Comprendre les menaces qui pèsent sur WordPress
Les attaques informatiques ne visent pas uniquement les grandes entreprises. Les pirates ciblent automatiquement la majorité des sites WordPress en exploitant des failles courantes.
Les types d’attaques les plus fréquentes
- Attaques par force brute
Le pirate teste des milliers de combinaisons de mots de passe dans l’espoir de trouver le bon rapidement. - Injection SQL
Exploitation d’une faille dans un formulaire ou une URL mal développée/protégée pour accéder à la base de données. - Cross-Site Scripting (XSS)
Injection de scripts malveillants dans les pages du site afin de piéger les visiteurs. - SEO Spam
Piratage visant à insérer des liens discrètement dans votre contenu, nuisant à votre référencement. - Déni de service (DDoS)
Saturation du serveur avec des requêtes massives, rendant le site inaccessible. - Exploitation des failles de plugins et thèmes
Certains modules mal développés peuvent contenir des vulnérabilités exploitables par des pirates.
Sécuriser l’accès à WordPress
De nombreuses attaques sur WordPress ciblent l’accès au back-office. Il est donc primordial de protéger l’authentification des administrateurs et utilisateurs.
Utiliser des mots de passe robustes
Le vol d’identifiants est l’une des principales causes de piratage. Vous connaissez certainement déjà les règles permettant de créer un mot de passe robuste, mais il est toujours bon de les rappeler !
- Longueur minimale de 12 à 16 caractères.
- Mélanger majuscules, minuscules, chiffres et caractères spéciaux.
- Ne jamais réutiliser un mot de passe déjà utilisé ailleurs.
- Ne pas stocker ses mots de passe dans un document texte ou un e-mail.
Astuce
Utiliser un gestionnaire de mots de passe pour ne pas avoir à mémoriser tous vos identifiants.
Maintenir WordPress à jour
Saviez-vous que 60 % des sites piratés utilisent des versions obsolètes de WordPress, de plugins ou de thèmes. C’est pourquoi il est plus qu’important de maintenir votre site WordPress à jour. C’est certainement la solution la plus efficace que vous pouvez déployer rapidement. Quelques rappels :
- Appliquer immédiatement les mises à jour pour corriger les failles de sécurité.
- Désactiver et supprimer les extensions et thèmes inutilisés.
- Télécharger uniquement des plugins et thèmes provenant de sources officielles (WordPress.org, sites des développeurs).
Protéger la page de connexion
Par défaut, l’accès à l’administration de WordPress est accessible via /wp-admin ou /wp-login.php, ce qui facilite les tentatives de piratage. Les procédures suivantes devraient vous aider à protéger cette page.
- Limiter les tentatives de connexion pour bloquer les attaques par force brute.
- Utiliser l’authentification à deux facteurs (2FA) pour renforcer la sécurité des comptes.
- Désactiver les comptes administrateurs inutilisés et attribuer aux utilisateurs uniquement les droits nécessaires.
- Limiter l’accès à la page de connexion à certaines IP uniquement.
Quelques idées pour sécuriser un peu plus votre site
Restreindre l’accès aux fichiers sensibles
- Désactiver l’accès à xmlrpc.php, souvent utilisé pour des attaques par force brute, celui-ci permet à un hackeur de tester 500 combinaisons de mot de passe en moins de 8 secondes (plutôt que 2 minutes sans l’accès à ce fichier).
- Désactiver l’indexation des répertoires pour éviter que des fichiers critiques ne soient visibles publiquement.
- Restreindre l’accès au fichier wp-config.php, qui contient les identifiants de la base de données.
Sécuriser la base de données
- Changer le préfixe des tables WordPress (
wp_est trop prévisible et facilement exploitable par les pirates). - Attribuer un accès limité aux utilisateurs de la base de données (seulement les permissions nécessaires).
Bon réflexe
Vérifier régulièrement votre base de données pour repérer des mouvements inhabituels (gros changement de volume, nouvelle table, etc.).
Sauvegarder régulièrement son site
Malgré toutes les protections que vous pourrez mettre en place, des accidents (humains, matériels ou techniques) peuvent survenir. Nous vous conseillons donc vivement de réaliser des sauvegardes de votre site et de les conserver dans un endroit sûr (comme un NAS ou un serveur dont seul vous avez l’accès).
Astuce
Ne supprimez pas vos sauvegardes, même après un long moment. Essayez d’en conserver au moins une ou deux par mois. Certains pirates attendent plusieurs semaines ou mois après vous avoir piraté pour passer à l’action (de cette manière, ils pensent que vous n’aurez plus de sauvegarde ou le pirate n’était pas déjà présent sur le site et ils pourront négocier à leur avantage).
Quelques extensions pour améliorer la sécurité de votre site
Bien que les bonnes pratiques suffisent dans la plupart des cas, certaines extensions peuvent ajouter une couche supplémentaire de protection :
- Wordfence Security
Scanner de fichiers, pare-feu et protection contre les attaques par force brute. - Sucuri Security
Surveillance des tentatives d’intrusion et protection contre les malwares. - Limit Login Attempts Reloaded
Limite le nombre d’essais de connexion. - WPS Hide Login
Permet de modifier l’URL de connexion pour éviter les attaques automatisées. - UpdraftPlus
Sauvegardes automatiques du site et de la base de données.
Attention
Installer trop d’extensions peut ralentir votre site et créer de nouvelles vulnérabilités. Utilisez uniquement celles dont vous avez réellement besoin.
