WordPress est le CMS le plus populaire au monde. Et qui dit populaire, dit forcément cible privilégiée pour les pirates. Chaque année, ce sont plus de 4,7 millions de sites WordPress se font pirater.

Mais attention, cela ne veut pas dire que WordPress est un mauvais choix. Avec les bonnes pratiques, votre site peut être parfaitement sécurisé. Si vous gérez un blog ou un site WordPress, vous devez connaître les principales failles de sécurité pour mieux les prévenir.

Voici les failles de sécurité les plus courantes sur WordPress et comment les éviter :

1. Les plugins vulnérables ou obsolètes

Selon une étude récente, 97 % des failles WordPress sont causées par des plugins. Pourtant, seulement 30 % des utilisateurs activent les mises à jour automatiques.

Les plugins sont des outils formidables pour enrichir votre site. Mais quand ils ne sont pas mis à jour, ils deviennent des portes d’entrée idéales pour les hackers. Un plugin obsolète peut contenir des failles que les pirates exploitent pour s’introduire dans votre site.

Comment éviter ça ?

1.1. Mettez à jour tous vos plugins, thèmes et le noyau de WordPress

Les mises à jour corrigent souvent les vulnérabilités. Si vous gardez vos plugins, thèmes ou même le noyau de WordPress à jour, vous réduisez considérablement les risques.

Comment faire :

  • Pour WordPress : Allez dans Tableau de bord > Mises à jour. Suivez les indications pour installer la dernière version.
  • Pour les plugins : Rendez-vous dans Plugins > Plugins installés, puis cliquez sur “Mettre à jour” pour chacun d’eux.
  • Pour les thèmes : Allez dans Apparence > Thèmes, et faites de même.

Pour gagner du temps, vous pouvez activer les mises à jour automatiques. C’est simple :

  1. Allez dans Plugins > Plugins installés.
  2. Cochez tous les plugins et cliquez sur “Activer les mises à jour automatiques”.

1.2. Supprimez les plugins annulés et inutilisés

Les plugins annulés ou inutilisés représentent également un vrai danger pour votre site.

Les extensions qui ne reçoivent plus de mises à jour ni de correctifs de sécurité deviennent des points d’entrée faciles pour les pirates.

Comment faire ?

  1. Allez dans Plugins > Plugins installés.
  2. Désactivez et supprimez tous ceux que vous n’utilisez plus.

Prenez aussi le temps de faire un petit audit de vos plugins de temps en temps. Moins vous en avez, mieux c’est.

2. Les attaques par force brute

Près de 41 % des utilisateurs WordPress ne protègent pas leur site avec une authentification à deux facteurs ou un mot de passe fort.

Une attaque par force brute, c’est quand un pirate essaie de deviner votre mot de passe en testant des milliers (voire des millions) de combinaisons. Si votre mot de passe est trop simple, comme “Admin123”, les pirates n’auront aucun mal à le trouver.

Comment se protéger ?

2.1. Utilisez des mots de passe forts et activez l’authentification à deux facteurs (2FA)

Sécuriser votre site commence par un mot de passe solide. Les mots de passe générés automatiquement, combinés à l’authentification à deux facteurs (2FA), renforcent la protection. Avec le 2FA, même si quelqu’un devine votre mot de passe, il devra passer une seconde vérification, comme un code envoyé par SMS ou un courriel.

Conseils pratiques :

  • Évitez les mots de passe classiques comme « admin123 » ou « password ».
  • Créez un mot de passe complexe : mélangez majuscules, minuscules, chiffres et caractères spéciaux.
  • Changez vos mots de passe régulièrement (cPanel, FTP, WordPress Admin, etc.).
  • Activez le 2FA pour protéger les connexions à votre site.

Lire Aussi : 12 points à vérifier avant d’acheter un thème WordPress

2.2. Installez reCAPTCHA sur vos formulaires

Les robots adorent les formulaires pour envoyer du spam ou tenter des attaques par force brute. Avec reCAPTCHA, vous ajoutez une vérification supplémentaire qui garantit que l’utilisateur est humain avant de soumettre un formulaire ou se connecter.

Ajoutez reCAPTCHA à vos formulaires de connexion, d’inscription et de contact. Cela rend votre site plus sûr et évite bien des désagréments liés au spam.

