Le monde de l’internet peut être cruel et la vie d’un site est souvent semée d’embuches. Vous êtes fier propriétaire d’un site WordPress et vous vous apercevez que vos résultats de recherche Google s’affichent en Japonais ou que votre site redirige vers un autre.
Votre site a malheureusement été piraté et il va falloir apprendre de vos erreurs pour effectuer sa sécurisation.
Bien souvent des entreprises nous appellent car leur site WordPress a subi un piratage. Dans le meilleur des cas c’est l’administrateur du site qui s’en rend compte et dans le pire, l’un de leur client. Cela nuit considérablement à leur image de marque et il faut être très réactif pour remettre le site en place.
Voyons plus en détails ce qui motive les pirates à effectuer ces pratiques et comment s’en protéger.
Au sommaire
Pourquoi WordPress est la cible de piratages ?
> Un CMS populaire qui fait tourner 1/3 des sites mondiaux
On peut dire que WordPress est victime de son succès. WordPress c’est 1/3 des sites mondiaux. Lorsqu’une personne est mal intentionnée, elle va vouloir rentabiliser le temps passé à trouver les failles de sécurité en touchant le maximum de monde, à moindre frais. De la même manière, ce n’est qu’à partir du moment où Apple a commencé à avoir des parts de marché importantes dans le domaine de l’informatique, que les virus sont apparus sur Mac. Hasard ?
Les pirates exploitent donc des failles de sécurité répertoriées en cherchant sur Google des footprint (empruntes digitales) de sites potentiellement vulnérables. Les attaques sont donc très peu souvent ciblées sur un site en particulier (par un concurrent ou autre), mais font partie d’un ensemble de sites comportant une caractéristique particulière (version d’un plugin, ou du cœur de WordPress…).
> Des développeurs de modules peu attentifs à la sécurité
WordPress dispose d’un immense catalogue de plugins ou modules complémentaires qui peuvent être installés très simplement. Qu’ils soient payants ou gratuits, ces modules peuvent comporter des failles de sécurité. Les développeurs de modules ne sont souvent pas formés à la sécurité ou au piratage « éthique ». Il arrive donc très souvent qu’ils laissent traîner des failles de sécurité dans leur création.
> Des webmasters qui utilisent trop de modules
Chaque module installé sur un site internet WordPress est une faille de sécurité potentielle. Nous voyons beaucoup trop de sites qui comportent plus de 20 modules WordPress, la plupart sans intérêt et / ou désactivés. C’est souvent une solution de simplicité pour le créateur du site internet qui va télécharger et installer un module pour éviter de développer la fonctionnalité, par manque de temps ou pour se simplifier la tâche.
L’intérêt de pirater un site wordpress
Vous vous en doutez, l’intérêt est avant tout commercial. Une fois la faille de sécurité trouvée, les pirates vont placer dans votre site internet des bouts de code leur permettant de prendre le contrôle de votre site internet. Il vont en placer un peu partout dans l’arborescence de fichiers sur le FTP afin de laisser des portes dérobées (backdoor) et pouvoir revenir un peu plus tard.
Le but du pirate peut-être multiple :
– Rediriger vos internautes vers des pages contenant de la publicité afin de gagner de l’argent grâce à votre trafic durement acquis via votre référencement naturel.
– Mettre en place dans vos articles des liens vers d’autres sites internet pour positionner ces derniers sur les moteurs de recherches
– Utiliser les ressources du serveur pour envoyer des centaines de milliers d’emails de phishing ou miner des crypto-monnaies
Sympa non ?
10 conseils pour sécuriser un site WordPress :
> Utilisez uniquement les fonctions dont vous avez besoin
Votre site internet utilise un thème payant générique qui a été installé avec ses 20 modules incorporés dans la démonstration, mais vous utilisez que le blog. Pensez donc à désactiver tous les modules dont vous ne vous servez pas. Vous gagnerez en sécurité et en performance !
> Mettez à jour WordPress et les plugins
Des dizaines de nouvelles failles de sécurité sont recensées chaque mois sur des sites spécialisés de vulnérabilités WordPress. C’est un immense terrain de jeu pour les pirates qui disposent tous les jours de nouveaux outils pour mettre à mal nos sites internet. Les personnes (bienveillantes) qui signalent les failles de sécurité font souvent un rapport aux développeurs (de WordPress ou des modules en question) pour leur laisser le temps de corriger la faille et de proposer une mise à jour. Il convient donc de mettre à niveau très régulièrement l’ensemble des plugins et de WordPress pour bénéficier des dernières améliorations en termes de sécurité.
> Création d’un thème enfant pour mettre à jour le thème
Votre thème va devoir être mis à jour tout au long de la vie de votre site internet. Les créateurs de thèmes les mettent régulièrement à jour afin d’ajouter de nouvelles fonctionnalités ou effectuer des corrections (bugs, améliorations ou corrections de failles de sécurité). La bonne pratique sur WordPress est de créer un thème enfant (Child theme) afin de laisser le thème parent indemne de toute modification. En effet l’intérêt du thème enfant est de surcharger les modifications de personnalisation du thème dans un dossier séparé en ne touchant pas au thème parent. De cette manière, nous sommes libres de faire les mises à jour du thème parent en toute sécurité sans risquer de perdre les modifications effectuées.
