Principales raisons pour lesquelles les sites WordPress se font pirater (et comment le prévenir)

On nous demande régulièrement pourquoi les sites WordPress sont piratés.

Dans cet article, nous allons décrire les principales raisons pour lesquelles votre gestionnaire de contenu a été piraté afin que vous puissiez éviter certaines erreurs et protéger votre site. 

Pourquoi WordPress est-il ciblé par les pirates ?

Tout d’abord, il n’y a pas que WordPress. Tous les sites Web sur Internet sont vulnérables aux tentatives de piratage.

La raison pour laquelle les sites WordPress sont une cible commune est qu’il est le constructeur de sites Web le plus populaire au monde. Selon W3Techs, WordPress fait tourner 33.6% de tous les sites web sur Internet, ce qui représente des centaines de millions de sites Web à travers le monde. Cette immense popularité offre aux pirates un moyen facile de trouver des sites Web moins sécurisés, afin de les exploiter.  

Les hackers sont animés par différentes motivations, certains ne sont que des débutants qui apprennent à exploiter des sites moins sécurisés. Les pirates informatiques sont généralement des personnes malintentionnées qui distribuent des logiciels malveillants, détournent les ressources d’hébergement d’un site afin d’en attaquer d'autres ou encore pour l'envoi de spams par Internet.  

Cela dit, examinons quelques-unes des principales causes de piratage des sites WordPress et comment empêcher votre site Web d’être piraté.

 1. Hébergement Web non sécurisé

Comme tous les sites internet, les sites WordPress sont hébergés sur un serveur Web. Certaines sociétés d'hébergement négligent la sécurité de leur plate-forme d'hébergement. C’est notamment souvent le cas pour les hébergeurs gratuits, illimités ou à bas coût. 

Cela peut être facilement évité en choisissant le meilleur fournisseur d'hébergement professionnel pour votre site internet. Madagascar Internet garantit que votre site est hébergé sur une plate-forme sécurisée avec des serveurs correctement configurés et pouvant bloquer la plupart des attaques les plus courantes sur les sites WordPress. 

2. Utiliser des mots de passe faibles.

Les mots de passe sont les clés de votre site WordPress. Vous devez vous assurer que vous utilisez un mot de passe unique fort pour chacun des comptes suivants, car ils peuvent tous fournir à un pirate un accès complet à votre site Web.

  • Votre compte d'administrateur WordPress
  • Compte du panneau de contrôle de l'hébergement Web cPanel
  • Comptes FTP
  • Base de données MySQL utilisée pour votre site WordPress
  • Comptes de messagerie utilisés pour un compte d'administrateur ou d'hébergement WordPress

Tous ces comptes sont protégés par des mots de passe. L'utilisation de mots de passe faibles permet aux pirates informatiques de casser les mots de passe plus facilement à l'aide d'outils de piratage de base.

Vous pouvez facilement éviter cela en utilisant des mots de passe uniques et forts pour chaque compte. Consultez notre guide sur la meilleure façon de gérer les mots de passe pour les débutants dans WordPress pour apprendre à gérer tous ces mots de passe forts.

3. Accès non protégé à WordPress Admin (répertoire wp-admin)

La zone d'administration de WordPress permet à un utilisateur d'accéder à différentes actions sur votre site WordPress. C'est également la zone la plus attaquée d'un site WordPress. Le laisser sans protection permet aux pirates d’essayer différentes approches pour casser votre site Web. Vous pouvez leur rendre la tâche difficile en ajoutant des couches d'authentification à votre répertoire d'administrateur WordPress.

Tout d’abord, vous devez protéger votre zone d’administration WordPress avec un mot de passe. Cela ajoute une couche de sécurité supplémentaire, et toute personne essayant d'accéder à l'administrateur WordPress devra fournir un mot de passe supplémentaire.

Si vous exécutez un site WordPress multi-auteur ou multi-utilisateur, vous pouvez appliquer des mots de passe forts à tous les utilisateurs de votre site. Vous pouvez également ajouter une authentification à deux facteurs pour rendre encore plus difficile l’accès des pirates informatiques à votre zone d’administration WordPress. 

4. Autorisations de fichier incorrectes

Les autorisations de fichier sont un ensemble de règles utilisées par votre serveur Web. Ces autorisations aident votre serveur Web à contrôler l'accès aux fichiers de votre site. Des autorisations de fichier incorrectes peuvent donner à un pirate un accès en écriture et en modification à ces fichiers. 

Tous vos fichiers WordPress doivent avoir une valeur de 644 en tant qu'autorisation de fichier. Tous les dossiers de votre site WordPress doivent avoir l'autorisation 755 comme fichier.

