Il y a environ 90.000 attaques ciblant des sites WordPress chaque minute. Il ne faut pas plaisanter avec les attaques de logiciels malveillants. Si vous ne gérez pas correctement votre cybersécurité, cela pourrait mettre votre site et votre entreprise en danger.

Cependant, les activités malveillantes ne doivent pas être quelque chose à craindre. Scanner WordPress à la recherche de logiciels malveillants peut vous aider à identifier et à éliminer tout contenu nuisible si votre site a été compromis. Il existe aussi de nombreux moyens de prévenir les attaques sur votre site à l’avenir.

Cet article couvrira ce qu’est un logiciel malveillant et pourquoi sa recherche est essentielle pour la maintenance du site. Nous vous expliquerons également comment rechercher les logiciels malveillants et les supprimer si vous pensez que votre site a été piraté.

C’est parti !

Qu’est-ce qu’un logiciel malveillant ?

Malware est l’abréviation de « malicious software » ou logiciel malveillant. C’est un terme fourre-tout pour tout logiciel nuisible que les pirates utilisent pour obtenir un accès non autorisé à votre site web WordPress ou l’endommager. Il peut avoir un impact négatif sur votre site de plusieurs façons et pose un grave risque de sécurité pour vous et les visiteurs de votre site.

Si un logiciel malveillant est présent sur votre site web, vous le saurez généralement. Vous pouvez remarquer des signes tels que :

Bien que ces problèmes puissent tous avoir des causes multiples, si vous voyez un ou plusieurs d’entre eux, il vaut la peine d’examiner la possibilité qu’un logiciel malveillant ait infecté votre site.

Comment les logiciels malveillants s’installent sur les sites WordPress

Les logiciels malveillants peuvent être installés sur des sites WordPress de plusieurs façons. Généralement, un pirate ou un robot exploite une certaine vulnérabilité de sécurité.

Par exemple, si vous n’avez pas mis en place de mesures de sécurité pour empêcher les tentatives de connexion incorrectes répétées, ou si votre mot de passe est faible, un pirate peut accéder à votre site. Il peut ensuite installer le logiciel malveillant via une attaque par force brute. C’est lorsqu’un robot passe en revue des centaines de combinaisons de noms d’utilisateur et de mots de passe sur votre page de connexion jusqu’à ce qu’il tombe sur la bonne.

Les extensions et les thèmes obsolètes sont aussi des failles de sécurité que les pirates peuvent exploiter. Les réseaux de robots recherchent sur Internet les sites web présentant ces vulnérabilités et les utilisent pour installer des logiciels malveillants.

Les logiciels malveillants peuvent aussi s’infiltrer sur votre site Web via des liens d’hameçonnage (phishing). Cela peut arriver si vous cliquez accidentellement sur un lien d’hameçonnage dans un e-mail ou si vous visitez un site web compromis. En faisant cela, vous pouvez télécharger par inadvertance un logiciel malveillant sur votre machine. Celui-ci peut ensuite se retrouver sur votre serveur WordPress.

Pourquoi il est important de scanner WordPress pour détecter les logiciels malveillants

Comme nous l’avons mentionné, il y aura généralement des signes indiquant que des logiciels malveillants sont présents sur votre site Web. Cependant, ce n’est pas toujours le cas. Parfois, vous pouvez ne pas être conscient que votre site web a été compromis.

Heureusement, il existe un moyen facile de le découvrir : vous devez lancer une analyse des logiciels malveillants. Il est très important de scanner régulièrement les logiciels malveillants, d’autant plus que 83 % des sites piratés basés sur un CMS sont construits sur WordPress.

