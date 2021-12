Malgré les histoires d’horreur qui circulent et les tentatives de piratage réussies, WordPress est toujours le plus grand système de gestion de contenu sur Internet, alimentant plus de 450 millions de sites Web en ligne et détenant plus de 60% de la part de marché des CMS.

Cela semble impressionnant, non?

Mais si WordPress n’est pas sûr, pourquoi serait-il extrêmement populaire parmi les particuliers, les développeurs, les spécialistes du marketing, les grandes marques et les magasins en ligne ? Les bonnes questions ici sont : Dans quelle mesure WordPress est-il sûr ? Comment est-il piraté ? Et comment pouvez-vous sécuriser votre site Web WordPress ?

Tout au long de ce guide, nous explorerons les mesures de sécurité prises par WP pour protéger sa plate-forme des risques de cybersécurité courants. Nous discuterons également de la façon dont un site Web WordPress peut être compromis et de la façon de mieux renforcer notre sécurité.

Comment WordPress se sécurise

En tant que CMS open source gratuit, WordPress permet à de nombreux développeurs et contributeurs de la communauté d’apporter des modifications au backend et de créer leurs propres plugins et thèmes. Il permet également aux utilisateurs de se connecter à des applications et des plugins tiers.

En conséquence, WordPress devient vulnérable aux menaces de sécurité malveillantes, c’est pourquoi il possède son propre système de sécurité intégré.

Développeurs principaux et équipe de sécurité WP

Il existe une équipe de direction principale dirigée par un co-fondateur de WP ainsi que cinq principaux développeurs principaux et d’autres experts approuvés qui ont accès à l’écriture des codes nécessaires pour améliorer l’expérience utilisateur.

WordPress dispose d’une équipe de sécurité chevronnée d’environ 50 experts, développeurs principaux et chercheurs dont la responsabilité est de renforcer la plate-forme contre les cyberattaques. Ils sont chargés de créer des correctifs de sécurité et des correctifs pour surveiller les risques et vulnérabilités potentiels.

L’équipe de sécurité communique entre elles via un canal privé pour travailler sur les améliorations possibles et résoudre les problèmes. S’il existe une vulnérabilité de sécurité critique, l’équipe commence immédiatement à l’identifier et à travailler sur un correctif. Selon la gravité du problème, il peut être corrigé immédiatement ou lors de la prochaine mise à jour prévue.

Versions majeures et mineures

Comme mentionné précédemment, l’équipe principale de WordPress travaille sur le développement de nouvelles fonctionnalités et modules complémentaires pour maintenir WP à jour. C’est là qu’interviennent les versions bêta pour tester les nouvelles modifications et éliminer les bogues avant la sortie de la nouvelle version du logiciel. Les versions mineures contiennent les derniers correctifs de sécurité pour toute vulnérabilité de sécurité ou bogue logiciel détecté.

Toute version majeure de WP se compose de deux chiffres (par exemple 4.2, 5.0, etc.), tandis que les versions mineures ont trois chiffres (par exemple 4.1.3).

Mises à jour automatiques pour les versions mineures (de sécurité)

En raison de la nature critique des versions de sécurité, WordPress s’est imposé comme règle de les installer automatiquement, à partir de la version 3.7. Le propriétaire du site WP n’a rien à faire de son côté. Néanmoins, ils ont la possibilité de reporter ou de désactiver manuellement ces mises à jour automatiques, mais il est fortement conseillé de les garder activées à moins que cela ne soit totalement nécessaire.

Sécurité pour les thèmes et les plugins

WordPress possède un riche référentiel de plus de 50 000 plugins et 5 000 thèmes. Lorsque vous installez WP pour la première fois, vous obtenez le thème par défaut (actuellement Twenty Twenty-One). Ce modèle par défaut a été minutieusement testé, examiné et approuvé comme hautement sécurisé par l’équipe principale de WP.

Bien que le thème par défaut soit sûr, de nombreux utilisateurs ont tendance à le modifier et à en utiliser un autre. Cela est en grande partie dû à son ensemble limité de fonctionnalités qui pourraient ne pas convenir à tout le monde, en particulier aux sites de petites entreprises. C’est pourquoi il existe une équipe WP dédiée qui examine les modèles soumis par les développeurs et les approuve ou les rejette pour qu’ils soient affichés dans le répertoire des thèmes WP.

Quant aux plugins, bien que l’équipe spécialisée de bénévoles fasse de son mieux pour examiner tous les plugins, ils ne peuvent pas tout couvrir. C’est pourquoi vous devez télécharger des modules complémentaires à partir de sources fiables uniquement.