> Effectuez les bons réglages
Désactivez systématiquement l’inscription utilisateurs (à part si c’est une fonctionnalité nécessaire au bon fonctionnement de votre WordPress bien entendu). Pour cela, rendez-vous dans l’onglet Réglages > Général et décochez la case « Tout le monde peut s’enregistrer »
Les commentaires peuvent être une source de piratage ou du moins de nuisance. Nous vous conseillons de les modérer systématiquement en cochant la case « Le commentaire doit être approuvé manuellement » dans l’onglet Réglages > Discussion. Il faut aussi systématiquement ajouter un captcha (nous conseillons Google reCaptcha) dans la gestion des commentaires WordPress.
> Installez des plugins de sécurité
Nous vous conseillons d’installer à minima le plugin Wordfence Security qui va vous permettre d’installer un firewall sur votre site WordPress et d’effectuer des scan de vos fichiers pour détecter des potentielles intrusions ou modifications de fichiers.
Un autre plugin interessant est le plugin iThemeSecurity qui vous offrira une protection supplémentaire sur votre site WordPress.
> Effectuez des sauvegardes régulières
On ne le dira jamais assez, sauvegardez vos fichiers ! Que ce soit de manière automatique ou manuelle (non recommandé car on a toujours quelque chose de plus important à faire), effectuez régulièrement des sauvegardes de l’intégralité de vos fichiers sur le FTP et de la base de données. Cela vous permettra de restaurer une copie « saine » de votre site si jamais le pirate a décidé d’endommager votre site internet. Plusieurs plugins permettent d’effectuer des sauvegardes mais ils surchargent le serveur la plupart du temps. Certains hébergeurs comme OVH s’occupent de sauvegardes automatiques. Si vous avez un serveur dédié, renseignez-vous auprès de la personne en charge de l’info-gérance pour savoir si ce type de sauvegarde a bien été mis en place.
> Utilisez les bonnes permissions d’accès au fichier
Bannissez les permissions de fichiers en 777 de vos habitudes. Les laisser serait comme dire aux pirates « Venez c’est open bar, éclatez-vous ». L’idéal est de laisser votre serveur web écrire uniquement dans les répertoires wp-content/upload et wp-content/plugins. Vous utiliserez WP-CLI pour effectuer les mises à jours du coeur de WordPress en SSH. De cette manière si faille de sécurité il y a, les pirates ne pourront pas laisser de fichiers autre part que dans ces deux dossiers. Ça limite la casse !
> Modifiez le préfixe de votre base de donnée
Le préfixe de base de donnée de WordPress est par défaut wp_ . Énormément de développeurs ne prennent pas la peine de le changer alors que l’option est disponible dès l’installation du site. Il est donc très facile pour un pirate de connaître le nom de chaque table de la base de données et d’effectuer des requêtes SQL (d’ajout d’un administrateur par exemple) si il a trouvé une faille de sécurité permettant d’envoyer des requêtes depuis votre site internet. Il faut donc changer systématiquement le préfixe par défaut de vos bases de données WordPress.
> Changez le login « admin » par défaut
Laisser le login « admin » par défaut c’est donner au pirate la moitié des informations dont il a besoin pour se connecter à votre administration. Il n’aura plus qu’à utiliser des dictionnaires de milliers de mots et essayer toutes les combinaisons de mot de passe possibles pour réussir à se connecter. Pensez donc bien à mettre autre chose que le mot “admin” en tant que login.
> Ne JAMAIS installer de version « nulled »
Quand c’est gratuit c’est vous le produit
Les versions pouvant être téléchargées illégalement sont à 90% truffées de spyware, de virus ou de failles de sécurité. N’économisez pas sur l’achat de vos plugins WordPress, sans quoi vous vous exposez à d’énormes soucis de sécurité.
Mon site wordpress a été piraté ! Au secours !
Toutes nos condoléances… mais tout va bien se passer.
La première chose à faire dans le cas d’un piratage est de procéder à la mise à jour de tout le site. Connectez-vous à l’administration si elle est toujours accessible et mettez à jour WordPress et les plugins un par un. Cela va dans un premier temps supprimer les plugins potentiellement attaqués pour les remplacer par des versions propres et à jour.
Dans un deuxième temps procédez à un scan de l’intégralité du site. Nous utilisons pour cela le plugin gratuit Wordfence. Après son installation, dirigez-vous vers l’outil de scan et effectuez le nettoyage des fichiers signalés.
Vérifiez qu’aucun administrateur n’a été créé sur votre site internet et changez immédiatement tous les mots de passe (administrateurs, base de donnée, FTP).
Si c’est vraiment la catastrophe et que le pirate a effacé du contenu, restaurez une sauvegarde de votre site internet.
N’hésitez pas à nous contacter pour toute intervention de remise en route de votre site internet WordPress suite à un piratage. Nous saurons vous aiguiller pour sa remise en place rapide.
Une question ?
Nos experts se tiennent à votre disposition pour parler de votre projet.