Un rapport de sécurité, publié par Sucuri, révèle que 50% des sites WordPress piratés n’avaient pas été mis à jour. WordPress diffuse régulièrement des mises à jour, certaines mineures, mais la plupart sont importantes pour la sécurité du CMS. Bien que les mises à jour majeures comportent des nouveaux aspects et/ou des nouvelles fonctionnalités, les mises à jour mineures visent aussi à corriger les problèmes et à gérer les failles de sécurité. Par conséquent, il est important d’appliquer ces mises à jour mineures à votre site web. Vous pouvez également activer les mises à jour automatiquement. La mise à jour d’un site web WordPress est la plus simple parmi toutes les plateformes CMS existantes, il n’y a aucune raison de ne pas l’appliquer régulièrement.
Lorsque vous installez WordPress, un compte d’administrateur est configuré par défaut avec l’identifiant “Admin”. La plupart des utilisateurs de WordPress ne modifient pas cet identifiant ou le compte créé par défaut, ce qui rend le piratage du site facile. Pour s’assurer que les pirates ne peuvent pas facilement deviner votre nom d’utilisateur, n’utilisez pas « Admin » ou tout autre identifiant de base. Créez simplement un nouveau compte d’administrateur avec un nom d’utilisateur personnalisé et supprimez le compte par défaut. Cela rend non seulement votre nom d’utilisateur imprévisible, mais aussi modifie l’identifiant utilisateur par défaut de votre compte.
Le mot de passe devrait également être fort pour que les pirates ne puissent pas le deviner. L’une des pires choses que vous pouvez faire est d’utiliser des mots de passes faciles comme « 123456 » (si si beaucoup l’utilisent encore !! ), « abcdef », « mot de passe » ou le mot de passe administrateur de base. En réalité, le nombre de personnes qui utilisent de tels mots de passe est terrible. Pour créer un mot de passe fort, mélangez les lettres majuscules et minuscules avec des chiffres et des caractères spéciaux qui ne sont pas couramment utilisés. Aussi, plus le mot de passe est long, plus il est difficile à deviner par les pirates.
Vous trouverez dans cet article quelques indications pour choisir un bon mot de passe.
Beaucoup de pirates attaquent les sites web par la “brute force”, c’est-à-dire en tentant de se connecter avec le nom et le mot de passe de l’administrateur à plusieurs reprises à la suite, et très rapidement, jusqu’à ce que le login corresponde à l’utilisation du CMS. Vous pouvez sécuriser votre site en limitant le nombre de tentatives de connexion à 2-3 et si une quatrième tentative échoue, le système d’identification est bloqué. Il existe plusieurs plugins qui vous aident à le faire. Ces plugins blacklistent l’adresse IP tentant de se connecter pendant une certaine période de temps (que vous pouvez la préciser) et envoyez également un courrier électronique à l’administrateur à chaque fois que quelqu’un est banni ou tente de se connecter.
Vous devez être plus prudent lorsque vous activez des plugins sur votre site car plus que la moitié des hacks WordPress sont dus à des failles de sécurité dans les plugins. Optez pour les plugins qui sont mis à jour régulièrement et si vous avez installé un plugin particulier que vous n’utilisez pas, supprimez-le, c’est un risque en moins. Aussi, n’oubliez pas qu’un plugin mal codé peut rendre votre site plus vulnérable aux pirates informatiques. Vos thèmes devraient également être à jour et choisis avec prudence. Évitez d’utiliser des plugins qui ne sont pas mis à jour dans l’année. Utilisez uniquement des plugins que vous devez absolument avoir besoin et téléchargez les plugins les plus populaires pour répondre à un besoin particulier. Les plugins populaires ont tendance à être plus sécurisés car ils sont bien testés et mis à jour régulièrement.
