Sécuriser son site WordPress est donc devenu un critère prépondérant et prioritaire. En effet, depuis son lancement en 2003, le CMS WordPress a parcouru un long chemin. Il alimente désormais 43 % de tous les sites web dans le monde ce qui représente environ 75 millions de sites actifs. Cependant, sa grande popularité en fait également une cible de choix pour les pirates. On considère que 100 000 sites sont piratés chaque jour. Dans tous les cas, ce type de mésaventure impacte non seulement la notoriété de l’utilisateur mais également le référencement naturel.
Bien que WordPress soit régulièrement mis à jour par une équipe d’experts pour corriger les bugs et et les failles de sécurité, des vulnérabilités existent et sont découvertes régulièrement. La communauté WordPress joue un rôle essentiel pour prévenir et s’assurer que les failles soient corrigées le plus rapidement possible par les experts.
Voici les principales vulnérabilités pouvant affecter WordPress :
On peut traduire « Backdoor » par porte dérobée. Il s’agit d’un bout de code développé dans le but de mettre en place un accès administrateur pour contrôler votre site WordPress à distance, contournant ainsi les processus sécurisés d’authentification habituels.
Les tentatives de connexion par force brute sont des attaques utilisées le plus souvent grâce à un script ou un bot dans le but d’exploiter les mots de passe faibles et accéder ainsi à votre site.
Plusieurs moyens permettent de lutter contre ce type d’attaque comme :
L’attaque intitulée «Pharma Hack» ou «Pharma SEO Spam» est un code malicieux inséré dans des versions obsolètes de sites et d’extensions WordPress dans l’optique de rediriger vos pages vers des publicités de produits pharmaceutiques : Viagra, Cialis sont les plus courants
Il est assez facile de lutter contre ce type de menace en optant pour des hébergeurs WordPress de qualité et en effectuant régulièrement des mises à jours de votre thèmes extensions WordPress.
Un hack de redirection de malware WordPress est un type d’attaque utilisant des protocoles FTP, SFTP, wp-admin, que l’on rencontre assez fréquemment qui redirige les visiteurs d’un site Web infecté vers des sites de phishing ou des sites Web malveillants. Ces redirections sont souvent insérées dans votre vos fichiers WordPress comme .htaccess sous forme codée.
L’attaque de dénis de service (DDos) est considérée comme la plus dangereuse. Elle est conduite par un réseau de machines contrôlé à la base par un hacker qui utilise des malwares etdes logiciels malveillants. Elle vise à submerger la mémoire des systèmes d’exploitation des sites web.
Le Cross-Site Scripting (XSS) est une attaque très courante qui peut être caractérisée par l’injection d’un script dans un site Web. Le pirate l’utilise pour envoyer un code malveillant, généralement des scripts côté navigateur, à l’utilisateur final sans qu’il le sache. Son but est généralement de récupérer des cookies ou des données de session ou peut-être même de réécrire du HTML sur une page.
Voici une liste de recommandations à adopter pour sécuriser son site WordPress
Naturellement, le risque zéro n’existe pas même en effectuant les bonnes procédures. Le plus important est de procéder à des contrôles réguliers et réduire de ce fait les risques de devenir une cible privilégiée pour les hackers
Fort heureusement, afin d’éviter ce mauvais scénario et vous protégez des attaques par force brute, il existe des extensions gratuites fiables et plutôt faciles à mettre en place. Voici une sélection qui vous aideront à protéger efficacement votre site WordPress
Cet article comprend différents liens conduisant vers différentes ressources relatives à la sécurité . En résumé, si vous achetez un de ces plugins WordPress, Riviera Web Design percevra ainsi une commission qui lui permettra de rémunérer le travail de recherche et de rédaction.
WordFence est un excellent plugin de sécurité basé sur un modèle Freemium. Cette solution complète intègre un pare-feu de point de terminaison sur votre serveur afin de bloquer le trafic malveillant. WordFence offre également la possibilité de visualiser en temps réel les activités sur votre site.
Principales caractéristiques :
Anciennement appelé Better WP Security, Ithème Security est un plugin de sécurité incontournable pour WordPress. Avec plus d’un million d’installations actives à la rédaction de cet article, il s’impose comme une solution de sécurité très fiable et embarque plus de 30 outils pour assurer la protection de votre site. Bien que la version gratuite soit déjà très fournie, la version pro au tarif de 80 $ par an, rajoute certaines fonctionnalités très utiles comme l’application de mots de passe forts, le blocage des mauvais utilisateurs, les sauvegardes de base de données et l’authentification à deux facteurs.