Si vous ne scannez pas régulièrement les logiciels malveillants, vous vous exposez à de nombreux risques, tels que :

  • Des pénalités SEO : Google refuse souvent de lister les sites web compromis. Cela peut entraîner une baisse de votre classement dans les pages de résultats des moteurs de recherche (et du trafic de recherche organique).
  • Des mauvaises performances du site web : Les logiciels malveillants peuvent permettre aux pirates d’utiliser les ressources de votre serveur pour attaquer d’autres sites web. Le fait de détourner les ressources de votre site peut entraîner des problèmes de performance, comme des pages qui se chargent lentement.
  • Une adresse IP refusée : Les pirates peuvent aussi utiliser des logiciels malveillants pour envoyer des e-mails de spam depuis l’IP de votre site web. Cela peut entraîner le déréférencement de votre adresse IP par les principaux fournisseurs de messagerie.
  • Des risques pour les visiteurs de votre site web : Les logiciels malveillants peuvent même présenter un risque de sécurité pour les visiteurs de votre site web. Il peut charger des popups dangereuses sur votre site et transmettre des logiciels malveillants à vos utilisateurs.

En plus de scanner votre site web pour détecter les logiciels malveillants, vous pouvez aussi adopter une approche proactive de la sécurité. Consultez notre fiche de conseils sur la sécurité du site pour savoir comment renforcer votre site contre les failles.

Quand analyser WordPress pour détecter les logiciels malveillants

N’attendez pas de voir les signes avant-coureurs pour scanner votre site WordPress à la recherche de logiciels malveillants. Un code malveillant peut passer inaperçu pendant longtemps. Par conséquent, c’est une bonne idée de vérifier régulièrement votre site web, même s’il n’y a aucun signe indiquant que quelque chose ne va pas.

Nous vous recommandons de vérifier les logiciels malveillants une fois par mois au minimum. Vous devrez probablement lancer une analyse chaque fois que vous apportez des modifications à la structure de votre site web ou que vous installez de nouvelles extensions. De plus, nous vous recommandons d’effectuer une analyse si vous remarquez l’un des signes révélateurs que nous avons mentionnés précédemment.

Vous pouvez définir un rappel régulier pour analyser votre site Web à la recherche de logiciels malveillants. Par exemple, vous pourriez le faire le premier jour de chaque mois pour en prendre l’habitude.

Les meilleurs outils pour analyser WordPress à la recherche de logiciels malveillants

Le moyen le plus simple de scanner votre site WordPress à la recherche de logiciels malveillants est d’utiliser une extension de sécurité. Voici quelques outils que nous vous recommandons d’utiliser pour effectuer une analyse.

Wordfence

Wordfence est l’une des extensions les plus faciles à utiliser pour la détection des logiciels malveillants.

L'extension de sécurité Wordfence.
L’extension de sécurité Wordfence.

Une fois que vous avez installé l’extension, elle recherchera périodiquement et automatiquement les logiciels malveillants. Sinon, vous pouvez lancer des analyses manuelles si vous sentez qu’il pourrait y avoir un problème de sécurité sur votre site.

Une fois les analyses terminées, WordFence recommandera également des actions que vous pouvez entreprendre pour corriger les problèmes de sécurité. Elle est disponible en version gratuite et payante. Nous recommandons vivement cette extension, car elle est facile à utiliser. De plus, la version gratuite est parfaite pour exécuter des analyses rudimentaires et corriger des problèmes mineurs de logiciels malveillants.

Sucuri

Sucuri est un autre excellent outil qui offre des fonctions d’analyse de base des logiciels malveillants.

Extension Sucuri Security.
Extension Sucuri Security.

Grâce à Sucuri SiteCheck, vous pouvez rapidement et facilement analyser votre site à la recherche de problèmes en saisissant l’URL de votre site. Vous pouvez aussi utiliser la fonction d’analyse en installant l’extension sur votre site WordPress.

L’extension gratuite Sucuri propose également des alertes par e-mail sur les problèmes de sécurité et une protection pare-feu qui peut aider à prévenir les activités malveillantes sur votre site web. C’est une extension bien construite avec une excellente réputation, et les plans payants, en particulier, offrent aux utilisateurs de WordPress une protection complète contre les logiciels malveillants.

Si vous êtes un client Kinsta et que vous souhaitez l’utiliser, vous pouvez suivre ce guide d’installation de Sucuri.

iThemes Security

Une autre excellente option est l’extension iThemes Security.

Extension iThemes Security.
Extension iThemes Security.

Cette extension, anciennement connue sous le nom de Better WP Security, possède plus de 30 fonctions de sécurité qui peuvent protéger votre site contre toutes sortes d’attaques. Vous pouvez utiliser la version gratuite d’iThemes pour lancer des analyses basiques des logiciels malveillants et identifier tout problème.

