Depuis sa première version le 27 mai 2003, WordPress n’a cessé de prouver son efficacité sur Internet et a conquis le cœur d’une armée de développeurs : 25% des sites Web en ligne soit environ 700 millions. Pourtant, on compte aussi beaucoup (et même trop) de cas de piratage avec ce CMS. Ce qui fait réfléchir à deux fois avant de l’utiliser. Alors, comment faire pour utiliser WordPress en toute sécurité ? Voici les 3 erreurs que les blogueurs font aujourd’hui sans s’en rendre compte.
D’après un récent rapport de wpscan.org, les 3 972 vulnérabilités connues sur WordPress viennent :
Les attaques par brute-force consistent à tenter un par un une longue liste (peut-être même une liste infinie) de nom d’utilisateurs et de mots de passe. La procédure s’arrêtera une fois qu’une réussite de connexion a été enregistré.
Malheureusement, WordPress ne dispose pas, par défaut, d’une limite de tentative. Ainsi, des millions de hackers pourront essayer à tout moment leurs listes. Et même si votre mot de passe n’a pas encore été découvert, ce type d’attaque surcharge votre système et pourra faire saturer votre site Internet. D’ailleurs, beaucoup d’hébergeurs suspendent automatiquement les sites subissant des attaques pour limiter la consommation de bande passante et pour éviter la surcharge de leurs serveurs.
La deuxième plus grande erreur est l’inclusion des fichiers PHP. Les hackers en raffolent. La technique consiste à inclure un fichier PHP malveillant à votre WordPress. La plupart des hackeurs utilisent le fichier wp-config.php pour cela.
Veillez donc à bien définir les permissions accordées pour ce fichier si important.
Par défaut, WordPress utilise des serveurs MySQL pour stocker les informations. Les injections SQL consistent à altérer vos requêtes SQL et ainsi effectuer des changements sur la base de données.
Le plus dangereux avec ce type de faille, c’est qu’il est possible de créer une infinité de comptes administrateurs. Mais on peut aussi le faire pour injecter des codes malicieux dans vos publications.
La majorité de ce type de menace réside dans les plugins qui ne sont pas mises à jour ou qui viennent de sources peu fiables.
Pour conclure, voici une checklist simple pour sécuriser votre site WordPress :
Si vous ne voulez pas avoir de la migraine avec toutes ces manipulations techniques, c'est peut-être le temps de consulter un professionnel de WordPress.