Il revient alors à chaque utilisateur de WordPress, voire d’internet, de prendre des mesures proactives pour se protéger contre d’éventuels problèmes de sécurité.
Quand un site WordPress a été piraté, il est parfois fastidieux de déterminer tout seul la faille. Ce qui prend souvent un temps précieux que vous auriez pu utiliser à bon escient pour créer ou promouvoir votre contenu.
Quelques chiffres WordPress
Voici quelques chiffres pour vous interpeller sur ce qui se passe en ligne, concernant surtout WordPress :- Comment WordPress est-il piraté ?
- Via la plateforme d’hébergement : 41%
- Via les Thèmes ou templates : 29%
- Via les plugins : 22%
- Via la corruption des mots de passe : 8%
- Chiffres :
- 83% des blogs WordPress piratés n’avaient pas été mis à jour.
- 30.000 site web sont piratés chaque jour.
- En moyenne, un site web est piraté toutes les 5 secondes.
Comment se protéger des failles de sécurité WordPress ?
- N’utilisez pas le compte Admin par défaut :
C'est l’une des erreurs les plus courantes et les plus élémentaires que vous pouvez faire dans une perspective de sécurité. Quel nom d'utilisateur pensez-vous que les pirates tentent en premier lorsqu’ils essaient d’accéder à n'importe quel site ? Admin, bien sûr.
Créez un autre nom d'utilisateur et affecter les droits d'administrateur à cet autre utilisateur avant de supprimer l'ancien compte d'utilisateur admin par défaut.
- Fermez les commentaires après 30 ou 60 jours :
Certes, cela pourrait être controversé et tout le monde ne va pas être d'accord avec cela. Si vous êtes victime d’un grand nombre de spams commentaires (spamco), vous pouvez essayer de fermer les commentaires après 30 ou 60 jours.
Cela ne fera que réduire drastiquement le nombre de spams. Toutefois, pensez à utiliser le plugin Askimet qii vous aidera aussi dans le blocage des spams.
- Masquez le lien d’accès à votre Admin :
Quel que soit le CMS de votre site (WordPress ou similaire), avoir un lien de connexion à l'interface d'administration dans un emplacement prévisible, c’est comme avoir un coffre-fort ouvert dans une banque.
Certes, déplacer le lien de connexion de votre site Web ne garantit pas la sécurité contre les pirates, mais cela ajoute juste un obstacle supplémentaire !
- Installez toujours la dernière Version de WordPress :
Il s'agit d'une évidence, surtout quand on sait que 83 % des blogs qui sont piratés n’ont pas été mis à jour à temps. Alors, pourquoi ne pas automatiser la mise à jour via votre tableau de bord ?
- Signalez tout bug WordPress et tout problème de sécurité :
WordPress est le plus utilisé des CMS sur le web et la communauté des utilisateurs est très active. Chaque jour, les utilisateurs signalent de nouveaux bugs qui sont rapidement corrigés.
- Bloquez les autorisations d’accès en écriture des fichiers :
Si vous voulez renforcer la sécurité de votre site WordPress, vous pouvez verrouiller les fichiers et l' accès en écriture. Vous pouvez le faire de plusieurs manières : via un plugin ou même à travers les paramètres (cPanel) de votre hébergeur.
Si vous ne savez pas comment procéder, il est préférable de contacter le support technique de votre hébergeur qui vous aidera.
- Utilisez un plugin de sécurité WordPress :
Afin de limiter les tentatives de connexion qui ont échoué. Si plus d'un certain nombre de tentatives est détecté dans un court laps de temps de la même adresse IP, alors la fonction d'ouverture de session est désactivée pour toutes les demandes à venir par le biais de cette adresse IP.
Ce qui va vous aider à prévenir toute attaque par brute force qui permet de découvrir le mot de passe. Vous pouvez essayer le plugin Login LockDown.
- Envisagez l'authentification en deux étapes :
La connexion traditionnelle nécessite un nom d'utilisateur et un mot de passe. Donc, une authentification en une seule étape. Il existe des plugins de sécurité WordPress qui pourront vous aider à mettre en place une authentification en deux temps.
 |
| Infographie via Yourescapefrom9to9.com |
- Faîtes régulièrement des sauvegardes :
Si votre site est piraté, vous aurez besoin d'une sauvegarde pour restaurer votre site. Ce serait vraiment dommage de constater après piratage que vous n’avez aucune sauvegarde quotidienne ou hebdomadaire pour restaurer votre blog.
La sauvegarde doit aussi être en dehors du blog et non pas sur le même serveur que votre blog pour éviter que les fichiers sauvegardés soient eux-mêmes aussi infectés ou endommagés.
- Vérifiez régulièrement la rapidité, la stabilité, la sécurité et la disponibilité (server down) de votre hébergement. Sachez que 41% des problèmes de sécurité ont pour origine votre hébergement.
- Ré-évaluer les plugins et le thème de votre blog :
51 % des vulnérabilités se trouvent dans le thème et les plugins utilisés par un site. Gardez vos plugins à jour et supprimez constamment les plugins indésirables ou caducs. Cela aide aussi à accélérer l’affichage de vos pages.
- Assurez-vous que votre propre ordinateur est sain et bien protégé et qu’il n’y a pas de logiciels malveillants, de logiciels espions et des virus.
- Travaillez sur des réseaux de connexion à internet de confiance, et évitez les cybercafés et le WiFi gratuit, lorsque c'est possible.
- Vérifiez que vos mots de passe sont forts (y compris WordPress, Emails etc..). Sinon, utilisez cet outil pour en créer.
