Sécurité WordPress : comment protéger votre site contre les pirates

Publié: 2021-10-15

Que vous lanciez un site professionnel, une boutique en ligne ou un blog de loisirs, WordPress offre flexibilité, facilité d'utilisation et fonctionnalités avancées qui contribueront à en faire un succès retentissant.

Mais avant d'être prêt à passer en direct, prenez quelques minutes pour réfléchir à la sécurité. Protégez votre site autant que possible pour le protéger des pirates et travailler pour les fans et les clients à tout moment.

Pourquoi la sécurité de WordPress est-elle importante ?

Votre site Web indique à vos visiteurs qui vous êtes, le type de contenu et de services que vous proposez et ce qu'ils peuvent attendre de votre marque. C'est un endroit pour faire une bonne première impression et établir la confiance et la fidélité avec les fans existants.

C'est pourquoi il est si important de s'assurer que votre site Web est opérationnel à tout moment. S'il inclut soudainement des liens vers des logiciels malveillants, commence à s'exécuter très lentement après un piratage ou se déconnecte complètement, cela aura un impact sur votre réputation.

Si votre site est piraté, vous pourriez perdre de l'argent en raison d'une diminution du nombre de vues, de ventes ou d'impressions d'annonces. Il peut y avoir des coûts impliqués dans sa remise en bon état de fonctionnement. Vous pourriez également perdre votre classement sur les moteurs de recherche, parfois de façon permanente. Donc, pour économiser de l'argent (et sauver la face !), assurez-vous que votre site Web est verrouillé et sécurisé.

Comment les sites WordPress sont-ils piratés ?

Google a récemment publié une liste des principaux moyens par lesquels les pirates accèdent aux sites Web. Examinons-en quelques-uns en détail :

Mots de passe compromis

Les attaques par force brute sont l'une des façons les plus courantes pour les pirates de se faufiler dans un site. Ils utilisent des robots pour essayer différents noms d'utilisateur et mots de passe - des milliers de combinaisons par seconde - jusqu'à ce qu'ils trouvent le bon.

Plugins et thèmes non sécurisés

Les vulnérabilités trouvées dans les plugins et les thèmes sont un moyen relativement facile pour les mauvais acteurs d'entrer. Les développeurs de thèmes de haute qualité publient des correctifs pour ces vulnérabilités dans des mises à jour régulières, mais tous les utilisateurs de WordPress ne mettent pas à jour leur site fréquemment. Et les versions gratuites et annulées des plugins et thèmes premium ont souvent des portes dérobées intégrées dans leur code - des points d'accès permettant aux pirates de se connecter à distance à votre site et de faire ce qu'ils veulent.

Politiques de sécurité faibles

De mauvaises pratiques de sécurité, comme donner accès au site à des personnes qui n'en ont pas besoin ou autoriser des mots de passe non sécurisés, facilitent l'accès à votre site Web.

Pourquoi quelqu'un piraterait-il un site Web ?

  1. Ils veulent voler de l'argent . Ils peuvent vouloir recueillir des informations sur les cartes de crédit des clients ou diriger les visiteurs vers des sites Web malveillants conçus pour escroquer les gens.
  2. Ils veulent capturer des informations. Ils peuvent vendre des données personnelles à des tiers ou détenir des informations en otage en échange d'argent.
  3. Ils veulent supprimer votre site . Cela a généralement un motif personnel et constitue rarement une menace pour le propriétaire du site Web commun.
  4. Ils veulent vandaliser votre site. Encore une fois, c'est généralement personnel. Le pirate peut défigurer le site Web d'une personne avec laquelle il n'est pas d'accord pour faire une déclaration.
  5. Ils veulent attaquer quelqu'un d'autre . Les attaquants peuvent utiliser votre site Web pour diffuser des logiciels malveillants ou des rançongiciels sur Internet ou utiliser votre serveur Web pour attaquer malveillantement quelqu'un d'autre.
  6. Ils veulent apprendre. Les pirates doivent s'entraîner d'une manière ou d'une autre, non ? Ils peuvent utiliser votre site Web comme terrain d'entraînement pour des cibles plus grandes et plus lucratives à l'avenir.

