Il n’est pas surprenant que la sécurité soit devenue une préoccupation majeure pour les développeurs web et les propriétaires de sites. Alors qu’Internet a explosé en popularité et est devenu la nouvelle méthode de communication, de recherche et d’achat, les contrôles de sécurité des sites web sont essentiels pour contrecarrer la propagation des logiciels malveillants et du spam.

Que vous gériez un petit blog personnel ou une énorme boutique en ligne multinationale, la menace de vous faire pirater est toujours présente. Certaines personnes vont dégrader votre site et y intégrer des logiciels malveillants, tenter de voler vos données ou celles de vos clients et supprimer le contenu important de votre serveur. Vous devez vous protéger et protéger vos informations sensibles.

Voyons exactement à quel point votre site est sécurisé en ce moment. Nous vous proposerons également quelques conseils pour supprimer les logiciels malveillants à portée de main dont profitent les auteurs de logiciels malveillants. WordPress est sécurisé dès son installation, mais il faut un peu de travail pour le réparer entièrement.

Consultez notre guide vidéo pour effectuer un contrôle de sécurité de votre site web

Vérification de la sécurité du site web : pourquoi est-ce important ?

Vous pourriez penser que votre site web est si petit et sans importance que personne ne prendrait la peine de le cibler. Ou peut-être n’avez-vous jamais pensé à la sécurité auparavant et pensez-vous que cela n’a pas assez d’importance pour vous en préoccuper.

Penser ainsi, c’est pourquoi, en 2013, plus de 70 % des installations WordPress étaient vulnérables aux attaques. Beaucoup de ces attaques étaient dues à des logiciels obsolètes, car la plupart des gens n’en savent pas assez ou ne se soucient pas assez de sécuriser leurs sites, ce qui a conduit à une vague massive de pirates informatiques ciblant les installations WordPress.

CMS obsolète vs mis à jour en 2019.
CMS obsolète vs mis à jour en 2019.

Alors, que pourrait-il se passer si votre site subit une intrusion indésirable ? Ce n’est pas juste un simple désagrément facilement résolu en changeant votre mot de passe.

  • Votre site peut contenir du code qui incite les visiteurs à s’infecter avec des logiciels malveillants, qui peuvent être extrêmement difficiles à localiser et à supprimer.
  • Vos pages critiques peuvent être dégradées, masquées ou bourrées de liens vers des sites illégaux.
  • Cela peut entraîner la suppression de contenus tels que des articles et des pages de blog.
  • Les informations sensibles telles que les informations de connexion ou de carte bancaire vous appartenant, vos utilisateurs ou vos clients peuvent être volées et vendues en ligne.
  • Les attaques pourraient se propager à d’autres sites web sur votre serveur.
  • Si Google détecte un logiciel malveillant sur votre site, il bloquera son accès et le supprimera des résultats de recherche, détruisant ainsi vos efforts d’optimisation des moteurs de recherche (SEO).
  • L’identifiant et le mot de passe du compte administrateur peuvent être modifiés, vous empêchant ainsi d’accéder à votre zone d’administration.

Les sites piratés peuvent être une grosse affaire si vous gérez une boutique eCommerce.

Et même si vous pouvez dire que votre site n’a pas assez d’importance, toutes les attaques ne sont pas ciblées. De nombreuses attaques WordPress sont automatisées – un robot sonde votre site à la recherche de vulnérabilités et lance une attaque sans intervention humaine.

C’est pourquoi vous devez prendre des mesures pour sécuriser votre site, quoi qu’il arrive.

Pourquoi WordPress est-il piraté ?

Le piratage est répandu, mais quelles sont les vulnérabilités les plus courantes utilisées par les pirates pour s’introduire dans votre site ?

Vous pouvez imaginer que l’accès à un site web est un processus difficile qui nécessite des jours ou des semaines de travail et de vastes connaissances sur les ordinateurs, le codage et les serveurs. Cette situation pourrait être vraie pour les tentatives ciblées de briser les défenses d’un grand site bien protégé, mais l’histoire est très différente lorsqu’il s’agit de petits domaines WordPress.

