Sécuriser un site WordPress

sécuriser wordpress

Les sites web conçus avec le CMS WordPress sont plus affectés par les attaques que les autres CMS ou site web sur mesure.

WordPress bénéficie d’une popularité non négligeable, il posséderait environ 25% de part de marché. Il se trouve loin devant ses concurrents. De part sa popularité, il est donc une cible privilégiée par les hackers, WordPress est relativement bien sécurisé car il est “open source“, cependant on peut y greffer des “plugins”, des programmes qui permettront d’ajouter des options sur votre site (comme un carousel, une like box, un espace membre etc…). Plugins, qui eux, peuvent potentiellement être source de problèmes lorsque la sécurité au niveau du développement a été négligée, les erreurs de codes pourront donc engendrer des failles de sécurité qui pourront être ciblés par les pirates grâce à divers moyen comme par exemple, des scanners de vulnérabilités que l’on peut trouver assez facilement sur le web.

 

 

Les conséquences du piratage de votre site WordPress.

Vous pouvez donc par exemple perdre la totalité du site ou le voir transformé par une page qui n’est pas la votre. Le pirate peut aussi s’introduire dans votre système dans le but de récupérer la base de données et/ou de rediriger vos visiteurs sur un site faisant la promotion de divers médicaments etc …

On peut voir depuis peu de temps, un type de piratage plutôt judicieux. Profitant d’une faille d’injection de code (permet d’envoyer du code sur votre serveur FTP dans le but de modifier le fonctionnement de ce dernier), le pirate va placer différents fichiers  qui vont générer des milliers de pages sur votre site, traitant généralement des crypto monnaies .

Les milliers de pages créées seront indexées sur Google, elle apparaîtront donc dans les résultats de recherche, transformant votre site en publicité pour le site du pirate.

Les conséquences sont grave, à cause de cette fameuse injection, vous avez donc sur votre serveur des fichiers considérés comme “fichier malveillant” qui seront détectés par Google, Google vous avertira, si vous ne supprimez pas les fichiers malveillants rapidement, votre site sera déclassé petit à petit jusqu’à disparaître complètement avec en prime, une belle pénalité !

Ajoutez à cela le fait que les hackers utilisent en même temps, la méthode nommé “Cloaking, qui permet de tromper Google en lui affichant une page qui ne correspond pas à ce que voient vos visiteurs.

Étant donné que Google détecte cette tromperie qui permet de positionner un site rapidement dans le top 10 des résultats de recherche, le site reçoit donc la aussi une pénalité qui elle, peut faire disparaître votre site des résultats de recherche pour une durée allant de 6 mois à une année.

Vous l’avez compris, pour ne pas perturber et pénaliser le référencement naturel (SEO) mis en place sur un site, Il est donc important de sécuriser votre site WordPress.

 

Comment sécuriser WordPress

La sécurisation est un sujet complexe dans le sens ou pour bien sécuriser un site WordPress, il faut en comprendre son fonctionnement.

La première chose à faire est de maintenir WordPress à jour ainsi que les plugins, les mises à jour permettent de combler les failles de sécurités détectées, il est donc indispensable de posséder les dernières versions de plugins sur votre site web.

La deuxième étape est d’installer un certificat SSL qui permettra d ‘afficher votre site avec le fameux cadenas vert et le httpS. Le certificat SSL agira lors des transfert de données, il chiffrera les requêtes envoyées par exemple lors de la soumission de votre formulaire de contact, les requêtes deviendront illisibles dans le cas ou elles seraient interceptées par un pirate. Le certificat SSL permet de sécuriser les paiements par carte, Paypal etc… sur votre site web.

Ce n’est malheureusement pas tout, il est vivement conseillé de déplacer la page login qui permet de se connecter à l’administration de votre site wordpress et d’ajouter un captcha ainsi qu’une limitation dans le délai entre deux tentatives de connexion échouées pour éviter des attaques de type “brute force” qui ont pour but de tester la validité d’un mot de passe en testant chaque caractères l’un à la suite de l’autre jusqu’à trouver la bonne combinaison.

On peut aussi, sécuriser les fichiers sensibles comme le .htaccess, wp-config.php, bloquer l’énumération des utilisateurs par les scanners de failles etc…

Il est possible de parvenir à sécuriser un site WordPress convenablement mais cela reste assez limité si on ne met pas les mains dans le code.

Quelques extensions peuvent vous aider à sécuriser votre site WordPress, comme par exemple :  Carla WordPress Security

 

Si vous souhaitez sécuriser votre site WordPress, ou pour toute autre demandes,  n’hésitez pas à nous contacter .

Nous sommes spécialisé dans la sécurisation de sites web, lors d’une prestation de sécurisation, des tests de sécurité sont mis en place, ils permettront de simuler le comportement d’un pirate, cela comprendra donc la recherche de failles ainsi que leurs exploitation.