16 indices qui laissent penser que votre WordPress court le risque d’être hacké

Rédigé par petitetremalfaisant - - Aucun commentaire

Site d'origine : https://wpformation.com/wordpress-risque-hacke/

En matière de sécurité informatique, la meilleure solution contre les intrusions extérieures est rarement celle qui domine le marché.

Alors qu’il propulse 32% des sites mondiaux, WordPress en est le parfait exemple. Malgré son succès, ce CMS présente quelques petites failles qui peuvent mettre en danger vos investissements numériques. Si la sécurité de ce gestionnaire de contenus peut être considérablement améliorée, dans les faits, c’est rarement le cas.

Voici 16 indices qui vous aideront à savoir si votre site WordPress est susceptible de tomber entre des mains malveillantes et à trouver les solutions qui vous permettent de réduire ces risques. Sans offrir un niveau de sécurité totale, leur mise en oeuvre est dissuasive. Elle vous met à l’abri des assauts des hackers juniors qui suivent des “recettes de cuisine” faciles d’accès sur le darknet, ainsi que des tentatives des pirates malveillants qui privilégient la prise rapide à l’aide d’outils automatisés.

Avant de vous lancer dans la sécurisation de votre site web, pensez toujours à faire une sauvegarde complète de votre site.

hack WordPress

Sécurité des comptes administrateurs

Indice 1 : Vous utilisez l’identifiant “admin”

Lors de l’installation de votre site, WordPress propose en standard de créer le compte administrateur avec l’identifiant “admin”. En le conservant, vous facilitez les tentatives d’intrusion en “Brute Force” puisque le pirate informatique va paramétrer ses outils automatiques avec le login standard et lancer des milliers de tentatives pour cracker votre mot de passe.

Solution : Créez un nouvel utilisateur avec les droits d’administrateur qui aura un identifiant unique difficile à trouver, incluant des caractères spéciaux. Une fois cet utilisateur correctement paramétré, supprimez l’utilisateur “admin” en choisissant de transférer tous les contenus qui lui sont rattachés au nouveau compte.

Indice 2 : Votre compte admin possède l’ID 1

Par défaut, le compte d’administrateur WordPress possède l’ID 1. En le conservant, la tâche des attaquants malveillants est considérablement simplifiée puisqu’il leur suffit de faire la requête https://monsite.fr/?author=1 pour identifier le nom d’utilisateur de l’administrateur WordPress.

Solution : Elle est identique à celle du risque 1. Si elle a déjà été déployée, il est inutile de le faire de nouveau.

Indice 3 : Tous vos utilisateurs ont des droits administrateurs

Lors de la formation de l’équipe de gestion et d’animation d’un site, il est fréquent de constater que l’ensemble des membres ont été dotés de droits administrateurs. Cette pratique contribue à augmenter de façon exponentielle les risques d’intrusion malveillante sur votre site, puisqu’il suffit que le compte mail d’un de vos administrateurs soit compromis pour qu’un hacker puisse prendre le contrôle de votre site.

Solution : Passez en revue pour chaque utilisateur ses besoins réels et ajustez ses droits en fonction. S’il s’agit d’auteurs du blog ou de responsables éditoriaux, les droits “auteurs” ou “éditeur” sont parfaitement adaptés à leurs besoins. Si un membre de l’équipe n’intervient plus – temporairement ou définitivement-, attribuez lui des droits “abonnés”.

Indice 4 : Utilisation de son email administrateur comme destinataire des formulaires de contact

Lors de l’identification WordPress , l’adresse email rattachée à son compte peut-être utilisée comme identifiant. Si vous utilisez l’adresse email de votre compte administration comme destinataire de vos formulaires de contact, vous créez une vulnérabilité susceptible d’être mise à profit par une personne malintentionnée.

Solution : Différenciez les adresses que vous utilisez pour votre marketing et pour votre sécurité. Pour ce faire, différentes techniques existent. L’une des plus simples pour les personnes qui ne souhaitent pas gérer plusieurs comptes est de créer une adresse email en alias ou en redirection. Cela vous permettra de recevoir tous vos courriels dans le même compte, tout en bénéficiant d’adresses différentes.

Indice 5 : Votre Login est affiché publiquement

Dans son paramétrage standard de l’affichage des informations utilisateurs, WordPress prévoit d’afficher publiquement l’identifiant du compte. Un choix des développeurs du CMS qui se révèle être désastreux en terme de sécurité.