La grande majorité des attaques sur WordPress réussissent parce que les personnes utilisent des mots de passe faciles à deviner et ne mettent pas à jour leurs thèmes et extensions. Les pirates informatiques s’introduisent dans la plupart de ces sites à l’aide de programmes automatisés.

Le piratage de mots de passe est la forme de piratage la plus simple possible, mais c’est tellement courant car ça fonctionne. De nombreuses personnes laissent leur identifiant WordPress sur « admin » par défaut, éliminant ainsi la moitié des conjectures, puis utilisent en plus un mot de passe simple et devinable.

Lorsque cela échoue, les pirates informatiques exploiteront les vulnérabilités courantes des extensions populaires ou des versions obsolètes de WordPress. C’est pourquoi il est si important de tout garder à jour.

Il existe de nombreuses façons plus compliquées et complexes de pénétrer dans un site web. Pourtant, la plupart des attaques WordPress utilisent un mot de passe non sécurisé et un logiciel obsolète qui rendent extrêmement facile l’accès à un site.

Comment effectuer une vérification de sécurité de site web

La première étape de la sécurisation de votre site web : déterminer dans quelle mesure votre site web est déjà sécurisé. Y a-t-il des vulnérabilités flagrantes dans votre zone d’administration que vous devez corriger immédiatement, ou des correctifs faciles que vous pouvez apporter maintenant ?

Utilisez un outil en ligne

Un moyen rapide et facile de rechercher sur votre site les logiciels malveillants et les vulnérabilités consiste à utiliser un scanner en ligne. Ceux-ci analysent votre site à distance et identifient les problèmes courants. C’est super pratique car il ne nécessite aucun logiciel ou extension et ne prend que quelques secondes.

Il existe des dizaines de scanners parmi lesquels choisir en ligne, et nous en énumérerons quelques autres dans notre section outils ci-dessous, mais pour l’instant, choisissons-en un populaire et facile à utiliser : Sucuri SiteCheck.

Sucuri SiteCheck.
Sucuri SiteCheck.

Cet outil est un bon choix car vous pouvez installer l’extension Sucuri et résoudre tout problème qu’elle détecte.

Une fois que vous aurez analysé votre site, Sucuri le comparera aux listes de blocage, recherchera les problèmes évidents tels que les spams injectés ou les logiciels obsolètes, et analysera brièvement tout code auquel il peut accéder à la recherche de logiciels malveillants. Il propose également quelques suggestions pour renforcer votre site contre les attaques.

Scanner un site web avec l’extension Sucuri.
Scanner un site web avec l’extension Sucuri.

Des outils comme celui-ci sont un excellent point de départ pour détecter les logiciels malveillants cachés et d’autres problèmes.

Scannez votre site web avec une extension WordPress

Bien que les scanners en ligne fonctionnent assez bien, il est encore mieux d’installer une extension capable de creuser profondément dans la racine de votre code et de détecter les vulnérabilités ou les logiciels malveillants difficiles à détecter.

Nous avons déjà mentionné Sucuri comme option. Il existe également deux extensions de sécurité encore plus populaires : All in One WP Security & Firewall, et la plus téléchargée sur le dépôt WordPress, Wordfence Security.

Une fois que vous avez installé l’extension de votre choix, elle vous demandera probablement d’exécuter une analyse immédiatement. L’avantage de ces extensions par rapport aux scanners distants est qu’elles peuvent supprimer les logiciels malveillants et apporter des modifications automatiquement.

Recherchez des changements étranges

Si vous soupçonnez ou savez que votre site a été infecté par des logiciels malveillants, il peut parfois être difficile d’identifier la source. Voici quelques changements inexpliqués que vous remarquerez peut-être, ainsi que les fichiers qui attirent généralement les pirates :

  • Liens soudains vers des sites web étranges que vous n’avez pas ajoutés vous-même
  • Nouveaux articles et pages que vous n’avez pas créés, ou le contenu des pages existantes change soudainement
  • Modifications apportées aux réglages que vous n’avez pas effectués
  • Nouvel utilisateur, en particulier un avec des privilèges de haut niveau, vous n’avez pas ajouté
  • Extensions ou thèmes que vous n’avez pas installés
  • Logiciels malveillants peuvent souvent injecter du code malveillant dans vos fichiers. Vérifiez les fichiers d’extensions et de thème, le répertoire wp-content/uploads, les fichiers du cœur de WordPress situés dans un répertoire incorrect, wp-config.php et .htaccess. Vous devez sauvegarder votre site et comprendre le code avant d’apporter des modifications sensibles.