En revanche, vous pouvez utiliser la version Pro pour configurer des analyses de logiciels malveillants et des mises à jour par e-mail planifiées. Il est ainsi extrêmement facile de rester à la pointe des contrôles de sécurité de votre site.

N’importe lequel de ces outils pourra vous aider à analyser WordPress à la recherche de logiciels malveillants. Pour cet article, nous allons utiliser l’extension Wordfence.

Cependant, si Kinsta héberge votre site, il n’est peut-être pas nécessaire de suivre ces étapes. Au lieu de cela, vous pouvezt compter sur la garantie de sécurité de Kinsta pour sécuriser votre site.

Comment analyser WordPress à la recherche de logiciels malveillants en 4 étapes faciles

Si vous pensez que votre site WordPress a été piraté, vous pouvez suivre les quatre étapes ci-dessous. Nous vous expliquerons comment scanner votre site et vos extensions à la recherche de logiciels malveillants à l’aide de Wordfence, ainsi que comment sécuriser votre site contre de futures attaques.

Étape 1 : Installez l’extension de sécurité Wordfence

Tout d’abord, nous allons installer la version gratuite de l’extension Wordfence. Pour cela faire, connectez-vous à votre tableau de bord WordPress et rendez-vous dans Extensions > Ajouter. Cherchez ensuite Wordfence et cliquez sur Installer maintenant sous Wordfence Security – Firewall & Malware Scan:

Installer l'extension Wordfence Security.
Installer l’extension Wordfence Security.

Une fois l’extension installée, cliquez sur Activer. Vous recevrez peut-être une invitation à accepter les conditions d’utilisation et à spécifier votre adresse e-mail pour terminer l’installation.

Étape 2 : Sauvegardez votre site WordPress

Avant d’aller plus loin, nous vous recommandons de sauvegarder votre site web. À l’étape suivante, vous allez supprimer les fichiers potentiellement infectés par des logiciels malveillants.

Si quelque chose ne va pas, cela peut accidentellement supprimer des données critiques et causer d’importants problèmes de site web. En sauvegardant d’abord votre site web, vous pourrez revenir en arrière si quelque chose d’inattendu se produit.

L’une des façons les plus simples de sauvegarder votre site web est d’installer l’extension gratuite UpdraftPlus.

UpdraftPlus : Extension WordPress de sauvegarde.
UpdraftPlus : Extension WordPress de sauvegarde.

Vous pouvez l’installer et l’activer en suivant le même processus que pour Wordfence. Ensuite, allez dans Réglages > UpdraftPlus Backups et cliquez sur Sauvegarder maintenant:

Trouvez le bouton « Sauvegarder maintenant »
Trouvez le bouton « Sauvegarder maintenant »

Tout ce que vous devez faire maintenant, c’est attendre que le processus se termine. Si quelque chose ne va pas dans les étapes suivantes, vous pouvez restaurer les données de sauvegarde à partir de la même page.

Étape 3 : Lancez une analyse et supprimez les fichiers malveillants

La prochaine chose à faire est d’exécuter une analyse des logiciels malveillants. Wordfence devrait automatiquement scanner votre site tous les jours, mais vous pouvez aussi lancer le processus manuellement.

Pour cela, rendez-vous dans Wordfence > Scan depuis votre tableau de bord WordPress. Puis cliquez sur Démarrer un nouveau scan:

Commencer une nouvelle analyse avec Wordfence.
Commencer une nouvelle analyse avec Wordfence.

Wordfence commencera à rechercher sur votre site Web les logiciels malveillants, les modifications de fichiers et autres. Ce processus peut prendre un certain temps avant de se terminer. Vous pouvez suivre la progression dans la chronologie sur l’écran d’analyse.

Une fois l’analyse terminée, vous verrez une répartition détaillée des résultats.

Résultats détaillés de l'analyse des logiciels malveillants.
Résultats détaillés de l’analyse des logiciels malveillants.

