• 07 68 26 70 54
  • contact@idevart.fr

Avec plus de 50 millions de téléchargement de la dernière version 5.5 de WordPress, plus de 57 900 plugins et enfin 38.8% des sites internet réalisés avec WordPress, il n’est pas étonnant de voir le premier des CMS, ciblé par les pirates de tous bords.

Mais avec une grande popularité, une énorme base d’utilisateurs et des options de développement disponibles gratuitement, Les sites installés sous WordPress subissent environ 2 800 attaques par seconde, selon L’extension de Sécurité Wordfence !

Ces hackers tentent généralement, à l’aide de bots, de “percer” les vulnérabilités que pourrait avoir votre site internet.

L’agence web Idevart vous invite à découvrir un ensemble de 6 causes de cyberattaques parmi les courantes que subissent généralement les installations WordPress:

Pourquoi aucune entreprise n’est à l’abri d’une cyberattaque ?

Les cyberattaques sont à la hausse, Arkose Labs une entreprise américaine spécialisée dans la prévention des fraudes rapporte une augmentation de 20% des attaques numériques en 2020.

Au cours de cette période, Arkose Labs a également enregistré le plus haut niveau d’attaques de robots, avec 1,3 milliard détecté au total. 

Nombreux sont les propriétaires de petites entreprises qui estiment ne pas représenter un cible de choix pour les pirates informatiques du fait de la valeur jugée faible de leur activité, grave erreur, car les pirates informatiques comptent précisément sur cette certitude.

Le fait que vous n’ayez jamais subit d’attaque informatique ne signifie pas que vous ne figurez pas parmi les priorités des pirates et leurs attaques peuvent survenir à tout moment.

Même si une entreprise vend des produits supposément sans grandes valeurs, elle a presque certainement toujours des informations que les pirates informatiques veulent.

Lorsque vous n’avez aucune sécurité même de base sur votre site internet, même les escroqueries les plus élémentaires deviennent efficaces.

La grande majorité des menaces de cybersécurité n’ont en fait pas de cible spécifique. Au lieu de cela, ils visent les faiblesses générales de nombreuses petites entreprises.

L’agence web Idevart vous propose de découvrir les 6 types d’attaques que subissent principalement les sites internet:

 

1. Vulnérabilité des plugins et des thèmes

L’un des objectifs les plus courants d’un pirate est de télécharger des logiciels malveillants sur l’appareil d’un utilisateur et la popularité de WordPress en fait une cible populaire.

Une erreur importante est d’utiliser des thèmes et des plugins non protégés ou mal codés. En plus de ralentir les performances du site, ils creusent également un passage pour l’entrée de logiciels malveillants.

Ne pas garder vos plugins et thèmes sous contrôle peut être une grosse erreur WordPress et un risque pour la sécurité.

Des recherches américaines ont démontrés que plus de 55,9% des sites WordPress ont été piratés à cause de vulnérabilités des thèmes ou plugins.

L’utilisation de thèmes et de plugins WordPress mal codés est un choix risquée car ils sont souvent négligés ou ne sont pas régulièrement corrigés et peuvent être vulnérables au JavaScript malveillant, aux bogues, etc., qui peuvent ruiner votre site Web.

Pour vous défendre contre les logiciels malveillants, des plugins sont disponibles pour analyser et identifier les logiciels malveillants et les codes malveillants sur votre page.

2. Un mot de passe faible et mal inspiré

Les mots de passe sont la clé pour ouvrir les portes de votre site Web. 

Par conséquent, l’utilisation de mots de passe faibles ou faciles à deviner constitue un risque pour la sécurité et affaiblit également la sécurité du site. Selon une enquête Google, 52% des utilisateurs ont tendance à réutiliser leurs mots de passe pour de nombreux comptes.

Le piratage par bruteforce est la plus simple et la plus répandue de attaques informatiques et elle tente d’exploiter un élément de base de la sécurité d’un site web: votre mot de passe!

Cette forme d’attaque est loin d’être complexe mais s’est avérée très efficace contre les mots de passe faibles et les noms d’utilisateur comme «123», «password» et «admin».

Cependant, une attaque simple a une défense simple.