Si vous vous connectez à votre site avec FTP, vous pouvez trier par fichiers récemment modifiés le code qui ne devrait pas s’y trouver.

Si votre site est infecté périodiquement par des logiciels malveillants et que vous ne trouvez aucune cause dans les fichiers, le problème peut provenir de votre serveur ou d’un autre site sur votre serveur.

Assurez-vous que tout est à jour

Comme nous l’avons déjà mentionné, les logiciels obsolètes sont de loin le vecteur d’infection le plus courant dans WordPress. S’il n’y a qu’une seule chose que vous pouvez faire pour assurer la sécurité de votre site, ce devrait être de maintenir WordPress à jour.

Le moyen le plus simple de vérifier l’état de tous les logiciels de votre site est d’aller dans Tableau de bord > Mises à jour, qui vous alertera si votre version de WordPress, votre thème ou vos extensions sont obsolètes.

Mises à jour WordPress
Mises à jour WordPress

Comme WordPress effectue désormais des mises à jour automatiques depuis la version 5.5, rien ne devrait être obsolète à moins que vous n’ayez une version obsolète de WordPress. Si vous ne le faites pas, vous pouvez tout mettre à jour à partir de cet écran.

Si vous savez qu’il existe une nouvelle version de WordPress, mais qu’elle ne s’affiche pas, cliquez sur le bouton Vérifier à nouveau sous Version actuelle.

Vous pouvez également consulter vos pages Extensions > Extensions installées ou Apparence > Thèmes pour les mises à jour.

Comptes et mots de passe sécurisés

Un mot de passe faible sur votre compte principal permet à quiconque de pénétrer facilement sur votre site avec des programmes de force brute, ce qui lui donne un accès administrateur et la possibilité de tout changer.

Alors qu’un mot de passe compliqué peut être difficile à retenir, ce qui rend la connexion moins pratique, il est encore plus gênant de devoir récupérer votre site après un piratage. Cela vaut vraiment la peine d’utiliser un mot de passe plus sécurisé, même si vous devez le conserver par écrit.

Votre mot de passe doit utiliser un mélange de lettres majuscules et minuscules, de chiffres et de symboles. Il serait préférable que vous ne vous basiez pas sur des mots du dictionnaire ou des informations personnelles et devinables telles que votre adresse ou le nom d’un membre de votre famille.

Dans le meilleur des cas, votre mot de passe serait une longue chaîne enchevêtrée de caractères aléatoires. Nous vous recommandons fortement d’utiliser un gestionnaire de mots de passe. Utilisez un site comme 1Password ou LastPass pour générer un mot de passe sécurisé et impossible à deviner.

Générer un mot de passe sécurisé avec LastPass.
Générer un mot de passe sécurisé avec LastPass.

Vous pouvez mettre à jour votre mot de passe et votre e-mail dans WordPress en allant dans Comptes > Tous les comptes ou directement dans Comptes > Profil. Faites défiler vers le bas et recherchez E-mail sous Informations de contact et Nouveau mot de passe sous Gestion de compte.

Définir un nouveau mot de passe dans WordPress
Définir un nouveau mot de passe dans WordPress

Pendant que vous êtes sur la page Comptes, jetez un œil à tous vos comptes et assurez-vous qu’il n’y a personne que vous ne reconnaissez pas ou qui dispose d’autorisations inappropriées. Vous devez immédiatement supprimer tout compte non identifié avec des autorisations d’administrateur.

Nous vous encourageons également à consulter ce guide sur la restriction des autorisations des comptes afin que seul votre compte puisse modifier les fichiers sensibles sur votre site.

