Piratage de site WordPress : comment l'éviter ?

WordPress est le CMS le plus utilisé au monde, par les blogueurs, entrepreneurs et de plus en plus par des commerçants en ligne avec Woo Commerce. Et cette popularité entraîne un risque : le piratage. En effet, étant donné les millions de sites utilisant les mêmes codes de base, il devient facile de trouver des failles, ne serai-ce que parce que tout le monde à une url de connexion à la base de données de type 'nom-de-domaine/wp-admin'. La simplicité d'utilisation de WordPress fait qu'un grand pourcentage d'utilisateurs WordPress sont de pures novices en création de site, sans connaissance du code et des risques de hack. Ils ne prennent donc pas les précautions nécessaires pour protéger leur site WordPress contre le piratage. Voici des astuces simples, des conseils plus techniques voire même imparables pour sécuriser votre site WP : la prévention du hack est la meilleure arme contre le piratage !

Les précautions de base accessibles à tous


Grâce à son principe d'extensions, WordPress peut faciler revêtir des protections de type captcha. Il suffit d'installer un plugin de captcha et de faire les réglages pour le personnaliser. En effet, plus vos systèmes anti-hack seront uniques, plus ils seront hors de portée des logiciels de hack ou de pirates humains. Il est aussi préférable de choisir des extensions populaires car elles sont généralement plus sécurisées, et pas seulement les plugins de captcha, mais TOUS vos plugins. Eviter les extensions qui ne sont visiblement supportées par leurs développeurs, au risque de rencontrer diverses failles de sécurité et autres bugs en tous genres. Une précaution aussi efficace pour éviter de se faire hacker : supprimer les thèmes et extensions non utilisées. Pas seulement les désactiver mais bel et bien les supprimer. Une fois que vous avez compris ces principes et que vous les appliquez, vous pouvez penser à sécuriser encore plus fort. Cela demande de comprendre les risques et les techniques de piratages. Vous pouvez programmer la mise à jour automatique de vos plugins et thèmes pour être sûr de disposer de la version la plus sûre, en insérant un code add filter. Précaution très utile et forte : supprimer le dossier d'installation de WordPress, via le ftp. Attention de ne pas se tromper de dossier !!

Identifier les types de piratages


Vous pouvez être la cible de tous types de hacks avec un site WordPress, tout simplement parce que le monde entier connaît les urls admins, les urls qui possèdent un pouvoir intéressant aux yeux du hackeur.
J'ai vu :
- des fichiers header.php, htaccess, index, footer.php et autres, modifiés avec subtilité ou au contraire brutalement, si bien que le site redirigeait vers un autre site, le contenu de site substitué à celui d'origine, avec des contenus qui n'ont rien à voir (site dans d'autres langues, thématique complètement différente, etc.). Les redirections amènent souvent à des sites horribles, vendant des produits illicites, diffusant des contenus hard (porno, argent facile, vente "pharmaceutique" sans doute illégale, etc.)
- des sites modifiés avec ce qu'on appelle du "Defacing" de page d’index afin de faire de la propagande ou juste de nuire au site en changeant son contenu partiellement ou totalement
- des sites dont "seules" les balises SEO ont été modifiées si bien que le webmaster ne se rend compte de rien sur le coup mais au bout de quelques jours ou semaines aperçoit son site en asiatique (chinois ? japonais ? coréen ?) ou autre langue dans les moteurs de recherche avec les dégâts considérables que vous imaginez sur le plan du positionnement Google...
Concrètement, la plupart des sites WordPress sont piratés via l'interface admin ou back office, mais ils peuvent aussi être hackés via l'accès ftp, l'accès à la bdd, l'accès à l'hébergeur... C'est pour ça que je fais toujours des sauvegardes à tout niveau parce qu'une sauvegarde via un plugin comme back up ne vous sert à rien sir vous n'arrivez plus à vous connecter au BO WP ! Ces techniques de pirates peuvent aussi nuire aux internautes en les incitant à installer des virus, à divulguer leurs données, à envoyer des mails spams, des attaques DoS etc. Le malware peut aller loin ! On voit aussi des publicités insérées, des produits mis en vente, des arnaques de support téléphonique, d'antivirus qui en fait sont de gros virus très méchants (fausse alerte de sécurité)bref, les hackeurs font tout et n'importe quoi.

