Des milliers de sites WordPress utilisant potentiellement un plugin vulnérable : voici comment assurer la sécurité de votre site

En mars 2024, une vulnérabilité critique a été découverte dans le plugin WordPress WordPress Automatic. Disponible sur le marché Code Canyon, WordPress Automatic est un grattoir de contenu automatique qui récupère des articles, des vidéos, des produits, des images et d'autres types de contenu à partir de sources externes et republie automatiquement ce contenu sur votre site Web.

La société de recherche Patchstack a découvert la vulnérabilité, qui a permis à des acteurs malveillants d'utiliser des attaques par injection SQL pour prendre le contrôle total des sites Web vulnérables. Tous les types de sites Web – des boutiques de vape aux blogs personnels – étaient vulnérables à l’attaque s’ils utilisaient une version non corrigée du plugin.

Bien que le plugin ait été corrigé rapidement, certains propriétaires de sites Web n'ont pas installé le correctif car ils n'étaient pas conscients de la gravité du problème. Des avis récents d’utilisateurs sur le plugin WordPress Automatic suggèrent qu’au moins quelques sites Web ont été complètement perdus en raison de cette vulnérabilité.

Aucun site Web n'est totalement à l'abri du piratage, et WordPress – qui alimente environ 43 % de tous les sites Web dans le monde – est une cible prioritaire pour les acteurs malveillants.

Voici cependant la bonne nouvelle : lorsqu’un site Web est piraté, ce n’est généralement pas parce qu’un pirate informatique a ciblé spécifiquement ce site. Le plus souvent, les sites Web sont piratés parce qu’ils exécutent des thèmes ou des plugins WordPress vulnérables découverts grâce à l’utilisation de scanners automatisés.

En d’autres termes, si votre site ne présente pas de vulnérabilité connue qui soit facilement détectée avec un scanner et exploitée par des moyens automatisés, les pirates informatiques passeront généralement à autre chose.

Dans cet esprit, vous pouvez assurer la sécurité de votre site WordPress en suivant simplement quelques pratiques de sécurité de bon sens. Dans ce guide, nous vous expliquerons exactement ce que vous devez faire pour minimiser le risque qu'un plugin non sécurisé entraîne la disparition prématurée de votre site.

Mettez à jour votre thème et vos plugins rapidement

Lorsque vous vous connectez à WordPress, vous verrez toujours une notification dans la barre latérale si des mises à jour sont disponibles pour le thème ou les plugins de votre site. Dans certains cas, un plugin avec une mise à jour en attente affichera même un message en haut de la page. Si votre site dispose d'un grand nombre de plugins, vous pouvez voir des notifications de mise à jour presque à chaque fois que vous vous connectez et vous pouvez parfois avoir tendance à tergiverser lorsqu'il s'agit de télécharger et d'installer ces mises à jour. Vous le faites à vos risques et périls, car vous ne savez jamais quand une mise à jour peut inclure un correctif pour un problème de sécurité critique.

Le plugin WordPress Automatic a été mis à jour immédiatement lorsque son créateur a été informé de la faille de sécurité. Cependant, un accord de non-divulgation aurait empêché le créateur du plugin de discuter de la faille jusqu'à ce qu'elle soit rendue publique par Patchstack. Pour cette raison, certains utilisateurs ont ignoré la mise à jour.

Maintenir des sauvegardes complètes du site et de la base de données

Il est de plus en plus courant que les hébergeurs Web proposent des sauvegardes entièrement automatiques de sites Web et de bases de données, ce qui est une excellente chose pour la sécurité. Si votre site Web est piraté, disposer d’une sauvegarde signifie que vous pouvez restaurer le site à son état antérieur – parfois en un seul clic. Si votre hébergeur ne propose pas ce service, plusieurs plugins WordPress peuvent faire le travail à votre place. Il est cependant important de conserver une bibliothèque de sauvegardes à partir de plusieurs moments différents. Si votre site Web est piraté, il faudra peut-être un certain temps avant que vous vous en rendiez compte.

Envisagez d'exécuter un plugin de sécurité

Si votre site Web est votre entreprise, il n'y a aucune excuse pour ne pas disposer d'une solution de sécurité quelconque. Un plugin de sécurité peut surveiller automatiquement les tentatives d'accès et bloquer les utilisateurs qui semblent malveillants. Certains réseaux de diffusion de contenu proposent également ce service. Un plugin de sécurité peut également surveiller les fichiers et le code brut de votre site et vous avertir si quelque chose a changé de manière inattendue. Si de nouveaux fichiers commencent soudainement à apparaître sur votre serveur, votre site a probablement été piraté.

Obtenez vos thèmes et plugins auprès d'une source fiable

Le référentiel WordPress est toujours l'endroit le plus fiable pour trouver des thèmes et des plugins pour votre site. Parce que tout sur le site WordPress.org est gratuit et open source, tous les plugins et thèmes sont surveillés par la très grande communauté de bénévoles WordPress. Dans de nombreux cas, cependant, vous aurez peut-être besoin de fonctionnalités qui ne sont pas disponibles dans un thème ou un plugin gratuit – et dans ce cas, vous devrez payer pour un logiciel premium. Assurez-vous que quelqu'un a audité le code et l'a déclaré sûr.

Supprimer les thèmes et plugins inutilisés

Chaque thème et chaque plugin installé sur votre site Web WordPress doit être traité comme une faille de sécurité potentielle, car c'est exactement ce que font les pirates : ils scrutent constamment chaque morceau de code WordPress existant et recherchent des vulnérabilités à exploiter. Chaque fois que vous supprimez un thème ou un plugin de votre site, vous éliminez un point d'entrée potentiel. Parcourez les plugins et les thèmes de votre site et supprimez tout ce que vous n'utilisez pas. C'est également une bonne idée de parcourir vos plugins actifs et de vous assurer que vous en avez vraiment besoin.

Trouver des remplaçants pour les plugins abandonnés

Cela fait-il un moment depuis la dernière fois que vous avez vu une notification de mise à jour pour un plugin particulier ? Si tel est le cas, vous souhaiterez peut-être consulter le journal des modifications du plugin pour déterminer la date de sa dernière mise à jour. À moins que la fonctionnalité d'un plugin ne soit extrêmement simple, vous devriez le considérer comme abandonné par l'auteur s'il n'a pas été mis à jour depuis plus d'un an environ. Dans ce cas, vous devez rechercher un plugin offrant les mêmes fonctionnalités et toujours activement mis à jour. Des failles de sécurité peuvent se cacher dans d'anciens plugins pendant longtemps avant d'être découvertes – et si un plugin présentant une faille n'est plus mis à jour par l'auteur, la vulnérabilité ne sera jamais corrigée.

Embaucher un développeur pour auditer les anciens plugins et thèmes

Supposons que votre site Web dispose d'un plugin critique qui a été abandonné par le développeur et n'est plus mis à jour. Dans ce cas, vous êtes seul pour vous assurer que le plugin est sécurisé et ne présente aucune vulnérabilité. Dans ce cas, embaucher un développeur et demander à cette personne d’auditer le plugin pour vous serait une très bonne idée. La maintenance du plugin peut devenir une dépense permanente jusqu'à ce que vous trouviez un remplaçant.