Hide My WP fait partie des best sellers sur Code Canyon avec environ 30 000 ventes. Ce plugin de sécurité permet de cacher entièrement un site WordPress aux yeux des pirates, spammeurs ou bien détecteurs de thèmes comme Wappalyzer ou BuiltWith.
All In One WP Security est sans nul doute l’une des extensions gratuites de sécurité les plus populaires et complètes. Son interface utilisateur simple et bien pensée facilite le paramétrage du plugin. Vous pouvez visualiser par exemple le niveau de sécurité de votre site sous forme de compteurs et graphiques dans le but de vous inciter à appliquer les bonnes pratiques dans le but d’améliorer la sécurité de votre site.
Dans la série des plugins de sécurité, WP Cerber Security est une solution très efficace pour renforcer la sécurité de votre site WordPress. Il permet non seulement de lutter contre toutes les sortes d’attaques : spams, chevaux de troie, logiciels marveillants mais aussi de surveiller l’intégralité de votre site grace à son scanner intégré.
Shield Security est une autre solution tout aussi robuste et efficace pour lutter contre les pirates et les robots malveillants. Il permet de limiter le nombre de tentatives de connexion et bloquer les attaques par force brute tout en optimisant les performances de votre site afin que ce dernier ne subisse aucun ralentissement.
Développé par WPMUDEV, Defender Security repose sur un modèle freemium. Cet outil permet de scanner les logiciels malveillants et dispose également d’un pare feu très performant. Il débute avec une liste de recommandations permettant d’ajouter en un clic différentes couches de protection sur votre site.
Principales catactéristiques :
BulletProof Security se définit comme étant un plugin Proactif disposant d’outils de sécurité avancés comme un système de détection et de prévention des intrusions BPS Pro ARQ (ARQ IDPS), des solutions de chiffrement, ainsi que des crons programmés, des scans cURL, le verrouillage des dossiers ….
Conçu par Ninja Technologie Network, Ninja Firewall est un véritable pare feu intégrant un moteur de filtrage très puissant permettant de bloquer des attaques, de monitorer votre trafic, et de vous assurer de l’intégrité de vos fichiers
Security Ninja fut l’un des premiers plugins de sécurité vendus sur CodeCanyon. Il dispose depuis 2016 d’une version gratuite qui propose non moins de 50 tests de sécurité allant de la vérification des fichiers et des permissions MySQL à divers paramètres PHP.
Sucuri Security est sans aucun doute l’une des extensions de sécurité les plus populaires pour WordPress, en raison de son interface simple, permettant d’obtenir une vue d’ensemble de ses contrôles de sécurité. Bien que la version gratuite est fournie avec un panel de fonctionnalités standard permettant de personnaliser la façon dont Sucuri protège votre site web, elle n’inclut pas de pare-feu.
Malcare WordPress Security permet de procéder à une analyse approfondie de vos fichiers. Après avoir déterminé que certains sont corrompus, MalCare procède à leur suppression.
Titan Antispam offre un éventail complet d’outils divers basé sur de puissants algorythmes permettant de lutter de manière efficace conTre les spambots. Tout cela dans l’optique de faire gagner un temps précieux aux utilisateurs.
Avec plus de 80 000 installations à son actif, WP Hide & Security Enhancer est un petite perle permettant de masquer complètement vos princpaux fichiers WordPress, votre page de connexion, vos chemins de thème et de plugins.
Conçu par Julio Potier, SecuPress est un plugin Made in France. Cette solution très accessible pour les non initiés grâce à une interface de gestion très ergonomique qui facilite grandement son utilisation. Sécuriser son site WorPress avec ce type de solution devient un jeu d’enfant.
Comme nous venons de le voir dans cet article, la sécurité d’un site n’est pas à prendre à la légère. Chaque propriétaire d’un site doit donc mettre en place les bonnes pratiques pour tenter de transformer son site en véritable forteresse. Il est primordial tout d’abord d’investir dans un hébergement WordPress sécurisé et de procéder à des mises à jours régulières. Afin de rajouter des couches de sécurité, il existe des plugins performants spécialement dédiés à cette tâche qui permettront d’économiser du temps et de l’énergie.