Comment sécuriser votre site WordPress contre les pirates

1. Choisissez un hébergeur de qualité

Votre hébergeur est votre partenaire de sécurité et il est important d'en choisir un avec une bonne réputation. Vous en avez pour votre argent et de nombreux hébergeurs à prix réduits ne mettent pas en œuvre de solides pratiques de sécurité.

Mais comment savoir lequel choisir ? Voici quelques indications d'un hébergeur sécurisé :

  • Sauvegardes régulières, incluses dans votre forfait ou moyennant des frais supplémentaires.
  • Les certificats SSL, qui protègent les données des visiteurs de votre site.
  • Assistance 24h/24 et 7j/7, au cas où votre site serait piraté.
  • Un pare-feu intégré, qui protège les fichiers et la base de données sur votre serveur.
  • Des analyses de sécurité qui vous alertent en cas de code suspect et d'activité sur votre site.
  • Une bonne réputation. Les avis et les recommandations sont souvent le meilleur moyen de déterminer la qualité d'un hôte.

Et rappelez-vous, une entreprise avec de bonnes connaissances et une sécurité solide vaut bien tous les coûts supplémentaires. Voici une liste d'hébergeurs WordPress recommandés pour vous aider à démarrer.

2. Gardez le logiciel à jour

La meilleure façon de sécuriser votre site Web est de mettre à jour régulièrement votre logiciel : WordPress, les thèmes et les plugins. Les nouvelles versions corrigent souvent les vulnérabilités de sécurité, donc plus tôt vous mettez à jour, mieux c'est.

Vous pouvez également minimiser les risques de sécurité WordPress en choisissant des plugins fiables qui sont stables et répondent à plusieurs besoins à la fois. Par exemple, Jetpack Security propose une suite complète d'outils de sécurité WordPress intégrés dans le seul plugin Jetpack. Ainsi, vous pouvez également bénéficier de fonctionnalités supplémentaires sans installer des dizaines de plugins et sans augmenter le risque d'attaque sur votre site.

3. Créez des noms d'utilisateur et des mots de passe sécurisés

Empêchez les pirates de deviner en choisissant un nom d'utilisateur unique et un mot de passe sécurisé. Utilisez au moins 20 caractères, une lettre majuscule, une lettre minuscule, un chiffre et un symbole.

Si vous créez un site avec des utilisateurs supplémentaires, assurez-vous de définir les autorisations appropriées pour chacun d'eux. Vous ne souhaitez peut-être pas que votre nouveau stagiaire ait accès aux fichiers principaux ou à d'autres données importantes, par exemple. Voici un excellent article sur les autorisations des utilisateurs pour WooCommerce, mais une grande partie s'applique à tout type de site.

Et si vous créez un compte pour un tiers - comme un développeur, une agence de marketing ou une personne de support - assurez-vous de supprimer l'accès une fois qu'il a terminé son travail.

4. Configurer des sauvegardes hors site

Les sauvegardes sont essentielles pour protéger votre contenu, votre travail acharné et les données de vos clients ou visiteurs. Quel que soit le problème avec votre site, avoir une sauvegarde complète à portée de main signifie que vous pouvez rapidement vous remettre en marche.

Mais il est important de choisir le bon type de sauvegardes. Par exemple, assurez-vous que vos sauvegardes sont stockées hors site, dans le cloud plutôt que sur votre serveur. Cela signifie que, même si vous perdez l'accès à votre site ou si votre serveur est compromis, vous pouvez toujours restaurer une version propre.

C'est là que Jetpack Backup brille. Non seulement ils stockent toutes les sauvegardes sur les mêmes serveurs sécurisés qu'ils utilisent pour leur propre site, mais ils conservent également plusieurs sauvegardes cryptées pour une couche de protection supplémentaire.

Restauration d'une sauvegarde Jetpack

De plus, vous pouvez choisir entre deux options : en temps réel et quotidienne.

