En 2023, 94 % des sites infectés sur lesquels ils ont sont des sites WordPress selon Sucuri Security, une société de sécurité multiplateforme.
De plus, environ 100.000 sites web se font piratés chaque jour partout dans le monde.
Ainsi, il est important de sécuriser votre site web pour protéger non seulement vos fichiers mais surtout les données personnelles de vos utilisateurs. La sécurisation d’un site web passe par la sécurisation de votre serveur dédié ou le choix d’un hébergement WordPress mutualisé sécurisé.
Autrement dit, le durcissement du serveur est le moyen le plus sûr pour maintenir un environnement WordPress sécurisé. Voilà pourquoi, il est primordial de choisir une solution d’hébergement WordPress équipé de mesures actives et passives pour prévenir les attaques.
Découvrez dans cet article les principales mesures à prendre pour sécuriser votre hébergement WordPress.
Les vulnérabilités de WordPress
Pour commencer, voyons les types de vulnérabilité qui peuvent toucher un site WordPress.
1. Les Backdoors ou portes déroubées
En français “porte de derrière” ou “porte dérobée”, une backdoor fournit aux pirates un passage secret à un site web. Elle utilise des méthodes illégitimes et inconnues du propriétaire pour contourner le cryptage de sécurité notamment à travers de votre page de connexion /wp-admin, via la connexion SFTP ou FTP, etc.
Pleinement exploitées, les backdoors permettent d’accéder non pas à un seul site mais à plusieurs sites hébergés sur le même serveur si ceux-ci n’ont pas été cloisonnés sur plusieurs comptes cPanel, par exemple. C’est ce qu’on appelle des attaques de contamination inter-sites.
Selon Sucuri, 71 % des sites infectés ont été attaqués à l’aide d’une backdoor.
2. Les Pharma Hacks
Le Pharma Hacking de WordPress est un type de piratage qui exploite vos efforts de référencement pour augmenter la visibilité de produits pharmaceutiques illégaux. Les pirates insèrent un code malicieux dans les versions obsolètes des sites et plugins WordPress.
Ensuite, quand on visite ou effectue une recherche sur le site compromis, le moteur de recherche redirige vers des annonces produits pharmaceutiques.
3. Les tentatives de connexion par Brute Force
L’attaque par Force Brute consiste à utiliser des scripts automatisés pour deviner les mots de passe et s’introduire sur votre site WordPress.
Les pirates peuvent compromettre jusqu’à 3000 sites web en une journée grâce à cette technique.
Pourtant, le moyen le plus simple de se protéger contre ce genre de tentatives de connexion est de choisir des mots de passe complexes et de déplacer votre page de connexion par défaut (/wp-admin) à une autre adresse.
4. Les redirections malveillantes
Ces codes sont la plupart du temps ajoutés dans votre fichier .htaccess et d’autres fichiers WordPress pour rediriger votre trafic vers un site web malveillant.
5. Le Cross-Site Scripting (XSS)
Le Cross-Site Scripting (XSS) est l’injection de code malveillant dans un site web généralement dans le but de récupérer des cookies et des données de session. Le script est envoyé côté navigateur à l’insu de l’utilisateur final.
6. Les attaques par déni de service (DDoS)
Le déni de service (DoS) est une attaque visant la saturation d’un site web afin qu’il ne réponde plus aux requêtes de ses utilisateurs. Cette vulnérabilité est la plus dangereuse car elle entraîne la perturbation voire la paralysie totale d’un site web et du serveur. On parle de Distributed DoS (DDoS) quand l’attaque est émise depuis plusieurs origines distinctes.
Comment sécurisé son site WordPress & son hébergement WordPress ?
Les bonnes pratiques de sécurité permettent de sécuriser l’administration de votre serveur WordPress.
- Quand vous communiquez avec votre serveur, utilisez une connexion chiffrée: SFTP pour le transfert de fichier ou SSH pour l’accès Shell. Cela permet de rendre illisibles les fichiers et donnés en transit.
- Utilisez un Virtual Private Network (VPN) dans le cas où vous devez vous connecter à votre serveur via un réseau public. En effet, le réseau virtuel privé utilise un protocole de cryptage permettant de protéger votre navigation et de cacher votre adresse IP.
- Sécurisez l’accès à vos sauvegardes, fichiers journaux, fichiers de test, fichiers temporaires et autres applications PHP sur votre serveur web.
- Effectuez un sauvegarde de vos fichiers WordPress et de vos bases de données régulièrement. La meilleure fréquence est quotidienne pour les bases de données et hebdomadaire pour les fichiers.
- Utilisez un mot de passe fort ou à haute niveau de sécurité pour la base de données MySQL des utilisateurs.
- Installez un plugin WordPress de sécurité, entre autres, Wordfence & Sucuri Security. Une extension de sécurité vous permet d’analyser les logiciels malveillants. Elle protège contre les attaques par force brute en bloquant automatiquement les adresses IP ayant effectué un certain nombre de tentatives de connexion. Elle permet également d’ajouter à votre site WordPress une authentification à deux facteurs, un blocage par pays (GeoIP)
Comment choisir un hébergement WordPress sécurisé ?
Bien au-delà de la sécurisation de votre site WordPress et des bonnes pratiques de sécurité que vous pouvez mettre pour sécuriser votre site WordPress, il existe un niveau supérieur de sécurité. Il s’agit de la sécurité du serveur qui est sous la responsabilité de votre hébergeur WordPress. C’est la raison pour laquelle il est important de choisir un hébergeur dédié sécurisé et performant à l’image d’EasyHoster. Voici les points de sécurité importants que vous devez vérifier et exiger pour un bon hébergeur WordPress.
1. Data center sécurisé
En plus de menaces virtuelles, des menaces physiques existent également. Ainsi, l’infrastructure matérielle doit être équipée de mesures de sécurité à l’instar de dispositifs anti-coupures électriques et protections incendies.
2. Migrer vers HTTPS
Les hébergeurs WordPress peuvent proposer gratuitement des certificats Let’s Encrypt ou Sectigo pour activer le HTTPS.
3. Connexion sécurisées
Le serveur doit être configuré pour supporter les connexions SFTP et SSH utilisant des protocoles de chiffrement de transfert de fichiers. De cette manière, le contenu sensible n’est pas directement lisible par les intrus malveillants.
4. Isolement complet
Isoler chaque compte WordPress et chaque site web permet d’éviter les attaques de contamination inter-sites utilisant des backdoors.
5. Pare-feux robustes et systèmes de détection d’intrusion
Le serveur doit être équipé des meilleurs pare-feux pour se protéger contre les attaques DDoS. A cela s’ajoute des systèmes qui permettent de détecter les logiciels malveillants.
6. Bloqueur d’adresses IP
Depuis votre tableau de bord, vous pouvez interdire l’accès à des adresses IP que vous jugez suspects. Parallèlement, les anti-spams qui permettent de bloquer les courriers indésirables sont aussi nécessaires.
7. Sauvegardes automatiques
Malgré les mesures de sécurité, un site web n’est jamais protégé à 100 %. Ainsi, il est impératif d’effectuer des sauvegardes pour avoir une carte sous la manche et restaurer le site piraté ou dégradé instantanément. Les hébergeurs sécurisés proposent en général une sauvegarde automatique régulière.
EasyHoster, hébergeur WordPress français vous propose une solution d’hébergement incluant les dernières mesures de sécurité notamment les dispositifs cités ci-dessus.
Commentaires récents