2.3. Limitez les tentatives de connexion et cachez votre URL wp-admin

Limiter les tentatives de connexion est un moyen simple de bloquer les attaques par force brute. Par défaut, WordPress utilise l’URL « /votre-site/wp-admin », ce qui facilite la tâche des hackers. En changeant cette URL, vous ajoutez une barrière supplémentaire.

Conseils pratiques :

  • Limitez les tentatives de connexion : Par exemple, autorisez trois essais avant de bloquer temporairement l’utilisateur.
  • Modifiez l’URL wp-admin : Créez une URL unique et personnalisée, comme « /votre-site/acces-securise ».

2.4. Changez le nom d’utilisateur « Admin » par défaut

Utiliser « admin » comme nom d’utilisateur par défaut est une faille de sécurité évidente. Les pirates savent que c’est le choix le plus courant et peuvent facilement l’exploiter dans des attaques par force brute. En modifiant ce nom, vous compliquez la tâche des bots.

3. Une mauvaise gestion des rôles utilisateurs

En 2023, 12,9 % des failles WordPress étaient dues à un contrôle d’accès mal géré.

Sur WordPress, chaque utilisateur peut avoir un rôle : administrateur, éditeur, auteur, etc. Mais si ces rôles ne sont pas bien configurés, vous prenez des risques. Par exemple, donner trop de permissions à un rédacteur invité peut lui permettre de modifier des données sensibles, volontairement ou par erreur.

Les bonnes pratiques :

3.1. Définir correctement les rôles des utilisateurs

Attribuer les bons rôles à vos utilisateurs est essentiel pour limiter les risques et protéger votre site. Chaque utilisateur ne devrait avoir accès qu’à ce qui est nécessaire pour ses tâches.

Donner trop d’autorisations peut exposer votre site à des failles de sécurité. Par exemple, un rédacteur invité ne doit pas avoir les mêmes droits qu’un administrateur ou un gestionnaire de boutique WooCommerce.

Comment faire ?

  1. Allez dans Utilisateurs > Tous les utilisateurs dans le tableau de bord WordPress.
  2. Attribuez des rôles spécifiques à chaque utilisateur, comme « Auteur », « Contributeur » ou « Éditeur ».
  3. Vérifiez que chaque rôle dispose uniquement des accès nécessaires pour effectuer ses tâches.

Faites régulièrement un audit des rôles pour vous assurer qu’aucun utilisateur n’a plus de droits que nécessaire.

3.2. Déconnecter automatiquement les utilisateurs inactifs

Laisser des sessions ouvertes peut être une porte d’entrée pour les pirates. Une déconnexion automatique des utilisateurs inactifs réduit ce risque.
Des attaquants peuvent exploiter les sessions ouvertes sur des appareils laissés sans surveillance pour accéder à des informations sensibles ou pirater des comptes.

Comment faire ?

  1. Configurez un paramètre pour déconnecter automatiquement les utilisateurs après une période d’inactivité.
  2. Choisissez une durée raisonnable, par exemple 15 ou 30 minutes, en fonction des besoins de votre site.

Informez vos utilisateurs de cette mesure pour éviter toute confusion et améliorez l’expérience utilisateur.

4. Les attaques XSS (Cross-Site Scripting)

Les attaques XSS représentaient 53,3 % des failles WordPress découvertes en 2023.

Ces attaques permettent aux pirates d’injecter du code malveillant dans votre site. Ce code peut voler des informations sensibles comme les identifiants ou mots de passe des utilisateurs.

Comment se protéger ?

4.1. Installer un plugin de sécurité WordPress réputé

Un plugin de sécurité fiable est essentiel pour protéger votre site. Ces outils regroupent plusieurs fonctions de sécurité en un seul endroit, ce qui vous fait gagner du temps et simplifie la gestion.

Ils analysent et filtrent les activités suspectes, tout en protégeant contre les attaques courantes comme les DDoS et les logiciels malveillants.

Choisissez un plugin qui inclut :

  • Protection avancée : pare-feu, analyse de logiciels malveillants, blocage des IP malveillantes.
  • Sécurité des connexions : authentification à deux facteurs (2FA), gestion des rôles utilisateurs, limitation des tentatives de connexion.
  • Sauvegardes et restauration : pour rétablir rapidement le site en cas de problème.
  • Surveillance en temps réel : alertes pour détecter toute activité suspecte.
  • Filtres anti-spam : pour sécuriser vos zones sensibles comme les formulaires.