Les sauvegardes en temps réel sont le meilleur choix pour les boutiques en ligne, les forums d'adhésion ou les sites Web régulièrement mis à jour. Jetpack enregistre une copie de votre site chaque fois que quelque chose change : une vente est effectuée, une page est mise à jour ou un commentaire est ajouté. Cela signifie que vous ne perdrez pas une seule vente ou information, quoi qu'il arrive.

Les sauvegardes quotidiennes conviennent parfaitement aux sites statiques qui ne sont pas fréquemment mis à jour. Jetpack enregistre vos fichiers et votre base de données une fois par jour plutôt que lorsque des modifications sont apportées.

La meilleure partie? C'est super facile à configurer - il n'y a pas besoin de configuration de serveur compliquée. Suivez simplement quelques étapes simples et contactez l'équipe d'assistance client inégalée de Jetpack si vous avez besoin d'aide.

Vous pouvez utiliser le meilleur plugin de sauvegarde WordPress en tant qu'outil autonome ou dans le cadre de la suite de sécurité complète.

5. Ajoutez une protection contre les attaques par force brute

Les attaques par force brute se produisent lorsque les pirates utilisent des bots pour deviner des milliers de combinaisons nom d'utilisateur/mot de passe par seconde jusqu'à ce qu'ils obtiennent enfin l'accès à votre site. Non seulement ces attaques mettent en danger les informations de votre site, mais elles peuvent également ralentir les choses en surchargeant votre serveur.

Bien que les informations de connexion sécurisées soient certainement utiles, la meilleure prévention est un outil qui les arrêtera dans leur élan. La fonction gratuite de protection contre les attaques par force brute de Jetpack bloque les adresses IP suspectes avant même qu'elles n'arrivent sur votre site !

le nombre d'attaques malveillantes bloquées sur un site : 14 989

La configuration ne pourrait pas être plus simple - tout ce que vous avez à faire est d'activer la fonctionnalité - et vous pouvez voir le nombre d'attaques bloquées directement depuis votre tableau de bord. Indice : la moyenne est de 5 193 !

6. Rechercher les logiciels malveillants

Si un pirate parvient à entrer, vous voulez le savoir immédiatement afin de pouvoir le dépanner. Après tout, plus votre site est indisponible ou non sécurisé, plus les dommages causés à votre réputation et à vos données sont importants.

Mais Jetpack Scan recherche automatiquement sur votre site des logiciels malveillants, des acteurs malveillants et des activités suspectes, vous alertant immédiatement si quelque chose est trouvé. Vous pouvez même réparer la majorité des hacks connus en un seul clic, ce qui vous fait gagner du temps et de l'argent.

analyse de logiciels malveillants en cours d'exécution sur un site Web

Et vous n'aurez pas à passer du temps à déchiffrer un langage technique compliqué - le tableau de bord Jetpack Scan explique tout en termes simples et vous guide à chaque étape que vous devez suivre. Vous pouvez simplement le configurer et l'oublier, en vous reposant en sachant que votre site Web est surveillé 24h/24 et 7j/7.

En savoir plus sur notre outil d'analyse des logiciels malveillants WordPress.

7. Mettre en place une surveillance des temps d'arrêt

Qu'il s'agisse du résultat d'une attaque malveillante ou d'une simple erreur, si votre site Web tombe en panne, vous devez prendre des mesures immédiates. Mais vous n'avez pas le temps de recharger votre site toute la journée pour vous assurer qu'il fonctionne !

notification d'indisponibilité de Jetpack

L'outil de surveillance des temps d'arrêt WordPress de Jetpack surveille votre site 24h/24 et 7j/7 et vous avertit s'il cesse de répondre. Vous pouvez ensuite utiliser le journal d'activité pour déterminer exactement ce qui s'est passé et quand, afin que vous puissiez réagir de manière appropriée et être de nouveau opérationnel en quelques minutes, et non en quelques heures ou jours.

