Les sites WordPress se font pirater : les 10 principales raisons

En avant propos, il est important de signaler qu’il n’y a pas que WordPress qui est concerné. Tous les sites web sur Internet sont vulnérables aux tentatives de piratage.

La raison pour laquelle les sites WordPress sont une cible de choix est que WordPress est le CMS le plus populaire au monde. Il alimente plus d’un tiers de tous les sites Web, soit des centaines de millions de sites Web dans le monde.

Cette immense popularité permet aux hackers de trouver facilement des sites Web moins sûrs, afin de les exploiter.

Les pirates ont des motivations différentes pour pirater un site Web. Certains sont des débutants qui apprennent tout juste à exploiter des sites moins sécurisés.

D’autres ont des intentions malveillantes, comme la diffusion de logiciels malveillants, l’utilisation d’un site pour attaquer d’autres sites Web ou le spam sur Internet.

Examinons à présent les principales causes de piratage des sites WordPress et les moyens à mettre en œuvre pour ‘éviter que votre site ne soit piraté.

1 – Hébergement Web non sécurisé

Les sites Web basés sur WordPress à l’instar des autres sites web ont besoin d’un hébergement Web. De nombreux hébergeurs doivent empêcher les dommages à leurs sites Web. De nombreux hébergeurs web ne sécurisent pas suffisamment leurs offres d’hébergement ce qui rend votre site vulnérable.

Cette situation peut être évitée si vous n’utilisez que des hébergeurs ayant une excellente réputation et dont les serveurs sont sécurisés. Un bon hébergeur a mis en place toutes les protections nécessaires, appliqué les mises à jour aux différents services (php, mysql, …) et propose généralement de nombreux outils de sécurité et de sauvegarde.

C’est notamment le cas d’O2switch qui utilise Cpanel sur son offre. Il propose des outils comme TigerProtect ou bien encore WP Tiger qui permet de contrôler l’intégrité de votre site WordPress. Ajouter à cela ImunifyAv qui scanne votre hébergement à la recherche de fichier suspect.

O2switch propose également des sauvegardes de vos e-mails, de vos fichiers et de vos bases de données. Ainsi, si vous avez été victime d’un acte de piratage, vous pouvez restaurer vos fichiers à une date ultérieure.

2 – Utilisation d’un mot de passe faible

Une autre raison probable des cyberattaques sur votre site Web est l’utilisation de mots de passe faibles et faciles à deviner. Vous devriez essayer d’utiliser des mots de passe forts et uniques pour chaque compte, en particulier votre site Web WordPress.

Ainsi les mots de passe de :

• Compte administrateur WordPress.
• Comptes FTP
• Comptes du panneau de contrôle de l’hébergement Web (Cpanel, Plesk, …)
• Comptes de messagerie utilisés pour l’hébergement
• Base de données MySQL utilisée pour le site

Ils doivent tous être différents. Naturellement, l’utilisation de mots de passe complexes et différents rend leur mémorisation presque impossible. C’est la raison pour laquelle je vous invite à vous tourner vers une solution comme KeePass ou Bitwarden.

Si vous utilisez un mot de passe faible, il ne faudra que quelques secondes au hacker pour le trouver, grâce des outils comme Hascat.

Un bon mot de passe doit contenir des caractères alphanumériques, des minuscules et des majuscules ainsi que des caractères spéciaux. Un mot de passe sécurisé doit ressembler à cela :

6fx~U5,?s#zYj;vV 

3 – Accès non protégé au tableau de bord de WordPress

Via le tableau de bord de WordPress, vous pouvez accéder à l’exécution de diverses actions et tâches sur votre site web. C’est également l’une des zones les plus couramment attaquées de WordPress. Par conséquent, si vous la laissez sans défense, vous risquez de vous retrouver dans l’arène des pirates informatiques.

Par défaut, celle-ci est accessible à l’adresse www.nomdedomaine.tld/wp-admin OU www.nomdedomaine.tld/wp-login.php

Ces accès par défaut ne sont hélas pas modifiables depuis le tableau de bord, ce qui est fort dommageable. Toutefois il existe de nombreux plugins WordPress qui offrent la possibilité de modifier cet accès et bien plus encore.

Si vous êtes à la recherche d’un plugin gratuit pour modifier l’accès d’administration à votre WordPress et sans autres fioritures, je vous recommande WPS Hide Login.

Renommer l’accès d’administration à votre WordPress limitera les tentatives d’accès par Brute-Force, mais nous pouvons encore renforcer la sécurité de celui-ci.

La double authentification 2FA

Une autre précaution consiste à ajouter différentes couches d’authentification dans le répertoire d’administration de votre site pour assurer une protection adéquate de l’administrateur WordPress.