4.2. Désactiver les commentaires si vous ne pouvez pas les surveiller régulièrement

Si vous n’avez pas le temps de gérer les commentaires, il est préférable de les désactiver. Les sections de commentaires non surveillées deviennent rapidement des cibles pour les spams et les messages malveillants.

Les spams dans les commentaires peuvent nuire à la crédibilité de votre site et parfois contenir des liens dangereux qui compromettent la sécurité de vos visiteurs.

Comment faire ?

  1. Allez dans votre tableau de bord WordPress.
  2. Naviguez vers Réglages > Discussion.
  3. Décochez l’option “Autoriser les visiteurs à publier des commentaires”.

Si vous voulez garder les commentaires mais les contrôler, activez la modération des commentaires dans les mêmes paramètres.

Lire Aussi : Les secrets de la gestion efficace des commentaires sur WordPress

4.3. Désactiver l’édition de fichiers

En désactivant l’édition de fichiers dans WordPress, vous empêchez les pirates d’accéder ou de modifier vos fichiers critiques via l’interface d’administration.

Limiter cet accès ajoute une couche de sécurité si un intrus parvient à accéder à votre tableau de bord.

Comment faire ?

Ajoutez cette ligne de code dans votre fichier wp-config.php :

php
// Interdire l'édition de fichiers  
define('DISALLOW_FILE_EDIT', true); 

Cela empêche toute modification des fichiers directement depuis l’administration WordPress.

Vous pouvez aussi désactiver l’édition de fichiers sans toucher au code avec le plugin Sucuri Security.

4.4.  Désactiver l’indexation et la navigation dans les répertoires

Bloquer l’accès aux répertoires de votre site est une mesure simple mais efficace pour empêcher les pirates de découvrir vos fichiers sensibles.

Les répertoires non protégés peuvent révéler des informations sur votre site, comme des failles potentielles ou des fichiers confidentiels.

5. Les injections SQL

Environ 20 % des attaques sur WordPress exploitent les failles SQL, notamment sur les sites e-commerce.

Les injections SQL permettent aux pirates de manipuler votre base de données. Avec ce type d’attaque, ils peuvent voler des données sensibles ou même effacer des informations importantes.

Les solutions :

5.1. Utiliser un pare-feu (WAF)

Un pare-feu d’application web (WAF) est essentiel pour sécuriser votre site WordPress. Il bloque les connexions suspectes et empêche les pirates d’accéder à vos données sensibles.

Un WAF agit comme un bouclier en filtrant le trafic malveillant avant qu’il n’atteigne votre site. Cela réduit les risques de vol d’identifiants ou d’attaques courantes comme celles ciblant le XML-RPC.

Bonnes pratiques :

  • Activez un WAF pour analyser et bloquer le trafic dangereux.
  • Configurez-le pour filtrer les IP malveillantes et les botnets connus.
  • Désactivez XML-RPC si vous ne l’utilisez pas. C’est souvent une porte d’entrée pour les pirates.

5.2. Effectuer des sauvegardes régulières

Les sauvegardes sont votre meilleure garantie pour récupérer votre site en cas de problème. Avec une copie de secours récente, vous pourrez restaurer rapidement une version fonctionnelle de votre site.

Bonnes pratiques :

  • Automatiser les sauvegardes pour ne pas oublier de les faire. Une fréquence hebdomadaire est idéale.
  • Stocker vos sauvegardes dans plusieurs endroits : sur un cloud, un serveur externe ou un disque dur local.
  • Tester vos sauvegardes pour vérifier qu’elles fonctionnent correctement.

5.3. Utiliser des extensions fiables pour gérer vos formulaires et bases de données

Les formulaires et bases de données de votre site sont des cibles potentielles pour les pirates. Il est donc important de les gérer correctement pour éviter les fuites de données sensibles.

Les données personnelles des utilisateurs sont précieuses. Si un pirate parvient à accéder à votre base de données, il peut compromettre la sécurité de vos visiteurs et de votre site.