8. Supprimer les plugins et thèmes inutilisés

Plus vous avez installé de thèmes et de plugins sur votre site, plus il y a d'opportunités pour qu'un pirate informatique en profite. Bien que les plugins soient un excellent moyen d'ajouter des fonctionnalités supplémentaires, faites un peu de ménage et supprimez ceux que vous n'utilisez plus.

Et, à part un thème par défaut sur lequel vous pouvez vous appuyer lors du dépannage des erreurs du site, il n'est pas nécessaire de stocker des thèmes supplémentaires.

Bonus : les supprimer peut également améliorer la vitesse de votre site !

9. Activez l'authentification à deux facteurs pour les administrateurs

L'authentification à deux facteurs est un moyen extrêmement efficace de protéger votre page de connexion car elle nécessite qu'un pirate informatique ait à la fois votre mot de passe et un élément physique - une combinaison improbable. Lorsqu'un administrateur se connecte à votre site, il doit saisir un code à usage unique qui est envoyé sur son téléphone.

Jetpack offre cette fonctionnalité gratuitement, ce qui en fait un moyen simple d'aller plus loin que les mots de passe forts. Avez-vous plusieurs utilisateurs ? Exigez facilement une authentification à deux facteurs pour chacun d'eux.

10. Configurez un pare-feu WordPress

Un pare-feu WordPress surveille tout le trafic arrivant sur votre site, agissant comme une barricade contre les pirates. Bien qu'un bon plan d'hébergement comprenne un pare-feu qui protège votre serveur, vous voudrez également en installer un spécifiquement pour WordPress.

Un bon plugin de pare-feu dispose d'une base de données d'informations sur les acteurs malveillants - adresses IP suspectes, robots malveillants et trafic qui semble simplement "éteint" - et les bloque avant qu'ils ne puissent attaquer votre site Web. Vous pouvez voir certaines des options les plus populaires dans le référentiel de plugins WordPress.

11. Gardez un œil sur l'activité de votre site

Lorsque vous disposez d'un journal de tout ce qui se passe sur votre site Web, vous pouvez facilement le parcourir et identifier tout élément suspect. Et si votre site est piraté, vous pouvez également identifier l'heure à laquelle il s'est produit, savoir quelles actions ont été entreprises et savoir quels comptes ont été compromis beaucoup plus facilement.

activité qui s'est produite sur un site Web

Le journal d'activité de Jetpack pour WordPress garde une trace de tous les changements majeurs qui se produisent, des tentatives de connexion et des pages publiées aux plugins supprimés, aux thèmes mis à jour et aux paramètres modifiés. Pour chaque événement, vous pouvez voir un horodatage, l'utilisateur qui a effectué la modification et une description de ce qu'il a fait. Vous pouvez ensuite utiliser ces informations pour dépanner ou restaurer une sauvegarde juste avant qu'un problème ne se produise.

Que se passe-t-il si mon site WordPress n'est pas sécurisé ?

La plupart des attaquants ne vous ciblent pas spécifiquement, ils recherchent simplement le site le plus facile d'accès. Ainsi, si votre site WordPress n'est pas correctement sécurisé, il est plus susceptible d'être victime d'un piratage. A terme, cela pourrait conduire à :

  • Une réputation écornée . Si votre site comporte des avertissements de sécurité, tombe en panne ou redirige vers un site Web suspect, il ne sera pas agréable pour les visiteurs du site. Ils peuvent perdre confiance dans votre blog ou votre entreprise, vous faisant perdre des ventes ou des revenus publicitaires.
  • Données client volées . Si un pirate accède à votre boutique en ligne, il peut collecter des informations personnelles qu'il peut utiliser lui-même ou vendre à des tiers.
  • Fichiers de site Web endommagés . Vous pourriez perdre une partie ou la totalité de votre site Web, potentiellement des années de travail acharné !
  • Suppression des résultats de recherche . Si votre site est piraté, il peut être bloqué par Google et entièrement supprimé des résultats de recherche.
  • Trafic du site perdu . Entre un classement inférieur (ou inexistant) des moteurs de recherche et des personnes qui ne voudront pas visiter un site avec un avertissement de sécurité, le trafic de votre site peut diminuer de manière significative.
  • Baisse des revenus publicitaires . Les réseaux publicitaires ne veulent pas que les publicités de leurs clients soient diffusées sur des sites non sécurisés. Ainsi, si votre site est piraté, il pourrait être supprimé des réseaux publicitaires et vous pourriez être complètement banni, réduisant ou éliminant vos revenus provenant des publicités. Même s'il n'est pas supprimé, le trafic réduit affectera négativement les clics sur les annonces.