Un certain pourcentage des hacks WordPress est également dû à des problèmes de sécurité liés aux prestataires d’hébergement qui ne suivent pas les meilleures pratiques de sécurité du serveur. Tout en choisissant votre société d’hébergement de sites web, assurez-vous qu’elle ne néglige pas les problèmes liés à la sécurité. Parmi les autres services proposés par la société d’hébergement, vous devez vous assurer qu’elle prend en charge les dernières versions PHP et MySQL et qu’ils soient optimisés pour l’exécution de WordPress. L’hébergeur devrait également avoir une application Firewall et un système de détection d’intrusions de bas niveau sur ses serveurs.
Les failles de sécurité ne concernent pas seulement le système de gestion de votre site web, les périphériques que vous utilisez pour y accéder devraient également être propres et sans logiciels malveillants. Si votre ordinateur est infecté par des virus, votre identifiant d’administration, votre mot de passe et d’autres informations cruciales sont à risque.
Il existe même aujourd’hui des virus qui exploitent les logiciels de connexion FTP installé sur votre ordinateur pour se connecter sur tous vos comptes FTP et y placer des fichiers malveillants… Assurez-vous que tous les ordinateurs utilisés pour gérer votre site disposent d’un programme Antivirus récent et à jour.
Un processus d’authentification de connexion en deux étapes évite la probabilité que votre site web soit piraté par des attaques de « brute force » . Ce processus demande un code d’authentification à chaque fois que quelqu’un essaie de se connecter à votre site. Ce code est envoyé à votre numéro de téléphone autorisé ou vous pouvez définir ce code secret par défaut. Ce processus peut vous paraître encombrant, mais certainement il protégera votre site web contre les tentatives de piratage dangereuses.
L’adresse de connexion par défaut de votre compte administrateur WordPress est : www.yourwebsite.com/wp-admin/ ou www.yourwebsite.com/wp-login.php.
Lorsqu’un attaquant connaît votre adresse de connexion, il peut facilement essayer de décoder votre mot de passe par attaque de force brute. Pour protéger votre page et toute la partie administrateur contre les pirates informatiques, vous pouvez modifier l’emplacement de ce répertoire en installant le bon plugin ou en changeant le code source si vous connaissez le codage PHP.
Peu importe le degré de votre prudence, le risque zéro n’existe pas. Malgré toutes les préventions que vous faites pour sécuriser votre site, il est toujours possible d’être piraté. Par conséquent, vous devez toujours être prêt pour le pire. Sauvegardez fréquemment votre base de données, vos fichiers thème et vos fichiers multimédias. Vous pouvez utiliser des plugins qui sauvegardent automatiquement votre site Web à intervalles réguliers.
Certain hébergeur proposent même ce service en assurant des sauvegardes automatiques pour quelques euros par mois.
Pour mettre en œuvre certains points mentionnés ci-dessus, si vous n’êtes pas un développeur web, vous devrez utiliser un plugin de sécurité. Donc, au lieu d’ajouter différents plugins pour différents besoins de sécurité, vous devriez choisir un bon plugin qui prendra en charge la plupart des points cités ci-dessus et aussi des mesures de sécurité avancées, comme la personnalisation des préfixes de base de données et la modification .htaccess. Utilisez l’un des plugins de sécurité wordpress populaires tels que Wordfence , iThemes ou Sucuri. L’utilisation de l’un de ces éléments garantira que toutes les préoccupations de sécurité sont prises en charge. Si vous êtes plus sérieux au sujet de la sécurité de votre site web, achetez les versions premium. Le fait de payer un peu d’argent vous garantit un site complètement sécurisé, sans soucis.
Avec l’émergence de l’Intelligence Artificielle, il y a même des outils de protection intelligents qui commencent à être proposés comme WR Protect qui proposent quelque chose d’interessant et de pas cher.
Le rapport de sécurité Sucuri a également révélé que sur 11 000 sites piratés, 75% d’entre eux étaient sur la plate-forme WordPress. Mais cela ne signifie pas que ce CMS présente des lacunes en soi. Cela est principalement dû aux mauvaises configurations, la mauvaise maintenance des sites web ou à l’utilisation de plugins vulnérables. Le fait d’être vigilant et suivre les meilleures pratiques est tout ce que vous avez besoin pour garder votre site sécurisé.
