La sécurité de votre site WordPress n’est pas une chose à prendre à la légère.
Ce n’est un secret pour personne, de plus en plus d’attaques informatiques ont lieu chaque année. Cela peut s’expliquer par la simplification de création de site web notamment via des cms comme WordPress. Mais, malheureusement, cette simplification n’est pas suivie par une éducation des créateurs de sites internet qui ne possèdent pas de formation dans le domaine, sur les risques de sécurité et les différentes notions de base à connaître.
Dans cet article nous allons découvrir les différents objectifs des pirates ainsi que quelques chiffres sur les cyberattaques. Nous poursuivrons par les conséquences d’un piratage et enfin, nous finirons par des astuces simples à utiliser, ainsi que quelques plugins WordPress qui augmenteront la sécurité de votre site.
Je suis bien conscient que ces considérations et conseils ressembleront à du chinois pour des professionnels du bien-être qui n’ont pas été informaticiens dans une autre vie (comme moi). Donc, n’hésitez pas à me contacter si vous avez besoins de quelques éclaircissements ou conseils gratuits.
Que veut un pirate lors d’une attaque ?
Dans l’immense majorité des cas, c’est un attrait financier qui le motive. Directement par le vol de l’identité bancaire afin de siphonner un ou plusieurs comptes. Ou le vol de données sensibles afin de les revendre. Plus rarement, le pirate cherche une certaine notoriété en s’attaquant à un site sensible. Dans certains cas, le ou les pirates souhaitent décrédibiliser le site d’une organisation, d’un parti politique par exemple. Et enfin dans d’autres cas, leur objectif est simplement le sabotage.
Plus de 700 millions de cyberattaques enregistrés à travers le monde, c’est ce qu’annonce ThreatMetrix en 2017. Soit une augmentation de 100% par rapport à 2015. C’est 19 millions de français qui ont été touchés par une cyberattaque en 2017 d’après Norton. Le ransomware « wannacry » marque un tournant dans l’histoire de la cybercriminalité. Il fut la preuve que même les grandes entreprises sont vulnérables aux attaques informatiques. La cybercriminalité coûte à présent en moyenne 600 milliards d’euros par an dans le monde. Et pour finir, 90% des sites web piratés sont des sites WordPress.
Quelles peuvent-être les conséquences d’une attaque ?
A présent supposons que vous n’aviez pas lu cet article et que malheureusement votre site internet a été piraté. Quelles peuvent-être les conséquences et les différents dégâts possibles ?
Dans l’immense majorité des cas, ce sera des dégâts financiers puisque l’argent est la première motivation des pirates. Premièrement, l’usurpation bancaire, c’est le plus courant, le pirate vole vos informations bancaires et les utilise sur internet pour effectuer des achats.
Il y a également le « by pass », dans ce cas le pirate remplace vos identifiants bancaires sur le site par les siens, par conséquent tous les revenus que vous pouvez générer avec votre site internet sont envoyés vers le compte du pirate.
Une autre ressource précieuse pour les pirates que votre site renferme, la « data ». En effet un site internet récolte énormément d’informations sur ses utilisateurs le plus souvent sensibles, comme l’adresse, nom et prénom, photos, informations bancaires. Toutes ces données, ont une valeur sur internet. Certains pirates en ont fait leur stratégie, récolter un maximum d’informations sensibles possibles afin de les revendre sur internet par lots. D’après les règles de la CNIL vous, possesseur du site internet, vous êtes responsables pénalement de toutes les données collectées sur vos utilisateurs. Un cas comme celui-là est très grave et entraîne d’importantes conséquences autant sur le plan juridique et financier mais également sur la réputation de votre site et la confiance que vous accordent vos utilisateurs.
Certains pirates utilisent les sites web comme moyens de transmissions de malwares. Ils installent discrètement un programme informatique nuisible sur votre site qui va infecter vos utilisateurs. Attention là aussi, de nombreux robots de google parcourent le web à la recherche de ces sites vecteurs de malwares. Dès qu’ils en repèrent un, google blacklist ce site internet et donc il n’apparait plus dans les résultats de recherche google. Le site perd toute son affluence. Google blacklist environ 70 000 sites web par semaines.
