Top 3 des erreurs qui font couler WordPress au niveau sécurité

  • ARTICLES
  • /
  • TOP 3 DES ERREURS QUI FONT COULER WORDPRESS AU NIVEAU SÉCURITÉ

Depuis sa première version le 27 mai 2003, WordPress n’a cessé de prouver son efficacité sur Internet et a conquis le cœur d’une armée de développeurs : 25% des sites Web en ligne soit environ 700 millions. Pourtant, on compte aussi beaucoup (et même trop) de cas de piratage avec ce CMS. Ce qui fait réfléchir à deux fois avant de l’utiliser. Alors, comment faire pour utiliser WordPress en toute sécurité ? Voici les 3 erreurs que les blogueurs font aujourd’hui sans s’en rendre compte.



Les principales sources de vulnérabilités WordPress



D’après un récent rapport de wpscan.org, les 3 972 vulnérabilités connues sur WordPress viennent :




  • Des plugins : 52%

  • De WordPress : 37%

  • Des thèmes : 11%



Erreur 1 : les attaques par brute-force



Les attaques par brute-force consistent à tenter un par un une longue liste (peut-être même une liste infinie) de nom d’utilisateurs et de mots de passe. La procédure s’arrêtera une fois qu’une réussite de connexion a été enregistré.



Malheureusement, WordPress ne dispose pas, par défaut, d’une limite de tentative. Ainsi, des millions de hackers pourront essayer à tout moment leurs listes. Et même si votre mot de passe n’a pas encore été découvert, ce type d’attaque surcharge votre système et pourra faire saturer votre site Internet. D’ailleurs, beaucoup d’hébergeurs suspendent automatiquement les sites subissant des attaques pour limiter la consommation de bande passante et pour éviter la surcharge de leurs serveurs.



Erreur 2 : inclusions de fichiers PHP



La deuxième plus grande erreur est l’inclusion des fichiers PHP. Les hackers en raffolent. La technique consiste à inclure un fichier PHP malveillant à votre WordPress. La plupart des hackeurs utilisent le fichier wp-config.php pour cela.



Veillez donc à bien définir les permissions accordées pour ce fichier si important.



Erreur 3 : les injections SQL



Par défaut, WordPress utilise des serveurs MySQL pour stocker les informations. Les injections SQL consistent à altérer vos requêtes SQL et ainsi effectuer des changements sur la base de données.



Le plus dangereux avec ce type de faille, c’est qu’il est possible de créer une infinité de comptes administrateurs. Mais on peut aussi le faire pour injecter des codes malicieux dans vos publications.



La majorité de ce type de menace réside dans les plugins qui ne sont pas mises à jour ou qui viennent de sources peu fiables.



Conclusion



Pour conclure, voici une checklist simple pour sécuriser votre site WordPress :




  1. Installer un plugin de sécurité pour bloquer les attaques par brute-force

  2. Configurer correctement les permissions sur les fichiers (généralement 755 pour tous les fichiers et 644 pour wp-config.php)

  3. Eviter d’installer des plugins et thèmes non fiables

  4. Désinstaller les plugins et thèmes non utilisés



Si vous ne voulez pas avoir de la migraine avec toutes ces manipulations techniques, c'est peut-être le temps de consulter un professionnel de WordPress.