Les points cités ci-dessus sont des bonnes pratiques à respecter, vous pouvez également nous demander de l’aide pour sécuriser votre site.
EXCELLENT Basée sur 22 avis pierre lenfantTrustindex vérifie que la source originale de l'avis est Google. Aurone est un agence web comme on n'en fait plus ! Très réactive, d'une grande souplesse dans le travail et toujours à la pointe de la technologie, vous pouvez compter sur de vrais pros pour tous vos projets web ! Sami Yassine TurkiTrustindex vérifie que la source originale de l'avis est Google. J'ai eu un plaisir à travailler, en tant que secrétaire général de l'association Lina Ben Mhenni, avec l'agence AURONE qui a assuré avec beaucoup de professionnalisme le développement de notre site web. Gwladys LavergneTrustindex vérifie que la source originale de l'avis est Google. Réactifs, attentifs, et très compétents nous sommes ravies de travailler avec Aurone qui sait parfaitement répondre à nos attentes que ce soit en terme de design graphique ou bien dans leurs compétences techniques ! Je recommande vivement leur accompagnement ! Perrine AmalTrustindex vérifie que la source originale de l'avis est Google. Aurone est une entreprise humaine, réactive et efficace. Travaux réalisés rapidement et avec célérité. Je recommande vivement et espère poursuivre cette collaboration à l'avenir. Stephanie WillmanTrustindex vérifie que la source originale de l'avis est Google. Nous travaillons avec Aurone dans le cadre de notre travail depuis 2016 et en sommes ravies. Au début nous avons commencer à solliciter leurs services pour un projet en Tunisie, et la qualité de leur travail a fait que nous sollicitons Aurone même pour des services dans d'autres pays. L'équipe est dynamique, créative, réactive et enthousiaste. Ils ont toujours bien compris nos besoins pour nos diverses et complexes présences web, et font de leur mieux pour y répondre. Plateformes web, ateliers de formation sur les plateformes, vidéos tutoriels, et conception graphique de divers produits ne sont que quelques uns des excellentes services fournies par Aurone. La qualité technique des prestations web sont top et nous recevons toujours de bons conseils que ce soit au niveau technique que graphique. Nous les recommandons fortement. Raphaël GianassoTrustindex vérifie que la source originale de l'avis est Google. Pour vos projets e-commerce et marketing digital, les collaborateurs d'Aurone font preuve d'écoute, d'expérience, de disponibilité et de réactivité. Une équipe sur laquelle on peut compter et pour laquelle la satisfaction du client est primordiale Samuel DechometsTrustindex vérifie que la source originale de l'avis est Google. J'ai trouvé chez Aurone tout ce que l'on peut attendre d'une bonne agence web : qualité, réactivité, souplesse, pertinence... Bravo et merci Karim DjebbarTrustindex vérifie que la source originale de l'avis est Google. L'ensemble de notre réseau a travaillé pendant plusieurs années avec l'agence Aurone. Quelques réglages ont été nécessaires au début de notre partenariat à l'époque. La qualité a rapidement été au rendez-vous. Les équipes ont travaillé de façon très professionnelle, et adaptée aux exigences de la clientèle française avec qui nous les avons rapidement mis en relation. Beaucoup d'agilité de la part de son fondateur. Merci pour ces belles années !
27 Avenue Taieb Mhiri
Immeuble Yasmina, bureau 17
2080 Ariana, Tunis, Tunisie
+216 22 774 450
Centre d'affaires TODA 2
Rue du Rhin Napoléon
67100 Strasbourg, France
+33 9 80 80 10 18
Rue du Port Franc, 2A
1003 Lausanne
Suisse
Avenue Mutsaard, 41
1020 Bruxelles
Belgique
+32 2 588 07 54