Principales erreurs de sécurité WordPress et comment les corriger - MalCare

Erreurs de sécurité WordPress : Saviez-vous que chaque minute, quelque 90 978 tentatives de piratage sont effectuées sur les sites Web WordPress ? Une fois votre site piraté, les pirates l'utilisent pour exécuter toutes sortes d'activités malveillantes comme l'envoi de spams (lecture - hameçonnage), l'attaque d'autres sites Web, l'injection de liens de spam, la redirection des visiteurs, etc.

C'est pourquoi les propriétaires de sites WordPress comme vous doivent prendre au sérieux leurs problèmes de sécurité. Il n'y a pas de solution miracle que vous puissiez utiliser pour résoudre tous vos besoins de sécurité, mais vous devez plutôt faire beaucoup de choses correctement. Sur Internet, il existe d'innombrables conseils sur la façon de garder votre site sûr et sécurisé. Certains d'entre eux sont des conseils contradictoires et certains sont tout simplement obsolètes. De nombreuses opinions sur ce qu'un propriétaire de site devrait faire et ne devraient pas apporter de confusion et au milieu de toute cette confusion, les erreurs sont inévitables.

Maintenir la sécurité d'un site n'est pas une tâche facile, en particulier pour les nouveaux propriétaires de sites qui sont enclins à commettre des erreurs susceptibles de les rendre vulnérables aux attaques de piratage courantes. Connaître les erreurs de sécurité courantes commises par les propriétaires de sites Web aidera à les éviter. Et c'est pourquoi nous avons créé cette liste afin que vous puissiez arrêter de commettre les erreurs que commettent la plupart des propriétaires de sites WordPress.

Principales erreurs de sécurité WordPress commises par les propriétaires de sites :

Nous vous suggérons d'exécuter un audit de sécurité WordPress avant de prendre l'une des mesures ci-dessous -

1. Ne pas mettre à jour le noyau, le plugin et les thèmes de WordPress

Garder à jour le noyau et les modules complémentaires de WordPress (c'est-à-dire les thèmes et les plugins) est une bonne mesure de sécurité. Leur mise à jour n'ajoute pas seulement plus de fonctionnalités au site, mais aide également à corriger les vulnérabilités. En raison de l'écosystème dans lequel fonctionne WordPress, les informations sur les vulnérabilités se propagent très rapidement et les pirates tentent de tirer parti de la situation. Si vous ne mettez pas à jour votre site, ce qui aurait aidé à corriger la vulnérabilité, votre site deviendra facile à pénétrer.

Alors que certains propriétaires de sites ne mettent pas à jour leur site parce qu'ils ne savent pas comment les mises à jour sont liées à la sécurité, d'autres ont peur de l'incompatibilité. Les sites Web WordPress peuvent tomber en panne après la mise à jour du noyau WordPress et de ses modules complémentaires.

Les mises à jour de WordPress sont conçues pour être compatibles avec toutes les versions précédentes. Ainsi, si votre site exécute la version 4.1, vous pouvez toujours le mettre à jour vers la dernière version, c'est-à-dire la 4.9. Mais malgré toutes les précautions prises, chaque mise à jour apporte des nouvelles de plantage du site Web. Voici un exemple de la dernière version 4.9.6 de WordPress.

Vous pouvez rencontrer des problèmes similaires lors de la mise à jour des modules complémentaires WordPress, c'est-à-dire des thèmes et des plugins. Souvent, des problèmes d'incompatibilité surviennent dans les thèmes et les plugins parce que le développeur a été précipité pour publier une nouvelle mise à jour ou peut-être que le développeur était incompétent. Les plugins et les thèmes ont un marché vraiment concurrentiel et dans le but de se démarquer des autres, les développeurs sont poussés à ajouter de plus en plus de nouvelles fonctionnalités dans les plus brefs délais. Parfois, ils ne disposent pas de suffisamment de temps pour voir si la version est compatible avec toutes les versions précédentes de WordPress. Et donc, si quelqu'un utilise une version très ancienne de WordPress et met à jour un plugin qui ne fonctionne qu'avec les dernières versions de WordPress, son site tombe en panne.

