Pourquoi les sites WordPress sont piratés et comment l'empêcher

Dernière mise à jour - 8 juillet 2021

WordPress est un système de gestion de contenu (CMS) populaire , utilisé pour créer des sites Web ou des blogs. L'une des choses qui rendent WordPress si populaire est sa simplicité - les utilisateurs peuvent utiliser WordPress pour créer, modifier et gérer facilement le contenu de leurs sites Web sans aucune expérience de codage. Cela pousse de nombreuses entreprises et particuliers à utiliser WordPress pour créer leur site.

Un rapport récent de W3techs indique que WordPress est utilisé dans 34,5 % de tous les sites Web. Cela signifie que chaque troisième site Web que vous utilisez a été construit avec WordPress. Parmi les solutions CMS, la part de marché de WordPress est encore plus élevée, avec plus de 60 % de tous les sites Web fonctionnant sur WordPress. Joomla occupe la deuxième place, mais avec une énorme marge : il est utilisé par 5 à 10 % du nombre de sites.

Pourquoi les sites WordPress sont-ils piratés ?

Même s'ils ne sont peut-être pas plus vulnérables aux attaques que tout autre site Web sur Internet, les sites WordPress sont plus susceptibles d'être piratés car ils sont beaucoup plus courants. Compte tenu de l'énorme popularité de WordPress, les attaquants sont plus incités à essayer de trouver des moyens d'exploiter les vulnérabilités trouvées sur ces sites.

Lorsque les attaquants trouvent une vulnérabilité dans WordPress, ils ont beaucoup plus de cibles que presque n'importe quel autre système sur Internet. De plus, comme WordPress attire de nombreux utilisateurs sans expérience en codage, ils sont beaucoup moins susceptibles de prendre les mesures nécessaires pour protéger leurs sites Web contre les vulnérabilités que les attaquants peuvent exploiter. Une autre raison pour laquelle les sites WordPress sont piratés est le « sport » et la pratique. De nombreux débutants essaient de trouver des sites avec une sécurité plus faible pour pratiquer leurs compétences de piratage et trouver des moyens de s'améliorer.

7 façons dont les sites Web WordPress sont piratés et comment l'empêcher

Vous devez comprendre certaines des raisons courantes pour lesquelles les sites WordPress sont piratés et prendre des précautions en conséquence.

Mots de passe faibles

Vos mots de passe agissent comme les clés de votre site WordPress, ce qui signifie que vous devez vous assurer qu'ils sont suffisamment forts pour le protéger. Des études montrent qu'environ 80 % de toutes les violations de données sont dues à des mots de passe faibles.

Comment réparer : La correction de cette vulnérabilité est simple━utilisez un mot de passe fort. Vous pouvez également utiliser un gestionnaire de mots de passe tiers, tel que LastPass , par exemple.

Ne pas changer votre nom d'utilisateur WordPress

Lorsque vous ouvrez votre compte WordPress, votre nom d'utilisateur est « admin », et tout le monde le sait. Pour cette raison, il s'agit du premier nom d'utilisateur que les pirates essaieront lorsqu'ils essaieront de pirater votre site Web. Ce compte offre des privilèges root et peut être utilisé pour mettre votre site à la poubelle, accéder aux réseaux connectés et voler ou supprimer ou rançonner des données.

Comment résoudre le problème : si votre nom d'utilisateur est admin, remplacez-le dès que possible par un autre nom d'utilisateur.

Hébergement Web non sécurisé

Les sites Web WordPress sont hébergés sur des serveurs comme tous les autres sites Web. Choisir le bon fournisseur est essentiel pour sécuriser votre site Web. Même si vous mettez en œuvre tous les autres conseils mentionnés dans ce guide, si votre fournisseur offre une protection faible, votre site Web pourrait toujours être piraté.

Comment réparer : Choisissez le meilleur fournisseur d'hébergement WordPress dans les limites de votre budget et assurez-vous que votre site Web est hébergé sur une plate-forme sécurisée.

Autorisations de fichier incorrectes

Les autorisations de fichiers sont des règles utilisées par votre serveur d'hébergement pour aider votre serveur Web à contrôler l'accès aux fichiers stockés et utilisés par votre site Web. Donner à ces fichiers des autorisations incorrectes peut permettre aux pirates d'accéder à vos fichiers et de les modifier, ce qui peut entraîner toutes sortes de problèmes pour votre site Web.

Comment réparer : Assurez-vous que tous vos fichiers WordPress sont définis sur une autorisation de valeur de 644 et que tous vos dossiers sont définis sur 755.

Faible sécurité contre les cybermenaces courantes

Même si vous avez les mots de passe les plus forts et utilisez l'hôte le plus sécurisé, vous êtes toujours vulnérable aux cyberattaques. Les injections SQL, par exemple, sont une attaque courante utilisée pour infecter des sites Web avec des logiciels malveillants.

Comment réparer : découvrez les menaces les plus courantes et comment sécuriser votre site Web contre ces menaces. Un bon point de départ est le top 10 OWASP (Open Web Application Security Project) ━une liste qui détaille les 10 vulnérabilités les plus urgentes. L'OWASP fournit également des ressources pédagogiques que vous pouvez utiliser pour améliorer vos pratiques en matière de cybersécurité.

Utiliser des versions obsolètes de WordPress

Certains utilisateurs de WordPress ont peur de mettre à jour leurs sites Web vers la dernière version de WordPress, car cela pourrait entraîner des erreurs sur leur site Web. Cependant, éviter les mises à jour est un problème sérieux, car bon nombre de ces mises à jour sont publiées pour corriger les failles de sécurité.

Comment réparer : vous devez toujours mettre à jour vers la dernière version pour vous assurer d'obtenir les dernières corrections de bogues et correctifs de sécurité. Si vous craignez que la mise à jour ne gâche votre site Web, la création d'une sauvegarde complète de WordPress est toujours une bonne pratique, en particulier avant les mises à jour de version.

Utiliser des thèmes ou des plugins datés

Les thèmes et plugins WordPress ne sont pas si différents du logiciel de base qu'ils exécutent, et les maintenir à jour est tout aussi important━les versions obsolètes peuvent être exposées à des vulnérabilités.

Comment réparer : Assurez-vous que vous disposez des versions les plus récentes de tous vos thèmes et plugins.

Emballer

Les sites Web WordPress sont piratés tout le temps. C'est un fait, et il faut le traiter comme tel. Les sites Web de commerce électronique sont particulièrement vulnérables aux attaques, car ils offrent plus de récompenses qu'un site ordinaire. Une plate-forme de commerce électronique performante qui traite de nombreuses transactions stocke souvent des informations sensibles.

Si un site Web est piraté, les attaquants pourraient voler les informations. Cela mettra le site Web dans une mauvaise situation, surtout si le site Web sert des utilisateurs liés à l'Union européenne. Ces informations sont protégées par le règlement général sur la protection des données (RGPD de l'UE), qui protège les informations sensibles de "tous les citoyens de l'Union européenne et de l'Espace économique européen". Le non-respect du RGPD peut entraîner des pertes financières et de réputation.

Une autre entité de conformité à garder à l'esprit est la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), qui protège les informations sensibles et financières des titulaires de carte de crédit. PCI s'applique à tout commerçant qui traite, stocke, transmet et entre en contact avec des données de carte de crédit. Cela signifie que les plates-formes de commerce électronique doivent se conformer à la norme PCI. Le PCI est maintenu et réglementé par les principales sociétés de cartes de crédit, qui imposent la conformité au moyen d'amendes.