Et enfin, un pirate peut avoir une intention de sabotage. Mais cela reste très minoritaire et destiné aux sites de grandes entreprises ou de partis politiques. Le pirate change le contenu du site ou envoi du contenu illicite.
Quelques conseils de sécurité
Nous venons de voir les différents dégâts que peuvent provoquer le piratage d’un site web. Mais rassurez-vous, la plupart des sites piratés ne respectait pas les conseils fondamentaux de sécurité que nous allons vous présenter ci-dessous. Le risque zéro n’existe pas en informatique mais de bonnes habitudes et quelques astuces limiteront grandement les risques énumérés au-dessus.
1. Être à jour : la maintenance de votre site WordPress
La première règle est d’être à jour. Maintenez WordPress ainsi que tous les plugins et thèmes installés à jour. Si certains plugins cessent les mises à jour, cherchez des plugins équivalents qui eux sont maintenus à jour régulièrement. D’après Sucuri, en 2017, presque 40 % des sites WordPress piratés présentaient une version obsolète de WordPress. 60 % des sites piratés dont on a identifié le point d’entrée des pirates, était une vulnérabilité d’un plugin ou d’un thème. Vérifiez les mises à jour très régulièrement et installez des plugins de développeurs connus et réputés.
La maintenance régulière d’un site wordpress a un coût (en temps ou argent, si vous confiez la maintenance à un professionnel). C’est une assurance, on est content d’être en ordre le jour ou un sinistre survient…
2. De bons mots de passe
La deuxième règle tout aussi importante, utilisez des mots de passe forts. Un mot de passe fort est composé de lettres minuscules et majuscules, de chiffres et de caractères spéciaux comme par exemple : */&$. Et il ne doit surtout pas contenir des éléments personnels comme le nom de votre animal de compagnie. L’idéal c’est que vous puissiez vous en souvenir. Une petite astuce pour cela, pensez à une phrase, une citation, un poème que vous connaissez. Prenez la première lettre de chaque mot et alternez entre majuscules et minuscules. Puis ajoutez un nombre et des caractères spéciaux. Vous obtiendrez un mot de passe fort et facile à retenir !
3. D’autres points d’attention pour plus de sécurité
- Supprimez le compte administrateur par défaut de wordpress, les pirates utilisent massivement ce compte pour tenter de se connecter. Créer votre propre compte administrateur avec d’autres identifiants.
- Modifiez l’adresse de connexion par défaut. Là aussi, étant la même pour tous les sites WordPress, c’est la première porte d’entrée que les pirates vont utiliser pour pénétrer votre site web, alors autant la dissimuler. « Custom Login URL » est un plugin qui vous permet de faire ceci simplement.
- Sécurisez la navigation dans les fichiers WordPress. Pour se faire, il faut effectuer quelques changements dans certains fichiers de WordPress. Il faut avoir un minimum de connaissances pour effectuer cette opération. Mais rassurez-vous, les développeurs de la communauté WordPress ont pensé à vous. Voici un petit plugin qui fera ces changements pour vous : « Hide my WordPress ».
- Une étape essentielle de la sécurisation de votre site WordPress est l’installation d’un plugin antivirus. Voici « Wordfence », il dispose d’une version gratuite complète qui offre une bonne protection. Il scanne automatiquement votre site à la recherche de failles et de malwares. Il propose également son propre pare-feu. Il est très réputé et apprécié par la communauté.
Malgré la très bonne qualité de « Wordfence », si vous souhaitez la meilleure protection, il faudra vous tourner vers « Sucuri » qui est la solution payante de protection de sites WordPress, la plus efficace du marché. Cette solution a un coût. C’est à vous de voir si vous êtes prêt à investir dans la meilleure protection. - Passez votre site wordpress en « https » si ce n’est pas encore le cas. Via un certificat SSL, il est possible d’ajouter une couche de sécurité permettant de crypter les données échangées sur le site web et d’authentifier l’identité de l’éditeur du site web et de l’éditeur du certificat.