Les inquiétudes concernant les problèmes de compatibilité entre WordPress Core et un module complémentaire peuvent amener les propriétaires de sites à ignorer les mises à jour de sécurité.

Comment résoudre ce problème : un service de mise en scène pourrait résoudre ce problème. Le processus de création d'un site en double dans le but de tester l'installation du noyau WordPress et de ses modules complémentaires s'appelle Staging. Des services de sauvegarde comme BlogVault ou même des fournisseurs d'hébergement Web comme Kinsta proposent des environnements de mise en scène. Vérifiez auprès de votre hébergeur ou de vos services de sauvegarde (si vous en utilisez un) pour voir s'ils ont la possibilité de mettre en scène un site. Si ce n'est pas le cas, inscrivez-vous auprès d'un service qui vous permet de mettre en scène un site.

En plus de garder vos plugins, thèmes et cœur à jour, nous vous suggérons fortement de garder vos sels WordPress et vos clés de sécurité à jour.

2. Utilisation de modules complémentaires de mauvaise qualité

Tous les plugins et thèmes WordPress ne sont pas bien faits. Certains ignorent les contrôles d'assurance qualité, tandis que d'autres sont développés par des programmeurs amateurs. Il est important que l'utilisateur fasse attention à ce qu'il choisit d'utiliser ou d'acheter. Mais malheureusement, de nombreux utilisateurs de WordPress n'ont aucune connaissance technique, ce qui les rend mal équipés pour savoir à quel point le plugin ou le thème est bon.

Comment résoudre ce problème : pour aider ces utilisateurs, nous avons répertorié quelques caractéristiques qui aideront à repérer un bon thème ou plugin :

je. Assurez-vous que vous obtenez les modules complémentaires d'une source réputée comme le référentiel de plugins WordPress ou un vendeur populaire comme Elegant Themes, Themeforest, etc.

ii. Assurez-vous que les modules complémentaires ont une bonne note sur le référentiel WordPress et sont examinés par des personnes qui ont utilisé le thème/plugin sur leur site . Une recherche rapide sur Google vous aidera à trouver les avis.

iii. Vérifiez que le plugin existe depuis longtemps et a résisté à l'épreuve du temps. Recherchez les mises à jour de sécurité et les correctifs de bogues répertoriés dans le référentiel WordPress ou sur le site Web officiel.

iv. Et assurez-vous qu'ils sont souvent mis à jour et que la mise à jour récente a été effectuée il y a moins de 2 mois.

3. Utilisation de plugins et de thèmes illégaux

De nombreux sites Web vendent gratuitement des thèmes et des plugins premium. L'utilisation de ces produits gratuits peut être catastrophique car bon nombre de ces modules complémentaires WordPress contiennent délibérément des logiciels malveillants. Installer ces modules complémentaires illégaux sur vos sites revient à ouvrir des portes et à inviter des pirates sur votre site. Une fois qu'un attaquant parvient à s'introduire sur votre site en utilisant le mauvais code du thème/plugin que vous venez d'installer, il utilisera votre site pour exécuter un certain nombre d'activités malveillantes telles que l'envoi de spams ou l'attaque d'autres sites. De plus, la présence de logiciels malveillants sur votre site le considère comme compromis, ce qui oblige les hébergeurs à suspendre votre compte. Les moteurs de recherche tels que Google mettent votre site sur liste noire et suspendent votre compte AdWords.

Comment résoudre ce problème : Achetez des thèmes et des plugins originaux sur des marchés populaires tels que ThemeForest , Elegant Themes , etc. Pendant la période de vente, vous pouvez acheter des thèmes et des plugins à des prix bien inférieurs. On peut rechercher des sites officiels du thème ou du plugin de notre choix.