Ce journal affiche une liste de tous les problèmes de sécurité trouvés. Il les labellise comme ayant une priorité élevée, moyenne ou faible, en fonction de leur gravité. Un résultat labellisé « fichier inconnu dans le cœur de WordPress » indique la présence possible d’un logiciel malveillant.

Heureusement, Wordfence facilite la suppression de ces fichiers. Il vous suffit de cliquer sur Supprimer tous les fichiers supprimables au-dessus du journal des résultats. Vous devriez alors voir un message d’avertissement :

Message d'avertissement pour supprimer tous les fichiers.
Message d’avertissement pour supprimer tous les fichiers.

Assurez-vous de lire attentivement ce message d’avertissement. Il est possible que les fichiers détectés ne soient pas des logiciels malveillants et soient essentiels au bon fonctionnement de votre site web. C’est pourquoi nous avons suggéré de sauvegarder votre site à l’étape précédente.

Si vous êtes sûr que les fichiers détectés sont des logiciels malveillants, vous pouvez continuer et cliquer sur Supprimer les fichiers. Cela devrait supprimer tous les logiciels malveillants de votre site web. Si cela pose des problèmes, vous pouvez restaurer la version précédente de votre site web depuis votre sauvegarde.

Une fois que le logiciel malveillant a été éliminé, tu voudras peut-être aussi régler tous les autres problèmes que le scan a détectés. Par exemple, tu voudras peut-être régler le problème des plugins obsolètes.

Étape 4 : Prenez des mesures pour sécuriser entièrement votre site

Une fois que vous avez supprimé les fichiers malveillants, vous pouvez prendre des mesures supplémentaires pour sécuriser entièrement votre site :

  • Changez vos mots de passe : Si un logiciel malveillant s’est installé sur votre site, il est probable que vos mots de passe ont également été compromis. Par conséquent, il est préférable de changer tous les mots de passe sur votre site web, et partout où vous les avez utilisés en ligne.
  • Configurez l’authentification à deux facteurs (2FA) : Configurer 2FA sur votre site web ajoute une couche supplémentaire de sécurité. Si votre mot de passe est compromis, l’attaquant ne pourra toujours pas aller plus loin sans effectuer une vérification supplémentaire.
  • Vérifiez les profils des utilisateurs : Il est possible que le logiciel malveillant ait créé un nouveau rôle d’utilisateur sur votre site web. Pour y remédier, vous pouvez vérifier tes profils d’utilisateurs et supprimer de votre base de données ceux qui ne devraient pas s’y trouver.
  • Mettez en place des contrôles de sécurité réguliers : Vous pouvez basculer les réglages de Wordfence pour qu’il vérifie régulièrement la présence de logiciels malveillants. Vous devriez aussi prendre d’autres mesures pour verrouiller votre site.
  • Sauvegardez à nouveau votre site : Une fois que vous vous êtes débarrassé du logiciel malveillant, créez une nouvelle sauvegarde de votre site web. Ainsi, vous pourrez toujours le restaurer à une version propre et sans malware si quelque chose ne va pas à l’avenir.

Prendre les mesures ci-dessus peut sembler être beaucoup de travail, mais cela en vaut la peine. Elles contribueront à garantir que votre site web reste exempt de logiciels malveillants à l’avenir.

Résumé

Les logiciels malveillants sont une menace omniprésente pour les utilisateurs de WordPress. Cependant, en les analysant régulièrement et en suivant une procédure stricte de sécurité du site, il est facile de garder votre site sûr et sans logiciels malveillants.

Voici un récapitulatif rapide de la façon de scanner les sites WordPress à la recherche de logiciels malveillants et de sécuriser votre site contre les activités malveillantes :

  1. Installez l’extension de sécurité Wordfence.
  2. Sauvegardez votre site WordPress.
  3. Lancez une analyse et supprimez les fichiers de logiciels malveillants.
  4. Prenez des mesures pour sécuriser votre site en profondeur.

Vous avez des questions sur la recherche de logiciels malveillants sur votre site WordPress ? Posez-les-nous dans la section des commentaires ci-dessous !

Jeremy Holcombe Kinsta

Content & Marketing Editor at Kinsta, WordPress Web Developer, and Content Writer. Outside of all things WordPress, I enjoy the beach, golf, and movies. I also have tall people problems ;).