Les administrateurs de sites Web sont avertis lorsque les développeurs de plug-ins apportent des modifications, des mises à jour ou des correctifs de version pour les plug-ins. De plus, l’équipe de sécurité de WP contacte les développeurs s’ils découvrent des vulnérabilités et collabore avec eux pour apporter les correctifs nécessaires. S’ils trouvent un dangereux ou un plugin qui pose des menaces de sécurité dans le répertoire public, ils le suppriment rapidement.

Principales raisons pour lesquelles WordPress est piraté

Comme nous l’avons vu précédemment, WordPress est souvent compromis en raison de son extrême popularité. Néanmoins, les tentatives de piratage réussies dans presque tous les cas sont dues à un mauvais comportement des utilisateurs de WP et à une mauvaise hygiène du site Web.

Informations d’identification faibles

Comme tout compte en ligne sécurisé, votre plate-forme WordPress a ses identifiants de connexion tels que les connexions d’administrateur et de site Web, les comptes FTP, etc. Avoir un mot de passe faible pour ces comptes permet aux pirates d’entrer très facilement. Les connexions prévisibles sont généralement courtes, n’incluent que des lettres ou des chiffres, et sont liés à quelque chose de personnel (p. ex. anniversaire, anniversaire, etc.).

Si le pirate connaît des informations personnelles vous concernant, il ne lui sera pas difficile d’accéder à votre plate-forme WordPress et à l’ensemble de votre site Web. C’est pourquoi un mot de passe long et complexe est toujours préférable. Essayez également d’éviter d’utiliser le même pass sur plusieurs comptes.

Ne pas garder vos thèmes et plugins à jour

Cela ne s’applique pas seulement à WordPress, mais en règle générale pour tout logiciel ou application. La plupart des mises à jour pour le WP et les plugins incluent des correctifs dans le code pour les problèmes de sécurité. En d’autres termes, un module complémentaire obsolète est une passerelle vers tout pirate informatique.

Dès qu’une mise à jour est disponible, elle apparaîtra dans votre tableau de bord WordPress. Faites-en une routine régulière pour exécuter toutes les mises à jour disponibles (mais n’oubliez pas de faire une sauvegarde avant cela).

Obtenir des plugins et des thèmes à partir de sources non fiables

Si un plugin obsolète peut être un risque, imaginez ce qu’un plugin mal codé peut faire. Il s’agit d’une vulnérabilité de sécurité majeure et d’un bon moyen pour les pirates d’accéder facilement à votre site Web WordPress. Il est toujours préférable de télécharger vos thèmes et plugins à partir de sources fiables telles que le référentiel WordPress.org et les marchés de confiance populaires comme ThemeForest et Envato.

Hébergement de votre site Web sur un hôte mal sécurisé ou un serveur partagé

Même si tous les fournisseurs d’hébergement annoncent qu’ils prennent leurs propres précautions pour assurer la sécurité de leurs serveurs, tous ne prennent pas des mesures suffisamment fortes pour mettre cela en œuvre. Si votre hébergeur n’applique pas les dernières mesures de sécurité, cela peut exposer votre site WordPress au risque d’être piraté.

L’hébergement de votre site Web sur un serveur partagé signifie que si l’un des autres sites Web sur le même serveur est compromis, votre site Web est automatiquement en danger. C’est pourquoi, si vous souhaitez rester en sécurité, hébergez votre site Web sur un serveur WordPress géré ou optez pour un plan d’hébergement WordPress géré fiable.

Conseils de bricolage pour renforcer WordPress

Il existe des actions utiles que vous pouvez prendre de votre côté pour renforcer la sécurité de votre site Web WordPress. Voici quelques astuces DIY WP :

Utilisez des mots de passe forts

Votre mot de passe pour n’importe quel compte doit être suffisamment long et consister en une combinaison de lettres (majuscules et minuscules), de chiffres et de caractères spéciaux (point d’interrogation, point d’exclamation, tiret, trait de soulignement, etc.). Comme mentionné, vous devriez essayer d’éviter les informations personnelles dans vos mots de passe (par exemple, votre nom, date de naissance, anniversaire, etc.).

Un autre point important consiste à utiliser des mots de passe différents pour différents comptes et à modifier périodiquement ces informations d’identification. Ne vous inquiétez pas si vous avez du mal à vous souvenir de tous ces mots de passe – vous pouvez toujours utiliser un gestionnaire de mots de passe qui les triera pour vous.