3. L’absence de certificat SSL / TLS sur votre site Web WordPress

De nombreux propriétaires d’entreprise ne savent même pas ce qu’est et représente un certificat SSL pour la sécurité de leur site internet. 

Ce n’est pas parce qu’il n’y a pas de transactions monétaires sur votre site internet que vous êtes dispensé de certificat SSL (Secure Socket Layer) qui fournit une sécurité de cryptage 256 bits robuste à votre site Web.

En effet, en l’absence de cette élément de base de sécurité d’un site internet, les pirates peuvent facilement compromettre toute information sensible non chiffrée qui transiteront sur votre site internet. 

Cela expose non seulement vos visiteurs au risque de vol de leurs informations d’identification, mais votre site peut également être compromis.

Pour vérifier si le site Web sur lequel vous naviguez est sécurisé ou non, recherchez un cadenas vert dans la barre d’URL avec le nom du site Web écrit en vert. Si ce sceau de site sécurisé n’est pas affiché, la navigation sur le site Web n’est pas sûre

Enfin, sachez que pour assurer une navigation sûre pour les utilisateurs, Google améliorera le classement des moteurs de recherche pour les sites Web avec un certificat SSL. HTTPS sera utilisé comme paramètre de classement SEO . 

4. Ne pas mettre à jour son site WordPress

Votre site internet est bien plus exposé aux cyberattaque si vous négligez les mises à jours des thèmes et des plugins ainsi que de l’installation elle-même, qu’un mot de passe d’accès à l’administration de faible niveau.

Eh oui, réaliser et publier un site internet n’est pas la fin de votre implication dans sa maintenance, surtout si vous utilisez un CMS comme WordPress qui est censé vous aider à correctement gérer votre site internet sans grande connaissance en informatique.

Les recherches de Sucuri (Une extension WordPress de sécurité) indiquent que 36% des sites WordPress piratés utilisaient des versions obsolètes .

Tout logiciel bien conçu est sujet à des vulnérabilités, tôt ou tard. Si ces vulnérabilités ne sont pas corrigées, votre site est voué à être exploité par des pirates.

Les langages informatiques avec lesquels sont développés le CMS WordPress, ses extensions et thèmes deviennent tôt ou tard obsolètes, d’où cette nécessité de veiller de prêt à ce que votre installation le soit au même rythme que les corrections régulièrement apportées par la communauté.

Voici quelques vulnérabilités WordPress courantes incluent:

  • Exploits de backdoors
  • Attaques de phishing
  • Attaques par force brute
  • Attaques DDoS

5. Solution d’hébergement Web de faible qualité

De mauvais choix d’hébergement peuvent sérieusement nuire à la sécurité de votre site WordPress. 

En effet, l’erreur principale que font souvent les propriétaires de sites internet est qu’ils n’anticipent pas assez les différentes causes de changement ou d’évolution de leur formule d’hébergement web.

Ils ne se rendent pas compte qu’un choix d’hébergement Web basé sur un faible coût peut, à son tour, créer un vaste problème de sécurité et mettre leur site Web en danger.

Bien que la majorité des environnements d’hébergement partagé soient sûrs, il y a souvent une séparation incorrecte des comptes d’utilisateurs. 

Il s’agit d’un risque considérable lorsqu’un compte compromis peut affecter tous les autres sites Web sur le serveur.

6. Stocker des extensions et des thèmes inutilisés

Désactiver les extensions de votre site WordPress ne signifie pas les supprimer, hors ceci est une attitude qui pourrait finir par menacer la sécurité de votre site internet. 

Bien sûr, vous devez continuer à ajouter des plugins en fonction des besoins de l’entreprise. Mais il est indispensable que supprimiez les plugins inutilisés de votre installation WordPress.

Bien que ces plugins inactifs n’utilisent pas de ressources en RAM ou de bande passante, ils utilisent l’espace serveur ce qui réduit les performances du site internet.

Pire encore, chaque compte utilisateur inactif peut faciliter les attaques par bruteforce.

Pour éviter de démultiplier les risques d’attaques à l’encontre de votre site WordPress, vous le savez désormais, la première chose à faire est désactiver puis supprimer les extensions dont vous n’avez pas l’utilité.

Vous souhaitez être recontacté ?