securite-wordpress-wpline

Sécurité WordPress

N’attendez pas que votre site soit attaqué pour penser sécurité

La sécurité wordpress est une affaire d’experts qui interviennent en préventif pour protéger votre site web et en curatif après une attaque. Nos services répondent aussi bien à ceux qui souhaitent protéger leur site des attaques, mais également à ceux dont le site a été la cible d’une attaque. Il ne faut jamais faire l’impasse sur la sécurité lorsqu’on utilise un cms, et encore moins lorsqu’on utilise le plus célèbre d’entre eux …

Audit de sécurité

N'attendez pas que le pire arrive. Notre audit de sécurité détecte toutes les failles de sécurité de votre site et vous propose des solutions pour les éliminer

Nettoyage d'un site piraté

Vous avez trop attendu et le pire est arrivé! N'aggravez pas la situation en effectuent des manipulations non maîtrisées. Prenez rapidement contact avec nous.

100% de réussite

Tous les sites infectés par des codes malveillants que nous avons pris en charge ont été sauvés. Nous effectuons un mois de suivi des sites décontaminés.

WordPress sécurité

En terme de sécurité wordpress, nous pouvons vous aider à mettre en place toutes les bonnes pratiques de sécurité informatique qui décourageront bien souvent un pirate de s'en prendre à votre site internet. En général, les sites sont la proie de tentatives d'attaque d'équipes organisées qui se livrent au piratage de sites pour générer des revenus. Ils ont une approche quantitative et vont le plus souvent au plus simple pour pirater un site en exploitant des vulnérabilités simples. Mettre en place des protections simples de cybersécurité est le plus souvent suffisant pour se prémunir d'une attaque. Ensuite, lorsqu'il est trop tard, nous intervenons en réactif pour débarrasser votre site de tout code malveillant injecté dans vos fichiers, le code php ou dans votre base de données. Découvrez ci-dessous un guide des failles des points de vigilance pour la sécurité de votre site web.

Sécurité préventive sur WordPress

Protéger les accès à son hébergement

L'hébergement de votre site est le support sur lequel repose votre site WordPress. C'est donc l'élément clé qui nécessite la plus grande vigilance. Si une personne mal intentionnée prend le contrôle de votre hébergement, elle prend par la même occasion le contrôle de votre site. Vérifiez donc dans un premier que votre entreprise est bien le propriétaire de votre solution d'hébergement (et pas votre prestataire). Vérifiez ensuite que vous avez bien accès pour l'administration de votre hébergement et changez si besoin votre mot de passe. Enfin, évitez de partager vos informations de connexion personnelles à votre hébergement. Chaque hébergeur propose des solutions pour créer un compte dédié à chaque prestataire qui a besoin d'intervenir sur votre hébergement. Après intervention, désactivez systématiquement ce compte. Gérez les comptes ftp de la même façon.

Une installation correcte de wordpress

Malheureusement certaines installations de wordpress sur un hébergement ne sont pas réalisées correctement pour gagner du temps ou faire de petites économies. Si vous tenez à votre site, faites réaliser son installation sur votre hébergement par un spécialiste. Après une installation réussie de wordpress sur un hébergement il reste encore de nombreux points à contrôler. Les fichiers d'installation doivent être supprimés. Les droits de certains répertoires doivent être vérifiés et modifiés si besoin. Veiller en particulier à restreindre les droits d'accès à l'interface api rest wordpress. Chaque fichier de configuration (htaccess, wp-config et autres) doit également être vérifié et modifié si besoin. Certaines fonctionnalites sont systématiquement activées ou désactivées. Et enfin certains réglages de WordPress sont ajustés. Entre autre, pensez également à activer ssl pour activer le mode https sur votre site. Les adresses http seront redirigées vers le mode sécurisé. La liste des contrôles et réglages après une installation réussie de wordpress sur un hébergement est longue.

Provenance des thèmes et plugins

De nombreux thèmes et plugins payants peuvent être trouvés gratuitement sur internet. Une majorité de ces cadeaux sont empoisonnés. En effet, rien de plus simple que d'insérer des codes malveillants dans une extension plugin), ou un thème. Le piège est tendu, il suffit d'attendre. Dés l'installation le code malveillant est activé et les pirates prennent rapidement le contrôle de votre site. Il est important de respecter le travail des développeurs et d'utiliser le fruit de leur travail en veillant à ce qu'ils soient rémunérés. Une majorité des sites piratés sur lesquels nous intervenons, ont été infectés à l'aide de thèmes gratuits téléchargés sur internet. Soyez vigilants, il ne faut pas installer n'importe quoi sur votre site.