Utiliser l’authentification à deux facteurs (2FA)

Afin de protéger davantage votre identité, certains comptes en ligne utilisent une deuxième étape d’authentification. Cela peut être sous la forme d’un e-mail avec un lien de vérification ou d’un code par SMS.

La même chose s’applique à WordPress. Si vous avez la possibilité d’appliquer une authentification à deux facteurs (2FA) à votre processus de connexion, c’est toujours une excellente option pour sécuriser davantage votre site Web WordPress.

Modifier les autorisations de fichier

Avoir un accès shell à votre serveur vous permet de modifier les autorisations pour les fichiers et les dossiers. Exécutez la commande suivante si vous souhaitez modifier l’accès utilisateur à vos dossiers :

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} ;

Si vous souhaitez modifier les autorisations pour vos fichiers, exécutez la commande suivante :

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} ;

Sécurisez votre base de données

L’exécution de plusieurs blogs sur le même serveur permettra aux attaquants de compromettre ou d’infecter plus facilement tous vos projets. Dans ce cas, il est préférable d’exécuter vos sites dans des bases de données distinctes lors de la première installation de WP. De cette façon, si une installation de WP est piratée, les autres resteront sécurisées. Cela faciliterait également l’identification et l’élimination de l’infection avant qu’elle ne se propage.

Gardez à l’esprit que si une autre personne gère vos bases de données pour vous, il est important de désactiver les fonctionnalités inutiles telles que l’acceptation des connexions TCP à distance.

Définir une limite aux tentatives de connexion

Vous avez probablement remarqué que la connexion à n’importe quel compte en ligne vous donne un certain nombre d’essais pour saisir les informations d’identification correctes ou suivre la procédure « Mot de passe oublié ». Par défaut, WordPress est configuré pour offrir un nombre illimité de tentatives de connexion et c’est un avantage que les pirates utilisent pour accéder.

Fixez une limite au nombre de tentatives de connexion pour éviter que cela ne se produise. La plupart des services en ligne s’en tiennent à trois tentatives et d’autres peuvent aller jusqu’à dix. Néanmoins, ne descendez pas en dessous de trois tentatives pour rester prudent et éviter de vous verrouiller hors du compte.

Configurer un pare-feu WordPress

La configuration de votre pare-feu WP aide à empêcher les pirates d’accéder à votre site Web via des adresses IP malveillantes et bloque toutes les demandes en provenance d’eux.

Vous pouvez également utiliser certains plug-ins de sécurité, qui disposent déjà d’un pare-feu d’application Web (WAF) intégré. Un exemple de plugin de sécurité populaire est MalCare que vous pouvez facilement activer pour votre site Web.

Édition de fichiers

Par défaut, les administrateurs peuvent modifier les fichiers PHP comme les thèmes et les plugins à partir du tableau de bord WP car cela permet l’exécution de code. Si un pirate parvient à se connecter à votre backend WordPress, il utilisera des outils spécifiques pour mener des activités malveillantes.

Heureusement, WP vous offre la possibilité de désactiver l’édition de fichiers à partir de votre tableau de bord. Exécutez la commande suivante si vous souhaitez désactiver la modification des fichiers, thèmes et plug-ins pour tous les utilisateurs ayant accès au tableau de bord :

define(‘DISALLOW_FILE_EDIT’, true);

N’oubliez pas que même si cette commande vous aidera à prévenir certaines cyberattaques, elle n’empêchera pas un pirate de télécharger des fichiers infectés sur votre site Web.

Dernières pensées

De manière générale, WordPress est une plate-forme sécurisée qui est constamment surveillée et régulée par une équipe d’experts en sécurité. Cependant, de nombreux sites Web sont compromis et infectés par des logiciels malveillants, principalement en raison de la négligence de l’utilisateur.

Conserver des plugins obsolètes, des thèmes inutilisés et ne pas effectuer de sauvegardes ou de mises à jour régulières pour votre site Web WordPress fera de vous une cible facile pour les pirates. C’est pourquoi, vous devez être vigilant sur le maintien de contrôles de sécurité de site Web sains et de mesures de sécurité pour rester en sécurité lors de l’utilisation de WordPress.

Faites-nous savoir ce que vous pensez de la sécurité de WordPress dans la section commentaires ci-dessous.

Auteur : Nikhil Sharma

Nikhil Sharma est un blogueur enthousiaste avec un sens aigu du détail. En tant que blogueur, il essaie toujours de partager des points de vue sur divers sujets, ce qui est important. Il est un blogueur passionné et aime écrire sur des sujets liés au marketing numérique, à la finance et à la technologie. De plus, il a toujours… Voir le profil complet ›