Le piratage des sites Internet WordPress est malheureusement une réalité omniprésente dans le paysage actuel. Et je note une bonne augmentation des tentatives de piratages depuis quelques mois, j’ai lu que l’intelligence artificielle n’y était pas pour rien, il est en effet beaucoup plus simple aujourd’hui de générer du code informatique avec l’aide de ces outils. En tant que plate-forme de gestion de contenu la plus populaire, WordPress est souvent la cible de pirates informatiques cherchant à exploiter ses vulnérabilités pour diverses raisons, allant du vol de données à l’injection de logiciels malveillants ou la mise en place de liens pour améliorer le référencement. Cependant, avec une bonne compréhension des risques et la mise en place de mesures de sécurité appropriées, il est possible de réduire considérablement les chances de se faire pirater.
Conscient de l’augmentation des tentatives de piratages et de l’évolution des techniques dans ce domaine, j’ai pris la décision de mettre en place une série de mesure de protection systématique sur tous les sites que je produis et que je gère. WordPress laissant une série d’information potentiellement risquées disponibles à des personnes malveillantes comme le nom des administrateurs ou l’url d’administration, il est aujourd’hui crucial de combler quelques lacunes.
Comprendre les risques
Avant de plonger dans les moyens de sécuriser votre site WordPress, il est important de comprendre les différentes menaces auxquelles il est confronté. Voici quelques-unes des principales méthodes de piratage utilisées contre les sites WordPress :
Brute force et attaques par force brute
Les pirates utilisent des programmes automatisés pour essayer de deviner les identifiants de connexion en utilisant une combinaison de noms d’utilisateur et de mots de passe courants.
Vulnérabilités des plugins et des thèmes
Les plugins et les thèmes obsolètes ou mal sécurisés peuvent introduire des failles de sécurité dans votre site, permettant aux pirates de prendre le contrôle.
Injection de code malveillant
Les pirates exploitent les failles de sécurité pour injecter du code malveillant dans les fichiers du site, souvent dans le but de rediriger le trafic vers des sites malveillants ou de voler des informations sensibles.
Déni de service distribué (DDoS)
Les attaques DDoS visent à submerger un site avec un trafic excessif, le rendant inaccessible aux utilisateurs légitimes.
Maintenant que nous avons une idée des menaces potentielles, passons en revue les bonnes pratiques à mettre en œuvre pour protéger votre site WordPress.
Bonnes pratiques de sécurité WordPress
Mettre à jour régulièrement WordPress, les thèmes et les plugins. De ce fait, je n’utilise que des plugins et des thèmes ayant pignon sur rue, mis à jour régulièrement et en version payante en essayant d’en utiliser le moins possible.
WordPress invite déjà à utiliser des mots de passe forts, et il faut aussi faire en sorte que le nom public d’un administrateur soit différent de l’identifiant. De ne pas laisser un accès à la liste des identifiants utilisés par les administrateurs d’un site. En tapant l’url d’un site WordPress /wp-json/wp/v2/users on peut voir la liste des administrateurs et leur identifiant. Je cache désormais cette liste.
Url de conexion, les robots qui tentent de se connecter essayent souvent d’aller sur l’adresse du site /wp-admin qui est l’adresse par défault WordPress d’un site, désormais je change systématiquement cette adresse. C’est simple et ça limite considérablement les risques encore faut-il que cette adresse ne se retrouve pas sur Google ou dans un champ de connexion sur une page connexe comme les pages médias générées automatiquement par WordPress pour chaque image.
Je fais des sauvegardes régulières des sites Internet que je crée et je conserve ces sauvegardes dans un endroit sécurisé, en dehors du serveur principal chez un autre hébergeur.
En suivant ces pratiques, je minimise considérablement les risques de piratage des sites WordPress de mes clients, il est aussi important de rester vigilant et informé sur les pratiques et les risques qui évoluent.