Solution : Modifiez dans chaque compte, et en priorité dans les comptes administrateurs, le Nom à afficher publiquement. Attention, assurez vous que la nouvelle option choisie est bien différente.

Procédures d’identification standards

Indice 6 : Votre page d’identification est encore wp-login.php

L’accès normalisé à l’identification de l’administration de WordPress s’effectue par la page wp-login.php. Cette page donne accès au formulaire de connexion au backend de votre site. Elle conservant l’url par défaut, les pirates informatiques sont en mesure de rapidement trouver l’emplacement des “serrures” d’accès à l’ensemble des fonctionnalités de votre site.

Solution : Installez un plugin qui permet de changer l’url de la page d’identification comme, par exemple, l’excellente extension WPS Hide Login.

Indice 7 : Vous ne limitez pas le nombre de tentatives d’accès

Le principe des attaques par Brute Force est de tester une à une les différentes combinaisons possibles pour trouver un mot de passe. En ne limitant pas le nombre de tentatives d’accès, vous donnez la possibilité à la personne qui souhaite s’introduire frauduleusement sur votre site de le faire.

Solution : De nombreuses extensions WordPress aident à lutter contre les attaques par Brute Force. Certaines se contentent de limiter les possibilités d’accès (Ex. : WPS Limit Login), tandis que d’autres proposent également d’introduire des procédures alternatives d’authentification (ex. Loginizer Security).

Sûreté de votre base de données

Indice 8: Les tables de votre base de données utilisent le préfixe “wp_”

Lors de son installation standard, WordPress propose par défaut le préfixe “wp_” au moment de créer des tables de votre base de données. Connu de tous, ce préfixe créé une vulnérabilité en cas d’injection.

Solution : Le plugin Brozzme DB Prefix vous permet de modifier simplement et rapidement le préfixe des tables d’une base de données WordPress.

Vulnérabilités des fichiers critiques sur votre serveur

Indice 9 : Le fichier wp-config.php n’est pas sécurisé

Le fichier wp-config.php recense les informations confidentielles cruciales au fonctionnement de WordPress . Il contient en particulier les informations d’accès à votre base de données ainsi que les clés de chiffrement des cookies. Lors de l’installation de WordPress , ce fichier n’est pas correctement sécurisé.

Solution : Pour sécuriser votre fichier wp-config.php, vous devez entreprendre 4 actions spécifiques. La première est de spécifier des clés SALT générées aléatoirement pour votre site en cliquant sur ce lien. La seconde est de déplacer le fichier wp-config.php pour le placer dans un niveau de dossier supérieur. La troisième est de bloquer dans votre fichier .htaccess l’accès au fichier. Pour ce faire, ajoutez la ligne suivante <Files wp-config.php> order allow,deny deny from all </Files>. Enfin, spécifiez des droits d’accès restreints au fichier en leur donnant les permissions 644.

Indice 10 : Le fichier .htaccess n’est pas sécurisé

Grâce à des instructions de configuration spécifiques aux serveurs Apache, le fichier .htaccess permet de gérer différentes modalités d’accès au contenu de votre WordPress. Il est donc crucial de le sécuriser correctement.

Solution : Le fichier .htaccess a pour caractéristique de pouvoir contenir des instructions qui le protègent. En ajoutant la ligne <files wp-config.php> order allow,deny deny from all </files> à votre fichier, vous le rendez inaccessible via un simple navigateur. Une fois le fichier modifié, modifiez ses droits d’accès CHMOD à 644.

Version de WordPress et mises à jour

Indice 11 : Votre site affiche la version de WordPress

WordPress est un CMS Open-Source développé par des milliers de personnes. Conséquence : les vulnérabilités de chaque version sont publiques et disponibles à la communauté. En affichant la version de votre WordPress, vous permettez aux pirates d’identifier en quelques secondes les techniques d’intrusion qui ont la meilleure probabilité de réussir.

Solution : Supprimez de votre serveur le fichier readme.html et masquez l’affichage de la version de WordPress en ajoutant au fichier function.php la ligne de code suivante: remove_action(“wp_head”, “wp_generator”);

Indice 12 : Votre WordPress n’est pas à jour

Chaque nouvelle mise à jour de WordPress corrige de nouvelles failles de sécurité et des bugs. En omettant de mettre à jour votre gestionnaire de contenus, vous augmentez le nombre de points vulnérables de votre site.

