWS) vous permettent de bénéficier de sauvegarde régulière afin de pouvoir récupérer votre base de donnée et/ou vos fichiers en un clic mais aussi de sauvegarder et télécharger des parties de votre site Web séparément, sous forme de fichier compressée zip récupérable de l’ensemble de votre site Web dans un seul fichier.
Testez votre installation WordPress, thème et extension
L’agence web Idevart vous propose de tester et corriger les vulnérabilités connus de votre installation WordPress avant les pirates mais vous pouvez également le faire vous-même en vous servant de certains outils d’audit de sécurité disponibles en ligne.
Voici deux plateformes utiles qui vous aideront à rapidement détecter d’éventuelles failles:
1 – wpsec.com
2 – wpscan.com
3 – hackertarget.com/wordpress-security-scan/
Des outils en ligne gratuits Wordfence Security analyseront votre site Web et suggéreront des mesures de sécurité.
Ils vous alerteront également de toute faille majeure du système et indiqueront également les versions obsolètes de WordPress. Mieux vaut analyser votre site Web avant les pirates.