4. Conserver les plugins et thèmes inutilisés sur votre site

Garder des thèmes et des plugins inutilisés sur le site Web offre aux pirates la possibilité d'infiltrer votre site. De nombreux propriétaires de sites ne mettent pas à jour les modules complémentaires inactifs car ils ne sont pas conscients des avantages en matière de sécurité. Pour eux, les mises à jour apportent de nouvelles fonctionnalités, et comme ils n'utilisent pas le plugin, ils pensent qu'ils n'ont pas besoin des nouvelles fonctionnalités. Si une mise à jour a été publiée pour corriger une vulnérabilité, votre site reste à risque jusqu'à ce que vous le mettiez à jour.

Comment résoudre ce problème : La seule solution ici est de se débarrasser des thèmes et plugins WordPress inactifs. Voici comment:

Visitez la page 'plugins installés' depuis le tableau de bord WordPress de votre site.

Dans la page, il y a une option appelée "inactive". Sélectionnez cela.

Cela vous amènera à une autre page à partir de laquelle vous pourrez supprimer les plugins inactifs . Mais avant d'appuyer sur le bouton "inactif", nous vous suggérons de vous assurer que vous n'aurez pas besoin de ce plugin particulier dans un avenir proche.

5. Utiliser de mauvaises pratiques de connexion à un site Web

Deux pratiques de connexion courantes et pourtant très dangereuses consistent à utiliser des identifiants de connexion faciles à deviner et à ne pas se déconnecter lorsque le site n'est pas utilisé. Les attaquants programment des bots qui essaient de se connecter à votre site en utilisant une combinaison de nom d'utilisateur facile à retenir (comme admin) et de mot de passe (comme password123) pour pirater un site. Cette méthode particulière de piratage d'un site s'appelle une attaque par force brute.

Comment résoudre ce problème : Il est recommandé d'utiliser un nom d'utilisateur et un mot de passe uniques (lecture recommandée – Guide de protection de la page de connexion WordPress). Un inconvénient ici est que les informations d'identification uniques sont difficiles à retenir. Par conséquent, vous devez conserver un document portant ces informations d'identification. Et assurez-vous que le document est crypté pour empêcher tout accès non autorisé.

6. Donner à chaque utilisateur un accès administrateur

Faire de chaque utilisation un administrateur est une mauvaise idée, en particulier pour les sites Web où il y a un grand nombre d'utilisateurs que le propriétaire du site ne connaît pas personnellement. WordPress permet aux propriétaires de sites d'attribuer les rôles suivants aux utilisateurs : administrateur, éditeur, auteur, contributeur, abonné, responsable SEO, éditeur SEO. Il est risqué de rendre tout le monde administrateur car cela donne accès à toutes les zones d'un site.

Donner aux utilisateurs un accès illimité à l'ensemble du site conduit à l'exploitation comme on le voit dans ce cas avec TechCrunch (un site technologique populaire) qui a été piraté par OurMine (un groupe de hackers). Après avoir obtenu l'accès à un compte d'utilisateur, OurMine a pu publier sur le site. Voici une capture d'écran de la page d'accueil lorsque les lecteurs se sont réveillés après le piratage de TechCrunch :

Comment résoudre ce problème : chaque rôle d'utilisateur sur WordPress n'autorise l'accès qu'à des zones spécifiques du site. En fonction de ce que vous souhaitez qu'un utilisateur fasse sur votre site, vous pouvez attribuer ces rôles. Le respect de ce principe garantit que seules les personnes de confiance peuvent accéder à l'ensemble du site. Et si quelque chose ne va pas, vous savez qui est responsable.

7. Ne pas effectuer de sauvegardes

Les sauvegardes sont votre filet de sécurité. Ne pas en avoir un en place pourrait vous causer des ennuis en cas de catastrophe. Si votre site est piraté et que les messages sont supprimés, vous pouvez facilement restaurer votre site à la normale en utilisant les sauvegardes. Mais l'utilisation de n'importe quel service de sauvegarde n'est pas recommandée car de nombreux services de sauvegarde ne sont pas efficaces. Par exemple, de nombreux plugins de sauvegarde stockent les sauvegardes sur vos serveurs Web. Certains d'entre eux stockent les sauvegardes en un seul endroit. Le serveur de votre site Web n'est pas l'endroit idéal pour stocker des sauvegardes, car le serveur prend en charge la sauvegarde en plus d'effectuer des processus réguliers. Cela ralentit la vitesse de votre site. Stocker une seule sauvegarde signifie que si vous la perdez, vous n'aurez plus aucune autre sauvegarde sur laquelle vous appuyer.