Comment savoir si mon site WordPress a été piraté ?

Il peut parfois être difficile de dire si votre site Web a été piraté ou s'il rencontre un autre type de problème. Cependant, voici quelques indications d'un piratage de site :

  • Votre site Web affiche un avertissement de sécurité lorsque vous chargez votre URL.
  • Votre plugin de sécurité signale un problème.
  • Votre hôte vous envoie un e-mail concernant un problème.
  • Votre site Web redirige entièrement ailleurs et vous n'avez pas effectué cette redirection.
  • Vous voyez des lignes de code impaires sur les pages de votre site.
  • Votre site est complètement indisponible, bien que cela puisse également être dû à d'autres causes.
  • Les publicités sur votre site redirigent vers des sites Web suspects.
  • Votre site se charge soudainement très lentement ou agit bizarrement d'une autre manière.

Que dois-je faire si mon site WordPress est piraté ?

Si votre site WordPress est piraté, vous pouvez prendre quelques mesures pour résoudre le problème et récupérer vos fichiers et votre base de données :

  1. Déterminez ce qui s'est passé. Si vous utilisez Jetpack, consultez le journal d'activité pour voir qui s'est connecté, quand et ce qu'il a changé. Cela peut vous aider à identifier les comptes compromis et à déterminer quels fichiers sont affectés.
  2. Exécutez une analyse des logiciels malveillants. Utilisez un outil comme Jetpack Scan pour rechercher des logiciels malveillants ou d'autres indications de piratage dans les fichiers de votre site Web. Si vous utilisez l'outil d'analyse des logiciels malveillants de Jetpack pour WordPress, vous pouvez également résoudre la majorité des problèmes en un seul clic.
  3. Restaurer une sauvegarde. Si vous effectuez des sauvegardes régulières de votre site Web, restaurez-en une avant le piratage. Si vous utilisez Jetpack Backup, vos fichiers sont stockés séparément de votre serveur, ils ne doivent donc pas être compromis.
  4. Réinitialisez tous les mots de passe et supprimez les utilisateurs suspects . Réinitialisez tous les mots de passe de votre site WordPress et de votre hébergeur. Si vous voyez des comptes d'utilisateurs suspects que vous n'avez pas créés, supprimez-les.
  5. Engagez un expert en sécurité de site Web. Si vous ne parvenez pas à supprimer les logiciels malveillants par vous-même ou si vous voulez simplement vous assurer que votre site est sécurisé, envisagez de faire appel à un expert en sécurité d'un service comme Codeable.
  6. Mettez à jour vos plugins, thèmes et version de WordPress. Cela aidera à sécuriser toutes les vulnérabilités dont le pirate aurait pu profiter.
  7. Soumettez de nouveau votre site à Google. Si votre site a été bloqué, utilisez Google Search Console pour demander un examen et le retirer de la liste.

Pour plus de détails, lisez notre guide qui explique ce qu'il faut faire si votre site WordPress est piraté.

Prêt à lancer

Mettre le travail dans la sécurité WordPress appropriée dès le début prépare votre site au succès et l'aide à fonctionner en toute sécurité et efficacement pour les années à venir. N'oubliez pas qu'il est beaucoup plus facile de prévenir les piratages de sites que de les réparer après qu'ils se soient produits.

Avec le package Jetpack Security, vous pouvez cocher la majorité des éléments de cette liste en quelques minutes seulement - pas besoin d'un développeur ou d'une configuration compliquée.

Commencez avec le meilleur plugin de sécurité WordPress.