Mises à jour

Nous ne le répèterons jamais assez, il faut régulièrement mettre à jour WordPress, les extensions installées ainsi que votre thème. WordPress est le cms web n°1 dans le monde. Il est donc mis à rude épreuve et régulièrement des failles de sécurité sont détectées et publiées. Ce travail permet de renforcer la sécurité et de corriger ces failles de sécurité à travers la publication de nouvelles version de wordpress, des extensions ou des thèmes. Malheureusement ces pirates utilisent également la publication de ces informations pour challenger les sites qui n'ont pas été mis à jour... Sur votre serveur d'hébergement des mises à jour de la version de php devront également être faites régulièrement.

Sécuriser vos comptes administrateur

Pensez toujours à sécuriser les comptes administrateur de votre site. Là encore, nous ne le répèterons jamais assez: un administrateur = un compte et plus généralement, utilisateur = un compte. Ne partagez jamais un compte admin avec d'autres personnes. Ayez le réflexe de créer un compte admin dédié au peu de personnes qui en ont besoin. Vous pourrez si besoin désactiver ce compte le moment venu. Veillez à ne pas avoir de compte admin avec "admin" pour identifiant. C'est le compte par défaut bien connu des pirates! Veillez également à ce que l'identifiant de vos administrateur ne soit visible nulle part sur votre site (en tant que nom d'auteur d'un contenu par exemple).

Authentification renforcée

Pensez à modifier l'url d'accès au tableau de bord de votre site qui est par défaut /wp-admin sur tous les sites wordpress. Les robots connaissent parfaitement cette configuration de base. Le niveau zéro d'une attaque consiste à faire exécuter un robot des tentatives de login sur /wp-admin avec l'identifiant "admin". Il reste à utiliser une liste de mots de passe simples. Ce type d'attaque est une attaque brute force. Utilisez des mots de passe dits "forts". Il est possible pour renforcer cette étape d'authentification, d'ajouter un filtre anti robot, et de limiter le nombre de tentatives de connexion.

Plugins de sécurité complémentaires

Il existent quelques plugins bien connus et efficaces pour renforcer la sécurité de votre site. Attention, il faut utiliser ces outils de sécurité uniquement si on a les compétences pour le faire. Nous sommes régulièrement contactés par des utilisateurs qui ne parviennent plus à se connecter à leur site suite à une mauvaise configuration de ces outils!

Sauvegardes régulières de votre site

Dernière précaution: le fait d'avoir en lieu sûr une sauvegarde complète et récente de votre site est une garantie de pouvoir préserver votre site quoi qu'il arrive. Il est tres important de vérifier que la sauvegarde est bien complète et qu'elle soit faite correctement de façon à pouvoir être restaurée le moment venu.

 

Les bons réflexes après un piratage

Evitez de faire une restauration dans l'urgence

Par expérience, bon nombre de propriétaires de sites WordPress contactent leur hébergeur dés qu'ils s'aperçoivent que leur site a été piraté. Dans la majorité des cas, l'hébergeur leur recommande de restaurer une version antérieure de leur site à l'aide de fonctions disponibles sur certains hébergements. Cette réponse n'est pas adaptée, car dans le pire des cas, ces utilisateurs font de mauvaises manipulations et finissent par perdre définitivement leur site. Ce cas de figure a été rencontré à plusieurs reprises. Dans le meilleur des cas, ils restaurent une version j-n de leur site. Et ... leur site se retrouve dans le même état quelques jours ou semaines plus tard. Evitez donc d'agir dans l'urgence si vous n'avez pas les compétences pour le faire, votre intervention ne permettra pas de résoudre votre problème, elle pourra juste l'aggraver dans le pire des cas.

 

Faire une sauvegarde complète

S'il n'est pas trop tard assurez vos arrières en faisant une dernière sauvegarde complète de votre site. Commencez par faire un dump de votre base de données et mettez ce fichier en lieu sur. Poursuivez ensuite avec les fichiers. Cette sauvegarde est adaptée en fonction de la situation et des possibilités offertes. Si besoin faites appel à un plugin spécialisé.

 

Réunissez les accès

L'accès indispensable pour toutes les situation de crise est l'accès admin à votre solution d'hébergement. Gagnez du temps, vérifiez que vous bien accès à votre hébergement comme administrateur de votre solution d'hébergement. Si cette opération n'a pas déjà été faite créez un compte administrateur pour l'intervenant extérieur que vous alles missionner pour intervenir sur votre site. Si ce compte existe déjà, vérifiez si il est bien actif. Enfin, contactez un spécialiste qui procédera à la décontamination de votre site.