5. Ne pas mettre à jour WordPress

Certains utilisateurs de WordPress ont peur de mettre à jour leurs sites WordPress, craignant que cela ne dégrade le fonctionnement leur site web. Chaque nouvelle version de WordPress corrige des bugs et des vulnérabilités de sécurité. Si vous ne mettez pas à jour WordPress, vous laissez intentionnellement votre site vulnérable.

 Si vous craignez qu'une mise à jour ne casse votre site Web, vous pouvez créer une sauvegarde WordPress complète avant de lancer une mise à jour. De cette façon, si quelque chose ne fonctionne pas, vous pouvez facilement revenir à la version précédente.

 Nous disposons de développeurs expérimentés pour vous assister.

 6. Pas de mise à jour de plugins ou de thèmes

Tout comme le logiciel WordPress principal, la mise à jour de votre thème et de vos plugins est également importante. L'utilisation d'un plugin ou d'un thème obsolète peut rendre votre site vulnérable. 

Des failles et des bugs de sécurité sont souvent découverts dans les plugins et les thèmes WordPress. Habituellement, les auteurs de thèmes et de plugins les corrigent rapidement. Cependant, si un utilisateur ne met pas à jour son thème ou son plug-in, il ne peut rien y faire. 

Assurez-vous de garder votre thème WordPress et vos plugins à jour.

7. Utiliser Plain FTP au lieu de SFTP / SSH

Les comptes FTP sont utilisés pour télécharger des fichiers sur votre serveur Web à l'aide d'un client FTP. La plupart des hébergeurs prennent en charge les connexions FTP utilisant différents protocoles. Vous pouvez vous connecter via un simple FTP, SFTP ou SSH.

Lorsque vous vous connectez à votre site à l'aide d'un simple FTP, votre mot de passe est envoyé au serveur sans chiffrement. Il peut être espionné et facilement volé. Au lieu d'utiliser FTP, vous devriez toujours utiliser SFTP ou SSH.

Vous n’auriez pas besoin de changer votre client FTP. La plupart des clients FTP peuvent se connecter à votre site Web à la fois via SFTP et SSH. Il vous suffit de changer le protocole en «SFTP - SSH» lors de la connexion à votre site Web. Vous pouvez aussi utiliser le gestionnaire de fichiers disponible dans votre cPanel. Il s’agit d’un outil puissant et intuitif qui a la particularité de proposer une fonction de compression / décompression (Zip / unzip) sur le serveur. 

8. Utiliser Admin comme nom d'utilisateur WordPress

L'utilisation de « admin » comme nom d'utilisateur WordPress n'est pas recommandée. Si votre nom d'utilisateur administrateur est admin, vous devez immédiatement le remplacer par un autre nom d'utilisateur.                    

9. Thèmes et plugins obsolètes

De nombreux sites sur Internet distribuent gratuitement des plugins et des thèmes WordPress payants. Parfois, il est facile de se laisser tenter par l’utilisation de ces plugins et thèmes gratuits pour votre site.

Télécharger des thèmes et des plugins WordPress à partir de sources peu fiables est très dangereux. Non seulement ils peuvent compromettre la sécurité de votre site Web, mais ils peuvent également être utilisés pour voler des informations sensibles. 

Vous devez toujours télécharger les plugins et les thèmes WordPress à partir de sources fiables telles que le site Web des développeurs de plugins / thèmes ou les référentiels WordPress officiels.

Si vous ne pouvez pas vous le permettre ou si vous ne voulez pas acheter un plugin ou un thème premium, il existe toujours des alternatives gratuites pour ces produits. Ces plugins gratuits ne sont peut-être pas aussi performants que leurs homologues payants, mais ils feront le travail et, plus important encore, protégeront votre site Web.

10. Pas de sécurisation de la configuration de WordPress dans le fichier wp-config.php

Le fichier de configuration WordPress wp-config.php contient vos informations de connexion à la base de données WordPress. S'il est compromis, il révélera des informations susceptibles de donner à un pirate informatique un accès complet à votre site Web. 

Vous pouvez ajouter une couche de protection supplémentaire en refusant l'accès au fichier wp-config à l'aide de .htaccess. Ajoutez simplement ce petit code à votre fichier .htaccess.

1 <files wp-config.php>
2 order allow,deny
3 deny from all
4 </files>



11. Ne pas changer le préfixe de table WordPress

De nombreux experts recommandent de modifier le préfixe de table WordPress par défaut. Par défaut, WordPress utilise wp_ comme préfixe pour les tables créées dans votre base de données. Vous obtenez une option pour le changer lors de l'installation.

Il est recommandé d'utiliser un préfixe un peu plus compliqué. Cela rendra plus difficile pour les pirates informatiques de deviner les noms de vos tables de base de données.

 Nettoyer un site WordPress piraté

Nettoyer un site WordPress piraté peut être très pénible et nécessitera l’intervention d’un professionnel.

 

 

 

  • Email, SSL
  • 1 Users Found This Useful
Was this answer helpful?