Bonnes pratiques :

  • Choisissez des extensions de formulaires et de gestion des bases de données bien établies, avec de bonnes critiques et des mises à jour régulières.
  • Assurez-vous que ces extensions offrent une protection contre les injections SQL et les attaques de type XSS (cross-site scripting).
  • Utilisez des outils de cryptage pour protéger les données sensibles, comme les mots de passe ou les informations bancaires.

6. Les attaques par phishing et CSRF

En 2023, 17 % des failles WordPress étaient liées à des attaques CSRF ou au phishing.

Ces attaques consistent à tromper les utilisateurs en leur présentant de fausses pages de connexion ou en manipulant leurs actions sur le site.

Comment les éviter ?

6.1. Installer un certificat SSL (HTTPS)

Installer un certificat SSL est essentiel pour sécuriser votre site et protéger les données des utilisateurs. Cela permet de passer facilement de HTTP à HTTPS, qui chiffre les échanges entre votre site et ses visiteurs.

Le HTTPS garantit que les informations personnelles, comme les mots de passe ou les coordonnées bancaires, sont protégées pendant les échanges avec votre site. Cela renforce la confiance des utilisateurs et améliore aussi votre référencement sur Google.

Bonnes pratiques :

  • Obtenez un certificat SSL auprès de votre hébergeur. Beaucoup l’incluent déjà dans leurs offres.
  • Pensez à le renouveler tous les ans, car il a une durée de vie limitée.
  • Utilisez des outils gratuits comme Let’s Encrypt pour ajouter un certificat SSL si votre hébergeur ne le propose pas.

6.2. Activez des alertes pour détecter les activités suspectes

La sécurité de votre site WordPress ne s’arrête pas à l’installation de plugins ou de certificats SSL. Il est important de détecter rapidement toute activité suspecte.

En étant alerté dès qu’une tentative d’intrusion ou un comportement inhabituel se produit, vous pouvez agir rapidement pour protéger votre site avant qu’il ne soit trop tard.

Bonnes pratiques :

  • Configurez des alertes pour surveiller les connexions suspectes, comme les tentatives de connexion échouées ou l’accès à des zones sensibles.
  • Utilisez des plugins de sécurité comme Wordfence ou Sucuri qui proposent cette fonctionnalité.

Lire Aussi : Les meilleurs page builders WordPress (Gratuits et Payants)

6.3. Sensibilisez vos utilisateurs et collaborateurs aux risques du phishing

Le phishing est l’une des menaces les plus courantes sur le web. Il consiste à tromper vos utilisateurs pour qu’ils divulguent des informations sensibles, comme leurs mots de passe ou données bancaires.

Même avec une sécurité en béton, si un utilisateur tombe dans un piège de phishing, votre site peut être compromis. Il est donc crucial de sensibiliser votre équipe et vos visiteurs à cette menace.

Bonnes pratiques :

  • Formez vos utilisateurs à reconnaître les emails et messages suspects.
  • Conseillez-leur de toujours vérifier l’adresse email de l’expéditeur, surtout s’ils sont invités à cliquer sur un lien ou à télécharger un fichier.
  • Utilisez des outils comme Google Safe Browsing ou SpamAssassin pour filtrer les emails de phishing.

Encouragez vos utilisateurs à utiliser des mots de passe forts et à ne jamais les partager par email. Cela réduit le risque d’attaques par phishing, car les pirates cherchent souvent à voler des identifiants via de fausses pages de connexion.

7. Les attaques DoS et DDoS

Les attaques DoS ou DDoS (déni de service) submergent vos serveurs avec des requêtes, rendant votre site inaccessible. Ce genre d’attaque peut faire perdre du trafic, voire des ventes, à votre site.

Les mesures à prendre :

7.1. Choisir un fournisseur d’hébergement sécurisé

Pour garantir la sécurité de votre site WordPress, il faut commencer par choisir un bon fournisseur d’hébergement. Un hébergeur fiable protège votre serveur, ce qui réduit les risques d’attaques et améliore la stabilité de votre site.

Votre hébergeur est la première ligne de défense contre les attaques. S’il ne prend pas la sécurité au sérieux, votre site sera vulnérable, peu importe les autres mesures de sécurité que vous avez mises en place.

