Pourquoi sécuriser mon site WordPress ?
La grande majorité des PME (petite et moyenne entreprise) ne sécurisent pas leur site internet. Elles l’ont commandé, elles veulent qu’il soit en ligne et basta. Pourtant, aujourd’hui, un site internet est l’un des éléments les plus importants de chaque entreprise, puisqu’il permet de rester en contact avec les clients, de les informer, de communiquer avec eux et de renseigner les personnes qui deviendront, peut-être, de nouveaux clients. Cela vous le savez déjà, on ne vous apprend rien.
Ce que vous ne savez sans doute pas, c’est que si votre site est infecté et que Google, ou tout autre moteur de recherche détecte cette infection, votre site sera, soit dégradé dans les pages de résultats, soit tout simplement éliminé. Chaque jour, Google exclu de ses résultats de recherche près de vingt mille sites en raison d’une infection et en signale plus de trente-cinq mille chaque semaine comme étant suspects, parce que sur chacun de ces sites, le moteur de recherche détecte du code informatique douteux.
Comme Google souhaite faire courir aux internautes le minimum de risques, il ne prend pas de gant et signale les risques potentiels d’arnaque, de fishing ou tout autre risque. Il existe beaucoup de codes malveillants (ou scripts) pour toute sorte d’utilisations, les pirates sont créatifs. Les codes suspects incriminés n’ont rien à voir avec les sites à leur conception. Ils ont été inoculés via des failles de codage dans le logiciel WordPress lui-même ou dans les programmes associés. Une infection consécutive à un piratage fait prendre le risque, entre autres, de disparaître des résultats de recherche ou d’être fiché comme danger potentiel. Ce genre de réputation est dévastateur.
Quatre-vingts pour-cent des entrepreneurs se disent : “Il n’y a rien de valeur sur mon site, rien qui puisse intéresser des pirates. Je ne suis pas Amazon, ni la CIA, mon site n’a aucun intérêt pour un pirate informatique, car ce sont simplement des pages d’informations pour mes clients. Personne n’a de raison de pirater mon site. Donc je suis tranquille”.
La vérité est toute autre : les piratages de sites internet ne sont pas personnels. Il y a rarement une personne réelle à l’origine d’un piratage, ce sont des logiciels qui effectuent la majorité du travail, les humains paramètrent ces logiciels. Certains logiciels de piratage sont exclusivement dédiés à la recherche des failles de sécurité propres à WordPress. L’utilisation de ces outils est simple : les programmes scannent le réseau à la recherche de sites créés en WordPress, détectent la version du WordPress de chacun et repèrent les thèmes et les extensions utilisées. Une fois la revue de détail d’un site effectuée, les logiciels comparent les données récoltées avec des bases de données de failles de sécurité propres à chaque version de WordPress et propres à chaque version des programmes associés à WordPress pour le fonctionnement du site (une extension pour afficher des images, par exemple, ou un thème qui donne au site son look et son architecture propre). Ils appliquent ensuite la méthode d’exploitation de la faille pour accéder aux fichiers stockés sur le serveur qui héberge le site.
Il est clair que les piratages de sites ne sont jamais aussi rapides et faciles qu’à la télévision. Cela dit, étant donné que des scanners de failles tournent en permanence sur internet, il faut bien comprendre que si votre site comporte une faille de sécurité, elle sera trouvée et exploitée tôt ou tard.
Comment sécuriser votre site Web WordPress?
Une infection, cela peut être plusieurs choses différentes, les pirates informatiques sont très créatifs. Ils ne s’intéressent pas forcément au contenu de votre site, ils vont très certainement l’utiliser pour effectuer des actions telles que :
- envoyer des spams;
- manipuler les résultats de recherche sur Google en faveur d’un autre site (à vos dépens);
- utiliser le serveur de votre site pour attaquer de grands sites (à l’aide de milliers d’autres);
- rediriger vos visiteurs sur un autre site;
- etc.