Pour se faire vous devez installer une extension depuis votre tableau de bord. Deux se démarquent :

1. WP 2FA – Two-factor authentication for WordPress
2. Wordfence Login Security

La première solution propose uniquement un système de double authentification. Cela tombe bien, c’est ce que nous voulons.

La seconde est connue des utilisateurs de WordPress car il s’agit d’une des options en standalone de la suite Wordfence que nous aborderons plus loin dans cet article.

L’une comme l’autre, vous permettrons rapidement et facilement de mettre en place un système de double authentification 2FA.

4 – Droits d’accès de fichiers incorrects

Les droits d’accès aux fichiers sont des règles que le serveur web utilise pour réguler l’accès aux fichiers disponibles sur votre site web. Si cette autorisation de fichier est incorrecte, les pirates peuvent avoir accès à la modification et à l’écriture de ces fichiers.

Ainsi, vous devez vous assurer que tous vos fichiers ont la valeur 644 comme autorisation de fichier. Et tous les dossiers du site doivent avoir la valeur 755 comme autorisation de fichier. Cela permettra de tenir les pirates à distance.

Ne pas sécuriser le fichier de configuration wp-config.php

Autant vous le dire de site, si un pirate accède aux données de ce fichier, ça sent le sapin 🎄 pour votre site.

Le fichier de configuration comprend notamment les identifiants à votre base de données. Une fois celles-ci en sa possession, il peut se connecter à votre base, récupérer son contenu ou bien encore ajouter un nouvel administrateur au site directement depuis un gestionnaire de base de données.

Pour empêcher tout accès à ce fichier sensible, il est recommandé d’ajouter dans le fichier .htaccess disponible à la racine de WordPress les lignes suivantes :

#Protection du fichier de configuration
<files wp-config.php>
order allow, deny
deny from all
</files>

5 – Ne pas effectuer les mises à jour des thèmes et plugins

Tout comme le noyau de WordPress, les thèmes et les plugins ont besoin d’être mis à jour régulièrement. Les développeurs et la communauté WordPress découvrent de nouvelles failles de sécurité qui sont corrigées par les mises à jour.

Maintenir une ancienne version d’un thème ou d’une extension, c’est s‘exposer à une exploitation d’une faille de sécurité par un pirate. Si un plugin ou un thème n’a pas été mis à jour depuis plusieurs années, je vous invite à vous tourner vers une alternative à ce dernier. Des sites comme 0day ou Exploit-Db révèlent de nouveaux exploits quotidiennement. Les pirates utilisent des outils comme WpScan qui leur permettent de vérifier de manière automatique les thèmes et plugins utilisés sur une installation ainsi que leurs versions. L’outil leur donne également l’exploit à réaliser.

6 – Utiliser le FTP au lieu de SFTP/SSH

Les accès FTP sont souvent les premiers créés par l’hébergeur. Ils vous permettent de mettre en ligne les différents fichiers de votre site via un client FTP.

L’inconvénient majeur de FTP, c’est que les données qui utilisent ce protocole ne pas cryptées. Elles apparaissent en clair. Un pirate qui utiliserait une attaque de type MITM (Man-In-The-Middle) pourrait intercepter vos identifiants. Une fois ceux-ci en sa possession, il peut mettre en ligne ce qu’il veut sur votre serveur et s’en servir à sa guise.

Utilisez SFTP ou SSH comme alternative à FTP

Par conséquent, au lieu de FTP, il est recommandé d’utiliser SFTP ou SSH.

Ainsi, vous n’aurez pas à changer ou à modifier votre client FTP. La plupart des clients peuvent se connecter à votre site aussi bien en SSH qu’en SFTP. Tout ce que vous avez à faire, c’est de changer le protocole lors de la connexion du site.

Si vous chercher des clients compatibles SFTP ou SSH, vous pouvez vous tourner vers FileZilla ou WinSCP. Pour les plus aguerris, tout est gérable également par ligne de commande depuis votre terminal préféré.

7 – Utiliser Admin comme nom d’utilisateur WordPress

L’une des principales erreurs commises par les utilisateurs est d’utiliser Admin comme nom d’utilisateur WordPress. Même si cela tend à disparaitre du fait que WordPress permette de personnaliser le nom d’utilisateur dès son installation. Cela reste pourtant la raison plus courante du piratage des sites WordPress. Si vous avez gardé votre nom d’utilisateur administrateur comme admin, vous devez immédiatement le changer pour quelque chose d’autre.

Dans les faits, vous devriez créer un deuxième compte administrateur, lui attribuer le contenu du premier et effacer votre premier compte admin.

Pour quelle raison effacer le premier compte administrateur ?