Comment résoudre ce problème : avant de choisir un service de sauvegarde, vérifiez les fonctionnalités pour voir où elles stockent les sauvegardes. Si vous ne trouvez pas les informations appropriées, envoyez-leur un e-mail en leur posant des questions directes sur l'endroit où ils stockent les sauvegardes et s'ils les stockent à plusieurs endroits. Pour en savoir plus sur la façon de choisir des sauvegardes fiables, consultez cet article .

8. Ne pas utiliser un service de sécurité

De nombreux propriétaires de sites Web, en particulier ceux qui ont de petits sites Web qui attirent moins de trafic, pensent que leur site est insignifiant et n'attirera donc pas l'attention d'un pirate informatique. Mais les pirates ont aujourd'hui de nombreuses raisons d'attaquer un petit site Web . Ils pourraient l'utiliser pour stocker des fichiers ou envoyer des spams, entre autres. De nombreux groupes de piratage, en fait, préfèrent attaquer les petits sites parce que les petits sites Web sont laxistes quant à leur sécurité et sont donc plus faciles à pirater. Ils lancent des attaques massives par force brute où les bots essaient de deviner le nom d'utilisateur et les informations d'identification corrects pour pénétrer dans un site. L'une des techniques de piratage les plus préférées consiste à tirer parti des plugins et des thèmes vulnérables.

Comment résoudre ce problème : Un service de sécurité standard offre des fonctionnalités de sécurité essentielles comme WordPress Firewall qui aide à empêcher les pirates de forcer brutalement votre site.

En plus de prendre les mesures ci-dessus pour réparer votre site, vous pouvez prendre quelques mesures de sécurité supplémentaires. Nous vous suggérons fortement de suivre ce guide – Sécurisez votre site WordPress avec wp-config.php.

Chaque fois qu'une vulnérabilité dans le plugin ou les thèmes ou même le noyau apparaît, les développeurs publient un correctif via une mise à jour. Par conséquent, la mise à jour de tous vos thèmes, plugins et noyau WordPress est une bonne pratique de sécurité. MalCare - l'un des meilleurs plugins de sécurité WordPress offre une fonctionnalité de gestion de site qui vous permet de mettre à jour les plugins, les thèmes et le noyau WordPress à partir du tableau de bord MalCare. Il est particulièrement utile pour les personnes qui ont de nombreux sites Web à gérer. Se connecter à chaque site Web et mettre à jour les thèmes, les plugins et le noyau est un travail qui prend du temps. Des services comme MalCare permettent aux propriétaires de sites de suivre plus facilement les bonnes pratiques de sécurité.

Outre le pare-feu et la gestion du site, un plugin de sécurité propose également des services d'analyse quotidiens. Si votre site Web est infecté par un logiciel malveillant, le plugin vous aidera à réparer votre site Web piraté. Si vous vous sentez plus à l'aise avec une équipe qui vous fournit directement des services de maintenance de site Web WordPress pour gérer entièrement la sécurité de votre site Web, WP Buffs sera une excellente option. Ils s'occupent des mises à jour, de la sécurité, de la vitesse du site Web et des modifications en cours, que vous gériez 1 site Web ou 1000 !

Et ensuite ?

L'utilisation d'un bon plugin de sécurité WordPress est la première étape vers la création d'un site Web sécurisé ou la protection de WordPress. Parmi les autres mesures de sécurité que vous pouvez prendre, citons le blocage IP, la protection de la page de connexion et le suivi de ce guide complet sur la sécurité WordPress pour en savoir plus. comment sécuriser votre site WordPress.

Si vous avez commis l'une de ces erreurs dans le passé, nous espérons que le message vous a aidé à voir ce que vous aviez mal fait et comment les corriger. Nous accueillons toutes les questions que vous pourriez avoir concernant ces erreurs de sécurité WordPress et leurs correctifs. Veuillez nous contacter via notre page contactez-nous .