Dans la plupart des cas, ce n’est pas le contenu de votre site qui est intéressant, ce sont vos ressources et votre trafic qui vont servir à des actions malhonnêtes. Depuis quelques années, les pirates informatiques qui s’attaquent aux sites internet ont changé de comportement : ils ne modifient plus forcément le contenu ou les fichiers des sites qu’ils agressent. Au contraire, ils ont tendance à rester le plus discret possible afin de rester le plus longtemps possible sur les sites qu’ils infectent. Et ne pensez pas que la taille ou le trafic modeste d’un site ne les intéresse pas, c’est l’erreur sur laquelle tous les pirates comptent pour rester dans l’ombre.
Vous pouvez tout de même tomber, parfois, sur un pirate qui, soit s’amusera à effacer votre site ou sa base de données, soit affichera ce qu’il souhaite à la place du contenu d’origine, du porno, de la pub ou un message quelconque. Que ce soit par jeu, pour s’entraîner ou pour vous soutirer de l’argent.
Dans tout cas de piratage, que vous soyez conscient ou non d’être piraté, vous en subissez les fâcheuses conséquences :
- votre site internet fonctionnera plus lentement à cause de la quantité de spams envoyés automatiquement en arrière-plan;
- votre site ou le serveur qui l’héberge pourra être mis sur liste noire s’il est détecté. Vos emails commerciaux risquent de ne plus être délivrés à certains destinataires, sans que vous le sachiez;
- le nom de domaine de votre site peut être bloqué par votre hébergeur pour protéger les autres noms de domaines hébergés sur le même serveur;
- Google peut bloquer votre site et l’exclure de ses pages de résultats. Idem pour les autres moteurs de recherche;
- pendant une attaque dont votre site prend part comme co- assaillant, il risque de ne plus être accessible par vos visiteurs habituels.
Comme vous le voyez, une infection de votre site internet a de nombreuses répercussions néfastes et peut même, parfois, engager votre responsabilité.
La sécurité est un processus continu
Les tentatives de piratages d’un site sont une question d’opportunité : l’occasion fait le larron. La sécurité ce n’est pas l’élimination des risques, il s’agit de réduction des risques. La sécurité de votre site internet est un processus continu.
WordPress est très populaire, parmi les millions de sites et de blogs présents sur internet, près d’un quart sont créés à l’aide de WordPress. Voilà pourquoi WordPress intéresse tant les pirates : il n’est pas plus vulnérable que les autres logiciels de gestion de contenu, il est simplement plus populaire.
Toute personne impliquée dans la création ou la mise à jour de votre site internet doit être considérée comme quelqu’un pour qui la sécurité est importante.
Une création de site Web en WordPress comporte plus de mille cinq cents fichiers et dossiers. Chaque fichier, chaque dossier, chaque entrée de base de données peut représenter une porte dérobée pour entrer dans votre site à votre insu s’il y a une faille. Mais ça, vous ne le savez pas parce que ce n’est pas votre job. Et nous le répétons, les pirates informatiques, eux, le savent. Et ils savent aussi que vous ne savez pas : c’est leur avantage sur vous.
Voilà pourquoi il est important de mieux sécuriser votre site WordPress en rendant le coût d’une intrusion dans votre site beaucoup trop élevé. Les pirates renonceront à vous attaquer s’ils ne peuvent infecter votre site rapidement.
Les sites en WordPress font l’objet de nombreuses tentatives de piratages. Ces tentatives passent totalement inaperçues, jusqu’au jour où une attaque réussit et votre site est infecté. Ce livre est écrit de manière à ce que vous puissiez l’utiliser pratiquement pour comprendre l’environnement dans lequel a été créé votre site et pour effectuer des actions concrètes et rapides pour élever son niveau de sécurité.
Nous n’avons pas mis l’accent sur la théorie, car c’est rarement ce qui est nécessaire aux PME. Ce dont vous avez besoin, c’est d’actions concrètes et efficaces. Voilà pourquoi nous avons inclus une liste d’instructions que vous pouvez recopier telle quelle pour l’envoyer à l’entreprise ou la personne qui gère votre site internet.
Si vous êtes pressé, rendez-vous directement au chapitre 8, vous y trouverez ces instructions. Sinon, découvrons les quatre Gardiens de votre site internet.
Création de sites web WordPress au Maroc. Chez Mehdicreation, nous nous efforçons de vous proposer des services de création de thèmes WordPress.