Vérifiez votre certificat SSL

Si votre certificat SSL est obsolète, vous le saurez généralement instantanément ; les navigateurs comme Google Chrome bloqueront l’accès à votre site avec un énorme avertissement concernant le certificat expiré. Si vous n’êtes pas sûr ou si vous obtenez déjà cette erreur, vérifiez votre certificat SSL pour voir s’il est à jour et si vous utilisez la dernière version de SSL/TLS .

Lorsque vous visitez un site web, vous verrez une icône de verrouillage dans la barre d’adresse de la plupart des navigateurs. Si votre certificat a expiré, ce cadenas peut être rouge ou être barré d’une barre oblique.

Cliquez sur l’icône de verrouillage, puis cliquez à nouveau pour voir les informations sur le certificat, y compris sa date d’expiration.

Vérification du certificat SSL d'un site web.
Vérification du certificat SSL d’un site web.

Vous pouvez également utiliser un vérificateur de certificat SSL pour analyser votre site afin de vous assurer que votre certificat n’a pas expiré et qu’aucune vulnérabilité n’est présente dans votre protocole SSL.

Vulnérabilités courantes

De nombreux sites WordPress sont remplis de minuscules vecteurs d’attaques qui peuvent sembler inoffensifs mais peuvent fournir plus d’informations que vous ne souhaitez en partager.

Avoir une version WordPress visible dans votre interface publique indique aux pirates exactement quelles vulnérabilités sont présentes sur votre site. Surtout si vous utilisez une version obsolète de WordPress, vous voudrez peut-être masquer ces informations.

Vous remarquerez des éditeurs de fichiers sous Apparence > Éditeur de thème et Extensions > Éditeur d’extensions dans votre zone d’administration.

Ajout de code dans l'éditeur de thème
Ajout de code dans l’éditeur de thème

Bien que ces outils soient très pratiques, ils conviennent également à toute personne qui pirate votre site pour casser quelque chose, vous pouvez donc les désactiver. Vous pouvez le faire en ajoutant cette fonction à wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Les injections SQL sont un moyen courant de pénétrer dans un site. Si vous avez des formulaires ou d’autres entrées utilisateur, limitez l’utilisation de caractères spéciaux et autorisez uniquement le téléversement de types de fichiers courants et sûrs.

Enfin, pour une couche de protection supplémentaire, vous pouvez protéger avec un mot de passe les répertoires de fichiers.

Comment sécuriser votre site web : conseils et outils

Si votre site contient des logiciels malveillants, une bonne extension de sécurité devrait faire l’affaire pour les supprimer. Et nous avons couvert ci-dessus quelques vulnérabilités que vous voudrez vérifier.

Consultez notre guide vidéo sur la sécurisation de votre site web

Nous avons quelques autres conseils rapides pour sécuriser votre site web et prévenir les infections avant qu’elles ne se produisent. Vous pouvez appliquer la plupart de ces conseils en quelques minutes, ils devraient donc être faciles à configurer même si vous n’êtes pas familier avec WordPress et la sécurité web.

Choisissez un hébergeur sécurisé

Lorsque les pirates cherchent un moyen d’accéder à votre site, ils se tournent souvent vers le serveur pour rechercher des failles. Il existe de nombreux hébergements bon marché, mais ils n’investissent pas toujours dans les serveurs les plus sécurisés.

L’hébergement mutualisé peut être un vecteur d’infection. Si un site web est infecté par un logiciel malveillant, il peut potentiellement se propager à tous les sites du serveur. Vous pourriez donc vous retrouver avec un site plein de virus et de spam SEO, et ce ne serait même pas de votre faute.

C’est pourquoi il est essentiel de faire vos recherches et de choisir un hébergeur qui se soucie de la sécurité et investit dans des serveurs sécurisés. Vous devrez toujours travailler pour sécuriser votre site web, mais au niveau du serveur, vos données sont en sécurité.

Activez l’authentification en deux étapes (2FA)

L’authentification en deux étapes (également appelée authentification à deux facteurs ou 2FA) ajoute une autre étape de connexion. Outre l’identifant et le mot de passe, vous ou toute personne prétendant être vous aurez également besoin d’une autre information : un code supplémentaire unique.

Il peut s’agir d’un code numérique envoyé à votre téléphone, ce qui peut rendre votre compte WordPress presque indéchiffrable par force brute. Alternativement, cela peut nécessiter une vérification par e-mail ou une information que vous seul connaissez.

