De nombreux propriétaires de sites web s’inquiètent du piratage de leur site WordPress. Nous gérons de nombreux sites et comprenons bien cette inquiétude.
Se faire pirater est très frustrant et peut nuire à votre entreprise. Bien que les pirates tentent d’attaquer toutes sortes de sites, certaines erreurs courantes peuvent faire de votre site WordPress une cible plus facile.
Dans cet article, nous allons partager les principales raisons pour lesquelles les sites WordPress sont piratés afin que vous puissiez prendre des mesures pour mieux protéger votre site.
Pourquoi WordPress est-il la cible des pirates informatiques ?
Tout d’abord, WordPress n’est pas le seul concerné. Tous les sites sur internet sont vulnérables aux tentatives de piratage.
La raison pour laquelle les sites WordPress sont une cible fréquente est que WordPress est le constructeur de sites web le plus populaire au monde. Il est à l’origine de plus de 43 % de tous les sites web, soit des centaines de millions de sites à travers le monde.
Cette immense popularité permet aux pirates de trouver facilement des sites moins sécurisés afin de les exploiter.
Les pirates ont des motivations diverses pour pirater un site. Certains sont des débutants qui apprennent à exploiter des sites moins sûrs. D’autres ont des intentions malveillantes, comme la diffusion de logiciels malveillants, l’attaque d’autres sites et l’envoi de messages indésirables.
Ceci étant dit, examinons quelques-unes des principales causes de piratage des sites WordPress afin que vous puissiez apprendre comment éviter que votre site ne soit piraté.
1. Hébergement Web non sécurisé
Comme tous les sites, les sites WordPress sont hébergés sur un serveur web. Certaines entreprises d’hébergement ne sécurisent pas correctement leur plateforme d’hébergement. Cela rend tous les sites hébergés sur leurs serveurs vulnérables aux tentatives de piratage.
Cela peut être facilement évité en choisissant le meilleur fournisseur d’hébergement WordPress pour votre site. Des serveurs correctement sécurisés peuvent bloquer un grand nombre des attaques les plus courantes contre les sites WordPress.
Si vous souhaitez prendre des précautions supplémentaires, nous vous recommandons d’utiliser un fournisseur d’hébergement WordPress géré.
2. Utilisation de mots de passe faibles
Les mots de passe sont les clés de votre site WordPress. Vous devez vous assurer que vous utilisez un mot de passe fort et unique pour chacun des comptes suivants, car ils peuvent tous donner à un pirate un accès complet à votre site :
- Votre compte d’administrateur WordPress
- Votre compte du panneau de contrôle de l’hébergeur
- Vos comptes FTP
- La base de données MySQL utilisée pour votre site WordPress
- Tous les comptes e-mail utilisés pour l’administration de WordPress et l’hébergeur.
Tous ces comptes sont protégés par des mots de passe. L’utilisation de mots de passe faibles permet aux pirates de les déchiffrer plus facilement à l’aide d’outils de piratage de base.
Vous pouvez facilement éviter cela en utilisant des mots de passe uniques et forts pour chaque compte. Consultez notre guide sur la meilleure façon de gérer les mots de passe pour les débutants WordPress pour apprendre à gérer tous ces mots de passe forts.
3. Accès non protégé à l’administration de WordPress (wp-admin)
La zone d’administration de WordPress permet à un compte d’effectuer différentes actions sur votre site WordPress. C’est également la zone la plus souvent attaquée d’un site WordPress.
Le fait de le laisser sans protection permet aux pirates d’essayer différentes approches pour pirater votre site. Vous pouvez leur compliquer la tâche en ajoutant des calques d’authentification à votre répertoire d’administration.
Tout d’abord, vous devez protéger votre zone d’administration WordPress par un mot de passe. Cela ajoute une calque de sécurité supplémentaire, et toute personne essayant d’accéder à l’administration de WordPress devra fournir un mot de passe supplémentaire.
Si vous gérez un site WordPress multi-auteurs ou multi-utilisateurs, alors vous pouvez imposer des mots de passe forts pour tous les utilisateurs/utilisatrices de votre site. Vous pouvez également ajouter l’authentification à deux facteurs (2FA) pour rendre encore plus difficile pour les pirates de saisir/saisir votre zone d’administration WordPress.