La création d’utilisateur est incrémentielle, comme dans tout bon système de base de données. Cela signifie que le premier utilisateur possède l’identifiant 1. Donc quelque soit son nom (admin ou autre), nous savons que par défaut l’utilisateur 1 est l’administrateur du site.

C’est pour cette raison qu’il est recommandé de supprimer le premier utilisateur de créer un nouvel utilisateur avec les droits administrateurs.

8 – Thèmes et plugins WordPress Premium Nulled

Nous sommes tous tentés de faire quelques économies en se procurant des thèmes et plugins WordPress premium sans avoir à débourser le moindre argent. Il existe énormément de sites qui proposent des thèmes et plugins WordPress en version nulled.

Qu’est-ce qu’un thème ou plugins WordPress nulled ?

On parle de thème ou plugin nulled comme celui-ci ne demande pas d’activation. Celle-ci a été contournée par l’ajout ou la suppression de quelques lignes code.

En quoi l’utilisation d’un thème ou plugin WordPress nulled est-elle dangereuse ?

Le fait d’avoir contourné l’activation n’est pas dangereux en soit. Cependant, ces crackers ne sont pas tous philanthropes et derrière cette mise à disposition gratuite se cache un cadeau empoisonné.

Cela peut être dans les cas les plus mineurs des liens cachés vers d’autres sites afin d’obtenir des backlinks. Mais dans d’autres cas, l’activation d’un thème ou plugin va déclencher une attaque en bonne et due forme. Cela peut être la génération d’un accès sous la forme d’un Shell en php ou l’installation complète d’un site de spam à votre insu.

Mon conseil, ne faites jamais l’économie d’un thème ou d’un plugin, car les conséquences peuvent être désastreuses. Si vous n’avez pas de budget à consacrer à un thème ou plugin, dirigez vous vers des solutions gratuites.

9 – Ne pas changer le préfixe de table de WordPress

Par défaut le préfixe des tables de la base de données est wp_. Il est recommandé de les modifier et d’ utiliser un préfixe un peu plus compliqué.

Exemple : wp485_ ou blog34_

Il sera alors difficile pour les pirates de prédire les noms des tables de votre base de données WordPress.

10 – Laisser des sauvegardes accessibles

Certains plugin de sauvegarde vous permettent de sauvegarder votre backup localement, généralement dans le répertoire wp-content/uploads/. L’ennui est que si votre hébergeur ou vous même n’avez pas configurer correctement votre serveur, vos répertoires peuvent se retrouver indexées sur Google. Rendant ainsi accessibles vos sauvegardes.

Pour palier à ce problème il faut refuser l’indexation de vos dossiers avec la ligne suivante à votre fichier .htaccess:

Options -Indexes

Il est également recommandé de ne pas effectuer votre sauvegarde dans le même répertoire que votre site. Vous pouvez utiliser un cloud à l’instar de Dropbox, Google Drive ou bien encore effectuer une sauvegarde en local, directement sur votre ordinateur.

Bonus : Des solutions de sécurité clé en main

Nous avons abordés les risques et comment s’en prémunir. Mais la plupart de ces actions sont à réaliser indépendamment des autres. Il existe des solutions qui renforcent la sécurité de votre WordPress contre plusieurs types d’attaques connues, comme les injections sql ou les failles xss.

Voici trois solutions gratuites ou freemium qui vous permettront de renforcer la sécurité de votre WordPress

All in One Wp Security & Firewall

All-In-One Security (AIOS) – Security and Firewall

All in One Wp Security & Firewall est la seule à être entièrement gratuite. De plus, elle intègre des outils comme le renommage de la page d’administration que nous avons évoqué au point numéro 3. C’est une solution très puissante, attention toutefois à ne pas tomber dans le tout restrictif car cela pourrait provoquer des bugs.

Wordfence Security – Firewall & Malware Scan

Wordfence Security – Firewall & Malware Scan

Wordfence est probablement la solution la plus populaire. Elle intègre notamment la double authentification abordée au point 4. Notez qu’il s’agit du version freemium, beaucoup de fonctionnalités sont accessibles uniquement en premium.

iThemes Security

iThemes Security

iThemes Security est le conçurent principal de Wordfence. Celui-ci intègre également le renommage du panneau d’administration ainsi que la double authentification, le renommage des préfixes des tables, la modification de l’utilisateur 1, la modification des droits d’écriture, la protection du fichier wp-config.php et bien d’autres fonctionnalités.

Conclusion

La meilleure des sécurités reste le comportement de l’utilisateur. Si vous respectez ces quelques règles élémentaires et que vous renforciez la sécurité de votre WordPress avec l’une des trois solutions proposées ci-dessus, vous devriez vous prémunir des attaques les plus communes et ainsi conservez un site sécurisé pour vous et vos utilisateurs.