Solution : Procédez à une sauvegarde de votre site et lancez sa mise à jour. Afin de limiter vos interventions, vous pouvez en outre activer la mise à jour automatique de votre WordPress. Nous vous conseillons toutefois d’activer uniquement les mises à jour mineures, qui présentent peu de risques de compatibilité avec la configuration de votre site.

Indice 13 : Vos extensions ne sont pas à jour

Les extensions que vous ajoutez à votre WordPress pour augmenter ses fonctionnalités sont porteuses de nouvelles vulnérabilités. Des risques d’injections XSS ou SQL à la modification des privilèges, ils peuvent mettre en péril la sécurité de votre site. Pour limiter les risques qu’ils représentent, il est indispensable de régulièrement les mettre à jour.

Solution : Allez sur l’interface d’administration des extensions dans WordPress et faites le point sur l’ensemble des extensions installées.

Recherchez dans un premier temps, les plugins qui n’ont pas été mis à jour depuis un certain temps. Ils sont simples à identifier grâce au message d’alerte sur fond orange similaire à “Cette extension n’a pas été testée avec plus de trois mises à jour majeures de WordPress. Elle peut ne plus être maintenue ou supportée et peut avoir des problèmes de compatibilité lorsqu’elle est utilisée avec des versions de WordPress plus récentes.”. Désactivez ces extensions et supprimez les.

Identifiez grâce à leur fond blanc toutes les extensions qui ne sont pas activées. Supprimez toutes celles que vous ne prévoyez pas d’utiliser dans les jours à venir.

Si une extension nécessite une licence, vous allez devoir décider entre la souscription à un abonnement et la désinstallation. Il est imprudent d’utiliser un plug-in qui ne peut être aisément mis à jour.

D’une façon générale, posez vous la question sur l’utilité réelle d’une fonctionnalité. Si elle ne vous rend pas réellement service ou que les résultats escomptés ne sont pas au rendez-vous, vous pouvez vous en passer.

Une fois votre audit réalisé et le nombre d’extensions activées réduit, mettez à jour l’ensemble des extensions.

Votre thème et sa mise à jour

Indice 14 : Vous utilisez un thème gratuit téléchargé sur le net

La mise à disposition gratuite de thèmes est une technique fréquemment employée par les pirates informatiques pour tromper les internautes. En dehors des thèmes développés par WordPress, nous vous conseillons de vous méfier des thèmes proposés gratuitement et, en particulier, des thèmes proposés dans l’installateur de thèmes.

Solution : Passez sur un thème standard de WordPress, le thème gratuit proposé par un prestataire réputé ou achetez la licence d’un thème premium et installez-le.

Indice 15 : Votre thème n’est pas mis à jour

Les thèmes peuvent contenir des failles de sécurité. Leur mise à jour est nécessaire.

Solution : Mettez à jour votre thème en vous assurant que vous avez bien localisé toutes vos personnalisations dans un thème enfant.

Indice 16 : Des thèmes inactifs sont installés

Lors de la création de votre site, vous avez testé différents thèmes sans les supprimer. Même inactif, un thème peut offrir une porte d’entrée à une personne malveillante. Il faut les supprimer.

Solution : Supprimez tous les thèmes que vous n’utilisez pas. Il sont situés dans le dossier Themes (wp-content/themes/).

En conclusion !

Si certaines des solutions sont simples à mettre en oeuvre, d’autres nécessitent de solides bases techniques.

Sachez que certaines solutions intégrées de sécurisation des sites WordPress (Cf: l’hébergeur spécialisé WordPress WPServeur) permettent de gérer ces différents aspects de la sécurité de votre WordPress et bien plus encore. Il est fortement conseillé d’y avoir recours, notamment si votre site web constitue votre principal fond de commerce !

N’oubliez pas de consulter notre article 15 mesures de sécurité essentielles pour votre WordPress et notre guide WordPress pour les nuls.

16 indices qui laissent penser que votre WordPress court le risque d’être hacké
4.3 pour 6 votes
newsletter WPF

Ne manquez plus rien!

Abonnez-vous dès maintenant aux infos de WP Formation et recevez chaque mois, le tout meilleur de WordPress : news, tutos, plugins, thèmes, alertes...

Votre abonnement est pris en compte, merci de le confirmer en vérifiant vos emails !

Les commentaires sont fermés.