Démystifier les mythes sur la sécurité de l'hébergement WordPress

L'hébergement WordPress est complexe. Chaque site WordPress dépend d'une pile de logiciels et de matériel créés par des entreprises et des communautés avec des normes et des valeurs difficiles à comprendre de l'extérieur. Cela engendre des malentendus et des mythes, notamment en matière de sécurité.
Dans cet article, nous examinons certains des mythes les plus pernicieux de l'hébergement WordPress, avec un accent particulier sur les mythes qui conduisent à des erreurs de sécurité.

Les petits sites ne se font pas pirater

Les médias rapportent souvent des failles de sécurité importantes où le but de l'attaquant semble évident. Les victimes stockent des gigaoctets de données personnelles qui peuvent être utilisées pour le vol d'identité. De nombreux numéros de carte de crédit de magasin, qui sont volés pour des raisons évidentes. Certains attaquants se livrent à l'espionnage industriel.
Rien de tout cela ne s'applique aux sites Web plus petits avec une poignée de comptes d'utilisateurs : il n'y a pas beaucoup de données personnelles utiles. Ils stockent rarement les numéros de carte de crédit, choisissant judicieusement d'utiliser un processeur de paiement. Alors pourquoi un criminel investirait-il l'effort de pirater un petit site ?
Tout d'abord, ce n'est pas un gros effort. La plupart des piratages sont automatisés : les bots parcourent le Web à la recherche de sites vulnérables, les compromettant avec des attaques préprogrammées. L'attaquant libère ses bots et attend que les adresses IP arrivent.
Deuxièmement, même un petit site est précieux. Il a un public qui peut être infecté par des logiciels malveillants. Il peut être introduit dans le botnet de l'attaquant et utilisé pour compromettre d'autres sites ou participer à des attaques DDoS. Il peut être utilisé pour le spam SEO. Chaque site Web représente un ensemble de bande passante, de stockage et de puissance de traitement, qui sont tous utiles aux criminels.

Si cela fonctionne, pourquoi mettre à niveau ?

Les gens qui ne passent pas leur vie à regarder du code sur un écran sont plutôt satisfaits lorsque la technologie fait ce qu'elle est censée faire. Ils peuvent penser que les mises à jour, qui apportent des changements, sont une perturbation indésirable. WordPress n'est pas difficile à apprendre, mais il est suffisamment difficile pour que la pensée du changement inquiète certains de ses millions d'utilisateurs.
Les personnes qui utilisent WordPress tous les jours s'y habituent. Ils préfèrent éviter le changement pour le plaisir du changement, et ils sont donc souvent réticents à mettre à jour. Après tout, pourquoi modifier ce qui fonctionne.
La réponse du développeur à cette question est double. Le logiciel ne s'arrête jamais et doit changer pour suivre les changements dans le monde. Et, plus important encore, les mises à jour corrigent les bogues qui causent des failles de sécurité. Un site qui n'a pas été mis à jour depuis quelques mois est presque certainement vulnérable. Dans la section précédente, nous avons parlé des botnets et du piratage automatisé. Ce sont des systèmes de gestion de contenu non corrigés que ces robots recherchent. Finalement, ils trouveront un site non corrigé et il sera piraté.

Je saurais s'il y avait un problème

À quoi ressemble un site Web piraté ? Pour la plupart, cela ressemble à un site Web qui n'a pas été piraté, en particulier pour son propriétaire. Comme nous l'avons vu, les acteurs malveillants violent un site Web parce qu'ils veulent ses données, ses ressources, ses visiteurs ou son potentiel de référencement. Si le propriétaire du site découvre qu'il a été piraté, le mauvais acteur perd l'accès à ces ressources. Donc, ils sont sournois. Ils essaient de se cacher.
Si vous regardez attentivement, vous remarquerez peut-être des pics d'utilisation de la bande passante ou de la mémoire. Si vous recherchez régulièrement des logiciels malveillants, vous pourriez trouver leur code malveillant. Mais si vous utilisez le site normalement, vous ne verrez probablement rien de mal.
Prenez le spam SEO comme exemple. Lorsqu'un site est compromis, des liens vers des sites que l'attaquant souhaite promouvoir sont injectés dans son contenu. Ces liens sont visibles pour Google et peuvent être visibles pour les visiteurs ordinaires, mais ils sont masqués pour les personnes connectées au site.
C'est pourquoi c'est une bonne idée de scanner régulièrement votre site avec un outil comme Sucuri ou Wordfence . Ils repèrent le code malveillant et vous en informent. Si vous n'analysez pas, vous êtes plus susceptible de découvrir une attaque lorsque Google commence à avertir votre public que votre site n'est pas sûr.

SSL maintient votre site sécurisé

Les certificats SSL ont deux tâches. Ils cryptent les données circulant sur le réseau d'un serveur à un navigateur et inversement. Et ils sont utilisés par les navigateurs pour vérifier qu'ils sont connectés à l'hôte qu'ils attendent. C'est tout ce que font les certificats SSL. Ils sont un outil de sécurité et de confidentialité essentiel, mais ils ne protègent pas les données stockées sur le serveur du site. Ils ne protègent pas non plus un site contre les attaquants cherchant à exploiter les vulnérabilités.

Chaque plugin WordPress est gratuit

Il s'agit d'un mythe pernicieux qui pousse les gens à télécharger des plugins infectés par des logiciels malveillants. La plupart des plugins WordPress sont open source sous licence GPL. Lorsque le développeur distribue le plugin, il distribue également le code source. Ils sont tenus de le faire par la licence.
Souvent, les logiciels open source sont gratuits. Son utilisation ne coûte rien. WordPress lui-même est open source et gratuit. Mais certains logiciels open source ne sont pas libres d'utilisation . Les plugins WordPress Premium sont dans cette catégorie : ils sont open source, mais le développeur s'attend à ce que les utilisateurs paient une redevance pour utiliser le plugin.
Lorsque les utilisateurs paient les frais, ils obtiennent le code source, selon les besoins. Mais l'open source ne signifie pas que le développeur doit donner le code source à tout le monde — juste les personnes à qui le plugin est distribué, les personnes qui ont payé. Ceci est généralement mal compris. Il est parfaitement légal de prendre le code d'un thème premium et de le donner gratuitement une fois que vous l'avez payé, mais cela est déconseillé dans la communauté WordPress, pour des raisons évidentes.
Vous vous demandez peut-être ce que cela a à voir avec la sécurité. Les mauvais acteurs savent que les gens veulent utiliser des plugins premium sans les payer. Alors, ils prennent le plugin, ajoutent une pincée de logiciels malveillants et le donnent gratuitement. Ces plugins "annulés" ou "pirates" contiennent des portes dérobées et d'autres codes malveillants. Lorsqu'un utilisateur WordPress sans méfiance installe le plugin annulé, il donne le contrôle de son site à un attaquant. Installer des plugins pirates sur votre site est une mauvaise idée.
Nous avons couvert cinq mythes courants sur l'hébergement WordPress dans cet article, et il y en a beaucoup d'autres que nous aurions pu inclure. Si vous souhaitez voir un article de suivi qui plonge dans d'autres mythes de l'hébergement WordPress, faites-le nous savoir dans les commentaires.