Bien qu’il n’y ait aucun moyen intégré d’activer l’authentification à deux facteurs, de nombreuses extensions ajoutent la fonctionnalité à WordPress.

Kinsta propose une authentification à deux facteurs à tous les clients. Si vous n’êtes pas un utilisateur de Kinsta, l’extension de sécurité Wordfence que nous avons mentionné précédemment est livré avec 2FA intégré. Vous pouvez également essayer d’autres outils de sécurité de site web, comme l’extension Two-Factor pour les codes par e-mail ou Duo pour configurer l’authentification téléphonique à deux facteurs via une application.

Extension d’authentification à deux facteurs Duo
Extension d’authentification à deux facteurs Duo

Faîtes des sauvegardes tous les jours

La sauvegarde de votre site ne peut pas le sauver des personnes qui tentent d’entrer par effraction, mais si quelque chose se produit, une sauvegarde sera inestimable. Cela peut faire la différence entre perdre des semaines ou même des années de travail et simplement restaurer une sauvegarde d’avant le piratage.

Si vous êtes chez Kinsta, nous vous protégeons avec des sauvegardes automatisées quotidiennes qui sont stockées pendant deux semaines (30 jours pour ceux avec le programme de partenariat d’agence de Kinsta). De plus, vous pouvez créer cinq sauvegardes manuelles et une sauvegarde téléchargeable par semaine, et il existe des modules facultatifs pour sauvegarder toutes les heures ou exporter vers le cloud.

Des extensions comme UpdraftPlus peuvent également vous aider. Il est préférable de choisir un service qui sauvegarde au minimum quotidiennement pour minimiser la perte de données.

Utilisez un pare-feu d’application web

Un pare – feu d’application Web (Web Application Firewall ou WAF) utilise des règles strictes pour filtrer le trafic entrant, en bloquant les adresses IP connues pour être associées au piratage ou aux attaques DDoS. Il empêche de nombreuses attaques d’atteindre votre serveur.

Bien que vous puissiez appliquer un WAF au niveau du serveur, il est plus facile d’acheter un service basé sur le cloud tel que celui fourni par Cloudflare ou Sucuri .

Se connecter via SSH ou SFTP

Parfois, vous devez vous connecter à votre site via FTP pour y ajouter ou modifier des fichiers. Il est toujours préférable d’utiliser SFTP sur FTP; la différence est simple : SFTP est sécurisé, et FTP ne l’est pas.

Avec FTP, vos données ne sont pas cryptées. Si quelqu’un parvient à intercepter la connexion entre vous et votre serveur, il pourrait tout voir, de vos identifiants de connexion FTP aux fichiers que vous téléversez. Connectez-vous toujours avec SFTP.

Vous pouvez également envisager d’utiliser l’accès SSH , qui vous permet de vous connecter avec une invite de commande et de gérer votre site plus directement. Il est sûr, sécurisé et peut gérer à distance des tâches simples. Notre guide SSH peut vous aider si vous êtes bloqué.

Prévenir les attaques DDoS

Les attaques DDoS ralentissent l’exploration de votre site web en spammant votre serveur avec des milliers de fausses requêtes, empêchant ainsi les lecteurs ou clients potentiels d’y accéder. Voici quelques conseils pour les arrêter avant qu’elles ne surviennent :

  • Ayez un plan en place en cas d’attaque DDoS. Vous ne voulez pas paniquer lorsque vous devez alerter votre hébergeur et arrêter l’attaque.
  • Utilisez un pare-feu d’application web capable de détecter le faux trafic.
  • Utilisez un logiciel anti-DDoS spécialement conçu.
  • Désactivez xmlrpc.php pour empêcher les applications tierces d’utiliser votre serveur.
  • Désactivez l’API REST pour les utilisateurs généraux.

Prévenir les attaques par force brute

Les attaques par force brute peuvent être similaires aux attaques DDoS, mais le but est de deviner votre mot de passe administrateur et de pénétrer dans le site plutôt que de faire tomber votre serveur. Cela dit, ceux-ci peuvent également ralentir votre site.