4. Droits d’accès aux fichiers incorrects
Les droits d’accès aux fichiers sont un ensemble de règles utilisées par votre serveur web. Ces droits aident votre serveur web à contrôler l’accès aux fichiers de votre site. Des droits de fichiers incorrects peuvent permettre à un pirate d’écrire et de modifier ces fichiers.
Tous les fichiers de votre site WordPress doivent avoir la valeur 644 comme droit de fichier. Tous les dossiers de votre site WordPress doivent avoir un droit de 755.
Consultez notre guide sur comment corriger le problème de l’outil téléversement d’images dans WordPress pour savoir comment appliquer ces droits sur les fichiers.
5. Ne pas mettre WordPress à jour
Certains utilisateurs/utilisatrices de WordPress ont peur de mettre à jour leur site WordPress. Ils craignent en effet que leur site ne soit endommagé.
Chaque nouvelle version de WordPress corrige des bogues et des failles de sécurité. Si vous ne mettez pas WordPress à jour, vous laissez intentionnellement votre site vulnérable.
Si vous craignez qu’une mise à jour ne brise votre site, vous pouvez créer une sauvegarde complète de WordPress avant d’exécuter une mise à jour. Ainsi, si quelque chose ne fonctionne pas, vous pourrez facilement revenir à la version précédente.
Vous pouvez en savoir plus dans notre guide du débutant sur la façon de mettre à jour WordPress en toute sécurité.
6. Ne pas mettre à jour les extensions ou le thème
Tout comme le cœur du logiciel WordPress, la mise à jour de votre thème et de vos extensions est tout aussi importante. L’utilisation d’une extension ou d’un thème obsolète peut rendre votre site vulnérable.
Des failles de sécurité et des bogues sont souvent découverts dans les extensions et les thèmes WordPress. En général, les auteurs/autrices de thèmes et de plugins s’empressent de les corriger. Toutefois, si un utilisateur ne met pas à jour son thème ou son extension, il ne peut rien y faire.
Confirmez que vous maintenez votre thème WordPress et vos extensions à jour. Vous pouvez apprendre comment dans notre guide sur l’ordre de mise à jour approprié pour WordPress, les extensions et les thèmes.
7. Utiliser le protocole FTP classique au lieu du protocole SFTP/SSH
Les comptes FTP sont utilisés pour téléverser des fichiers sur votre serveur web à l’aide d’un client FTP. La plupart des fournisseurs d’hébergement supportent les connexions FTP à l’aide de différents protocoles. Vous pouvez vous connecter à l’aide d’un simple FTP, d’un SFTP ou d’un SSH.
Lorsque vous vous connectez à votre site à l’aide d’un simple protocole FTP, votre mot de passe est envoyé au serveur en clair. Il peut donc être espionné et facilement volé. Au lieu d’utiliser le protocole FTP, vous devriez toujours utiliser le protocole SFTP ou SSH.
Vous n’avez pas besoin de modifier votre client FTP. La plupart des clients FTP peuvent se connecter à votre site via SFTP ou SSH. Il vous suffit de modifier le protocole en « SFTP – SSH » lorsque vous vous connectez à votre site.
8. Utiliser Admin comme identifiant WordPress
Il n’est pas recommandé d’utiliser « admin » comme identifiant WordPress. Si votre nom d’utilisateur administrateur/administratrices est « admin », vous devez immédiatement le modifier pour un autre identifiant.
Pour des instructions détaillées, consultez notre tutoriel sur la modification de votre identifiant WordPress.
9. Thèmes et extensions annulés
Il existe de nombreux sites internet qui distribuent gratuitement des extensions et des thèmes WordPress payants. Vous pourriez être tenté d’utiliser ces extensions et thèmes gratuits sur votre site.
Le téléchargement de thèmes et d’extensions WordPress à partir de sources non fiables est très dangereux. Non seulement ils peuvent compromettre la sécurité de votre site, mais ils peuvent également être utilisés pour voler des informations sensibles.