Modifier le code WordPress anti pirate


Certaines lignes de codes peuvent être supprimées ou ajoutées dans votre template sans risquer de faire sauter son desgin ou ses fonctionnalités. Cela demande de comprendre un minimum ce que l'on fait, même si parfois un simple copier-coller suffit. Par exemple, vous pouvez empêcher la modification du header.php qui fait partie des fichiers particulièrement visés pour infliger une redirection de votre site vers un autre. Il suffit d'insérer une ligne de code dans le fichier wp-config.php via le ftp, de type "define( 'DISALLOW_FILE_EDIT', true );". Il est aussi possible de trouver ce type de code pour empêcher l'ajout d'extensions indésirables par des pirates.

Pensez à sauvegarder et pas seulement votre BO !


La plupart de mes clients dorment sur leurs 2 oreilles après avoir un plugin de type backup, qui permet des sauvegardes et restaurations en un clic depuis l'interface admin. Et c'est bien le problème ! Certains bugs WordPress ou piratages rendent impossibles la connexion au Back Office (interface admin) et il est alors nécessaire de modifier le ftp ou la base de données. Or, tous les hébergeurs ne proposent pas de sauvegardes automatiques de la bdd, et encore moins du ftp. Il est donc fondamental de faire des sauveagrdes du ftp et de la bdd régulières, sans oublier d'exporter les contenus depuis l'onglet "outil" dans le Back Office.

Des mots de passes forts ftp, bdd, bo


Il ne suffit pas d'avoir un mot de passe de barbare sur votre Back Office pour sécuriser un site WordPress ! Le mdp du ftp et de la base de données doivent aussi être forts et différents les uns des autres. Pensez aussi à rendre unique chaque mdp pour chaque site. Je sais, c'est pas marrant mais imaginez qu'un gentil pirate trouve vos accès un site, ou même qu'un prestataire en dispose librement pour travailler sur vos sites et qu'il s'en prenne en tous vos sites ! Ne prenez pas ce risque ! Vous pouvez faire appel à un développeur WordPress pour sécuriser vos sites en quelques instants et cela ne coûte pas forcément cher car quelques lignes de code suffisent pour une sécurisation décuplée. Apache, php et mysql sont aussi des voies d'accès potentielles à votre site par le pirate. Veillez à utiliser des méthodes

Le certificat ssl / https WordPress


Ne confondez pas : la sécurité ssl ne sécurise pas votre site mais les utilisateurs de votre site ! Il permet d'établir une connexion cryptée afin d'empêcher le piratage des données de l'internaute comme les coordonnées bancaires, les mots de passe d'accès à un espace membre, etc. Il fait partie de la sécurité de votre site, essentielle et même presque obligatoire maintenant, mais ne vous protège pas du tout contre les hackeurs.

Sécuriser vos écrans !


Vous vous connectez sur votre back office depuis votre pc, votre mac, votre tablette, votre smartphone ? Veillez à ce que personne ne puisse accéder à vos codes, pirater vos appareils. Il devient alors très facile pour la personne ou le robot mal intentionné de détruire vos sites, avec des dégâts considérables sur le chiffre d'affaires, mais aussi d'accéder à vos données confidentielles (comptes bancaires, mots de passe, etc.). Sécuriser donc les comptes de vos ordinateurs avec un mot de passe que vous seul connaissez. Il y aussi le risque de malwares de type stealer qui parviennent à récupérer vos identifiants FTP et BAM, vos sites et pc sont morts.

Déplacer les fichiers


C'est la grosse faille d'un site WordPress : tout le monde sait où attaquer pour faire mal, puisque tous les sites sont basés sur la même arborescence : un ficher config, un fichier header, etc. C'est pour cela que beaucoup de robots peuvent facilement hacker WordPress une fois entré dans l'administration WordPress. Heureusement, il est possible pour un développeur web de coder différemment le thème, de rendre les fichiers cruciaux difficiles d'accès en les renommant, en changeant leur structure, en les déplaçant. Cela peut aussi faire buguer le site si cela ets fait par des non experts de WordPress. On peut tout déplacer dès lors qu'on indique les modifications dans les fichiers nécessaires afin que le site continue de tourner. En modifiant le fichier htaccess, on peut n'autoriser qu'une adresse ip à accéder au répertoire wp-admin.

Alors, sécurisé ou perdu ? Contactez-moi !

Publié dans la catégorie Développement web par Lucie MANET le : 24-04-2020 10:29

Commentaires

Envie de commenter ?

Création site plombier et référencement Google au top !

Comment créer un site internet : 6 questions à se poser pour bien démarrer

Piratage de site WordPress : comment l'éviter ?