 

 Contactez un spécialiste

Nettoyer un site contaminé par du code malveillant est une affaire de spécialiste et pas de plugin. Les pirates dés qu'il parviennent à prendre la main sur un site, commencent souvent par assurer cet investissement en installant des backdoor, ou portes dérobées dans le code php. Nous avons vu que l'attaque de sites est effectuée par des bandes organisées pour mettre en place des pratiques illégales et rémunérées. Un site piraté a donc  une valeur financière qu'il convient de protéger. Ces portes dérobées, permettent donc en cas de besoin de reprendre la main sur votre site en cas de besoin. Le travail d'un spécialiste va justement consister à détecter ces backdoor et à les supprimer définitivement.

 

L'exploit d'un pirate

C’est le cas le plus connu d’attaque de votre site qui consiste à marquer l’exploit sur votre page d’accueil avec la formule connue : « votre site a été piraté ». Ce type d’attaque est en général l’œuvre d’étudiants en informatique qui se challengent entre eux en utilisant les failles de sécurité wordpress bien connues et référencées dans d'anciennes versions. En général, il est assez simple de réparer les conséquences de ce type d’attaque.

Des attaques invisibles

Les pirates professionnels se sont organisés pour utiliser en masse des sites WordPress mal protégés et ceci sans que leur propriétaire ne puissent s’en apercevoir même lors d'un scan d'outil spécialisé. En général, c’est votre hébergeur qui vous alerte. Votre site est utilisé dans ce cas de figure pour héberger du contenu illicite, pour expédier du spam, générer des liens d'hameçonnage, etc. Le nettoyage d’un site qui a fait l’objet d’une telle attaque est en général complexe, mais reste souvent possible ! Nos experts en sécurité wordpress réalisent ce travail régulièrement.

Site déclaré malveillant

Pour ce dernier niveau c’est Google qui dissuade les visiteurs de se rendre sur votre site qui est déclaré malveillant !
Votre site est en fait utilisé pour télécharger à leur insu des codes malveillants sur le poste de travail de vos visiteurs. Dans ce cas de figure, il faudra faire un nettoyage complet du site mais également lancer une procédure de ré examen de votre site par Google pour que tout revienne rapidement en ordre. Confiez ce travail à un spécialiste en sécurité WordPress.

La sécurité préventive

En terme de sécurité wordpress, nous pouvons vous aider à mettre en place toutes les bonnes pratiques préventives qui permettront de mettre en place un niveau de sécurité suffisant pour décourager un pirate de s'en prendre à votre site. Notre equipe gère les sites de nombreux clients au quotidien. De nombreuses fois nous devons faire face à des attaques ou des tentatives. Cette expérience est sans équivalent pour choisir les bonnes solutions de sécurité pour votre site et assurer sa mise sous surveillance si besoin. Vous pouvez sans hésitation nous faire confiance dans ce domaine.

Les failles d'un CMS

Un CMS open source à de nombreux avantages te ce sont justement ces avantages qui en font une cible plus facile pour les pirates. Le code d'un CMS comme WordPress est accessible à tous. Et lorsque des failles de sécurité sont détectées elle sont signalées et publiées. Grâce à ces signalement, les failles détectées sont corrigées dans une nouvelle version du logiciel. Vous comprenez que si un site n'est pas mis à jour avec la nouvelle version, le signalement de la faille de sécurité devient un véritable mode d'emploi pour pirate. Nous ne le répéterons jamais assez: "mettez régulièrement à jour vos sites wordpress".

La nettoyage d'un site infecté

Débarrasser un site infecté de tout code malveillant est un premier challenge. Mais dans la quasi totalité des cas, les pirates cachent toujours des "backdoors" dans un site dont ils ont pris le contrôle. Ce système leur permet de revenir aussitôt reprendre le contrôle du site après la première intervention. C'est pourquoi nous effectuons toujours un suivi de 3 à 4 semaines pour détecter toute nouvelle intrusion et l'activation de ces backdoors afin de les supprimer au fur et à mesure. Sans l'intervention d'un spécialiste un site sera bien souvent infecté à nouveau dans les semaines qui suivent un premier nettoyage.

FAQ sécurité WordPress

WordPress-Security-1

Je bénéficie des services d'un tiers de confiance positionné entre mon site et ses visiteurs. C'est ce tiers de confiance qui gère en temps réel le recueil de consentement de mon site. C'est également ce tiers de confiance qui gère les mécanismes pour garantir l'anonymat de mes visiteurs sur ce registre.