Vous devez toujours télécharger les extensions et les thèmes WordPress à partir de sources fiables telles que le site du développeur/développeuse ou les dépôts officiels de WordPress.
Si vous ne pouvez pas vous permettre d’acheter une extension ou un thème premium, alors il y a toujours des alternatives gratuites disponibles pour ces produits. Ces extensions gratuites ne sont peut-être pas aussi performantes que leurs homologues payants, mais elles feront le travail et, surtout, assureront la sécurité de votre site.
Vous pouvez également trouver des remises pour de nombreux produits WordPress populaires dans la section des offres de notre site.
10. Ne pas sécuriser le fichier de configuration WordPress wp-config.php
Le fichier de configuration WordPress wp-config.php contient les informations de connexion à votre base de données WordPress. S’il est terminé, il révélera des informations qui pourraient donner à un pirate un accès complet à votre site.
Vous pouvez ajouter une calque supplémentaire de protection en interdisant l’accès au fichier wp-config à l’aide de .htaccess. Ajoutez simplement ce code à votre fichier .htaccess :
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Ne pas modifier le préfixe du tableau WordPress
De nombreux experts recommandent de modifier le préfixe de table par défaut de WordPress. Par défaut, WordPress utilise wp_
comme préfixe pour les tables qu’il crée dans votre base de données. Vous disposez d’une option pour le modifier lors de l’installation.
Il est recommandé d’utiliser un préfixe plus complexe. Il sera ainsi plus difficile pour les pirates de deviner les noms des tables de votre base de données.
Pour des instructions détaillées, consultez notre guide sur la modification du préfixe de la base de données de WordPress pour améliorer la sécurité.
Nettoyer un site WordPress piraté
Le nettoyage d’un site WordPress piraté peut être douloureux. Cependant, il est possible de le faire.
Voici quelques Premiers pas dans le nettoyage d’un site WordPress piraté :
- Signes de piratage de votre site WordPress (et comment le corriger)
- Comment analyser votre site WordPress pour détecter les codes potentiellement malveillants ?
- Comment trouver une porte dérobée dans un site WordPress piraté et la corriger ?
- Que faire lorsque vous êtes bloqué hors de l’administration de WordPress (wp-admin)
- Guide du débutant sur la restauration de WordPress à partir d’une sauvegarde
Astuce bonus
Pour une sécurité à toute épreuve, Sucuri propose des services de détection et de suppression des logiciels malveillants ainsi qu’un pare-feu de site web qui protégera votre site contre les menaces les plus courantes.
Lisez les stories sur la façon dont Sucuri nous a aidés à bloquer 450 000 aides WordPress en 3 mois.
Vous pouvez également profiter de nos services professionnels WPBeginner.
Si votre site a été piraté, notre équipe d’experts peut nettoyer le code malveillant, les fichiers et les logiciels malveillants pour s’assurer que vos données sensibles sont en sécurité. Prix à partir de 249 $.
Nous espérons que cet article vous a aidé à connaître les principales raisons pour lesquelles un site WordPress se fait pirater. Vous pouvez également consulter notre guide sur la façon de protéger votre site WordPress contre les attaques par force brute et notre choix d’experts des meilleures extensions de sécurité WordPress pour protéger votre site.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Jiří Vaněk
What exactly do the directives for securing the wp-config.php file using the .htaccess file do? Do they deny access to anyone from the outside, allowing access only to the file by specific applications? Am I understanding it correctly?
Won’t this cause some other problem of not being able to access the file?
WPBeginner Support
It would prevent access from someone trying to open the file directly and in most cases should not cause a problem with limiting access this way.
Administrateur
Jiří Vaněk
Thank you for answer. I just wanted to make sure that there could be a situation where I would break some internal WordPress communication. I definitely apply security.
SaifZiya
Thanks for these amazing tips. I going to add the code to .htaccess file now.
Amit Khandelwal
Hello, i have secure my wp-admin folder through folder privacy but how can i do the same for wp-login url?
Dragos
You can also not install in the default location your WordPress website so you can actually install the wp into a folder named « secure » and then with some tricks your visitors will enter to your website.com not website.com/secure in order to see your site.