  • Encore une fois, un WAF peut filtrer le trafic de robots et les tentatives flagrantes de force brute.
  • Utilisez l’authentification en deux étapes sur votre compte administrateur.
  • Configurez un journal d’activité et gardez un œil sur les tentatives de connexion non autorisées.
  • Modifiez l’URL de la page de connexion et limitez le nombre de tentatives de connexion.
  • Protégez votre page de connexion avec un mot de passe.
  • Utilisez un mot de passe long généré aléatoirement et changez-le tous les ans environ.

Outils de sécurité de site web que vous devez connaître

Outre ceux que nous avons déjà mentionnés, voici quelques autres outils de sécurité en ligne qui vous aideront à verrouiller votre site web :

  • Intruder.io : Recherchez les dernières vulnérabilités.
  • SSL Server Test : Outil de développement qui analyse votre certificat SSL et identifie les faiblesses.
  • HTML Purifier : Filtre le code malveillant/XSS, idéal si vous avez du code infecté que vous devez nettoyer.
  • Mozilla Observatory : Des conseils pratiques pour purger votre code des vulnérabilités courantes.
  • sqlmap : Un outil de test d’intrusion pour identifier les failles dans votre code SQL.
  • Detectify : Scannez vos applications web avec l’aide de pirates éthiques.
  • WPScan : Un scanner WordPress basé sur CLI.
  • SonarQube : Écrivez du code conforme aux normes sans failles de sécurité.

Liste de contrôle de sécurité du site web

Votre site web est-il à l’abri des attaques ? Assurez-vous d’avoir presque tout coché sur cette liste de contrôle :

  • Utilisez-vous un environnement d’hébergement sécurisé et de qualité ?
  • Avez-vous scanné votre site avec une extension ou un scanner en ligne pour rechercher les virus ?
  • Avez-vous installé un journal d’activité et le surveillez-vous pour détecter les changements inhabituels ?
  • Est-ce que vous et un utilisateur disposant de privilèges de haut niveau utilisez des mots de passe sécurisés et une authentification à deux facteurs ? Tous les e-mails sont-ils corrects ?
  • WordPress, ses thèmes et extensions, et les systèmes sous-jacents tels que PHP sont-ils à jour ?
  • Votre certificat SSL est-il sécurisé et à jour ?
  • Avez-vous vérifié les modifications inexplicables, la suppression ou l’ajout de contenu, ou les liens que vous n’avez pas ajoutés dans vos pages web, réglages ou fichiers ?
  • Votre page de connexion est-elle protégée par un mot de passe et des tentatives de connexion limitées ?
  • Avez-vous vérifié les nouveaux utilisateurs que vous n’avez pas ajoutés ?
  • Les formulaires, les zones de commentaires et les autres sources d’entrée des utilisateurs sont-ils sécurisés ? (Interdire les caractères spéciaux et restreindre les téléversements de fichiers aux types de fichiers connus.)
  • Avez-vous désactivé xmlrpc.php et REST API pour empêcher les attaques DDoS ?
  • Avez-vous désactivé l’édition de thèmes et d’extensions dans le tableau de bord ?
  • Avez-vous un service de sauvegarde quotidien en place ?
  • Avez-vous configuré un pare-feu d’application web ?

Résumé

La sécurité du site web n’est pas une affaire mineure, donc si vous n’êtes pas encore au courant, il est maintenant temps d’en faire une priorité. Se faire pirater n’est pas seulement agaçant – cela peut entraîner un SEO endommagé, une perte de données dévastatrice, une perte de confiance des utilisateurs et des logiciels malveillants qui reviennent encore et encore.

Vous n’avez pas besoin d’être un développeur chevronné pour prendre quelques mesures supplémentaires pour sécuriser votre site. Et cela commence par un contrôle de sécurité approprié du site web. Même quelque chose d’aussi simple que choisir un meilleur mot de passe ou passer à un hébergeur plus sécurisé pourrait faire toute la différence.

Besoin de plus de conseils de sécurité ? Découvrez 19 autres façons de sécuriser votre site. Et n’hésitez pas à partager vos suggestions dans les commentaires ci-dessous !

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.