WordPress a commencé comme une plateforme de blogs, offrant aux novices / personnes n’ayant absolument aucune connaissance d’un quelconque langage de script ou de programmation la possibilité de publier leur contenu facilement et efficacement. Aujourd’hui, les utilisateurs de WordPress exploitent ce logiciel CMS pour développer des sites d’adhésion, des boutiques en ligne, des systèmes d’apprentissage et de gestion scolaire… la liste est infinie.
Sa popularité peut être mesurée par le fait que 28% à 32% des sites sont alimentés par WordPress. De plus, il alimente un large éventail de domaines et d’industries, ce qui en fait un environnement de publication web extrêmement polyvalent.
Bien que l’environnement de base de WordPress soit résolu en termes de sécurité, il présente néanmoins plusieurs points faibles. Cependant, il faut également comprendre que la plupart des sites WordPress compromis sont dus à la complaisance et à la léthargie des webmestres et des administrateurs.
Dans cet article en deux parties, nous allons voir comment les administrateurs et les propriétaires peuvent empêcher le piratage de leurs sites Web. Alors, c’est parti.
- Dès le départ, en tant que propriétaire / développeur / webmaster, vous devez choisir un environnement d’hébergement qui soit absolument sûr. Cela signifie simplement que les diverses technologies inhérentes telles que le PHP, la base de données (MySQL) et les pare-feu intégrés sont adaptés à leurs dernières versions. Les serveurs dont les composants sont obsolètes sont susceptibles d’être compromis.
- SSL est le deuxième élément de la liste des moyens de sécuriser votre site Web. Comment SSL offre-t-il une protection ? SSL est l’abréviation de Secure Sockets Layer, un protocole cryptographique conçu pour assurer la sécurité des communications sur un réseau informatique. Cela signifie simplement que les informations sensibles, telles que les données de carte de crédit, sont cryptées avant de transiter par différents serveurs. Un cadenas de sécurité dans la barre d’adresse du navigateur dissuade les pirates. Il coûte moins de 100 dollars. Achetez-en un dès aujourd’hui ! Sécurisez vos données sensibles, et protégez également vos clients.
- L’une des raisons les plus courantes pour lesquelles les sites Web WordPress sont piratés est la force du mot de passe. Un mot de passe simple est… tout simplement une source d’ennuis. Les pirates peuvent facilement s’introduire par force brute dans votre panneau d’administration et prendre le contrôle de votre site. Veillez à utiliser une combinaison de caractères, de chiffres et de symboles. Un mot de passe complexe obligera le pirate à faire plusieurs tentatives, et sur plusieurs sessions. En tant que webmaster/propriétaire, vous ne manquerez pas de remarquer cette activité inhabituelle.
- Thèmes – Rappelez-vous que la gratuité n’est pas toujours la meilleure option. Les thèmes gratuits pour WordPress ne sont généralement pas testés pour détecter les failles de sécurité. De plus, ils n’offrent pas de support technique ou de mises à jour, du moins dans la majorité des cas. Dans un tel scénario, l’utilisation de ces thèmes peut compromettre votre site en raison d’un code mal écrit ou de pratiques/technologies obsolètes. Un thème contient plusieurs fichiers/éléments sensibles qui peuvent ouvrir la voie à une menace plus importante. L’un de ces exemples est l’attaque par cross-site scripting, en particulier les formulaires. Téléchargez donc des thèmes à partir du dépôt de WordPress.org ou de créateurs de thèmes réputés.
- WP Admin URL – C’est le chemin préféré des pirates. La hiérarchie des fichiers et des dossiers de WordPress est un secret de polichinelle. Tout le monde sait que le chemin vers la zone d’administration est /wp-admin. Cela offre un moyen facile d’utiliser la force brute. Alors, quelle est l’option ? Changer l’URL de ce dossier. Il est facile de le changer en utilisant un plugin (Assurez-vous de choisir un plugin réputé).
- Renforcer la zone d’administration avec une sécurité supplémentaire telle que l’autorisation à deux facteurs. Ainsi, même si votre nouvelle zone d’administration est violée par le pirate, il/elle doit toujours fournir plusieurs réponses / entrées pour entrer dans le panneau d’administration de votre site Web.
Dans la deuxième partie, nous aborderons les moyens avancés de sécuriser un site Web WordPress. Bien que la plupart de ces modifications puissent être effectuées par les propriétaires / administrateurs, certaines requièrent des connaissances avancées. Si vous n’êtes pas sûr de pouvoir effectuer ces activités / tâches, nous vous recommandons fortement de faire appel à une entreprise de conception de sites Web / WordPress.