Bonnes pratiques :

  • Lisez les avis en ligne pour connaître la réputation de l’hébergeur en matière de sécurité et de support client.
  • Choisissez un hébergeur avec des fonctionnalités comme des pare-feu, la protection contre les attaques DDoS, et des sauvegardes automatiques.
  • Assurez-vous que l’hébergeur offre un excellent temps de disponibilité (idéalement 99 %) et des serveurs performants pour garantir la fluidité de votre site.
  • Optez pour un tableau de bord simple et intuitif pour gérer facilement la sécurité de votre site.

7. 2. Installez un plugin de sécurité qui surveille et bloque les activités suspectes

Même avec un hébergeur sécurisé, il est primordial d’avoir une couche de protection supplémentaire. Un bon plugin de sécurité surveille en temps réel et bloque toute activité suspecte avant qu’elle n’atteigne votre site.

Les plugins de sécurité détectent rapidement les tentatives d’intrusion et préviennent les attaques avant qu’elles ne causent des dégâts. Ils vous permettent de réagir rapidement et de renforcer la protection de votre site.

Bonnes pratiques :

  • Choisissez un plugin qui offre une surveillance continue des tentatives de connexion et de la santé générale de votre site.
  • Configurez-le pour qu’il vous alerte dès qu’une activité suspecte est détectée.
  • Assurez-vous que le plugin offre également une protection contre les attaques par force brute et les malwares.

7.3. Ayez un plan de sauvegarde pour réagir vite en cas d’attaque

Nous l‘avons déjà mentionné, mais le fait de mettre en place un plan de sauvegarde fiable est important. Si votre site est compromis, pouvoir restaurer une version saine rapidement peut faire toute la différence.

Les sauvegardes régulières permettent de récupérer rapidement votre site en cas de problème. Cela vous aide à éviter les pertes de données et à limiter le temps d’indisponibilité de votre site.

Bonnes pratiques :

  • Automatisez les sauvegardes pour ne pas avoir à vous en soucier manuellement.
  • Conservez plusieurs copies des sauvegardes (locales et cloud) pour plus de sécurité.
  • Testez régulièrement vos sauvegardes pour vous assurer qu’elles sont bien fonctionnelles et que vous pourrez récupérer votre site en cas de besoin.

Pour protéger votre site des logiciels malveillants, effectuez des analyses régulières afin de repérer et supprimer tout code nuisible avant qu’il ne compromette vos données. Faites-le chaque semaine ou chaque mois et activez des alertes par e-mail pour être informé des menaces urgentes. Choisissez des thèmes et plugins fiables, et gardez votre base de données propre et à jour. Utilisez des outils comme SiteCheck de Sucuri, Wordfence Security pour analyser et optimiser votre site. Toutes ces bonnes pratiques vous aideront à maintenir votre site sécurisé et performant.

Que faire si votre site WordPress a été piraté ?

Si votre site WordPress a été piraté, voici ce que vous devez faire rapidement pour reprendre le contrôle et renforcer sa sécurité.

  1. Mettez votre site hors ligne : Mettez votre site en maintenance ou hors ligne pour stopper toute propagation de malwares et protéger les données de vos visiteurs.
  2. Changez tous les mots de passe : Mettez à jour tous vos mots de passe (administrateur WordPress, hébergement, FTP, base de données, et email). Utilisez des mots de passe solides et uniques.
  3. Contactez votre hébergeur : Prévenez votre hébergeur. Beaucoup offrent de l’aide pour les sites piratés. Ils pourront vérifier des points importants comme l’accès à l’admin, les redirections suspectes ou les alertes de Google.
  4. Cherchez les malwares : Installez un plugin de sécurité comme Wordfence ou Sucuri pour analyser votre site. Ils trouveront les fichiers infectés et vous diront d’où vient l’attaque.
  5. Restaurer une sauvegarde propre : Si vous avez une sauvegarde récente, restaurez-la. Assurez-vous qu’elle soit d’avant l’attaque pour éviter de réintroduire des fichiers malveillants.
  6. Faites appel à un expert : Si vous avez du mal à nettoyer votre site, contactez un expert en sécurité WordPress.

Vous avez maintenant toutes les clés pour sécuriser votre site WordPress et réagir rapidement en cas de problème.