10 problèmes de sécurité courants de WordPress et comment les résoudre
Publié: 2020-09-16
Alors que la popularité de WordPress continue de croître, la menace des vulnérabilités de sécurité augmente également. Avec des millions de sites Web fonctionnant sur WordPress, il est devenu une cible de choix pour les pirates et les cybercriminels cherchant à exploiter les vulnérabilités.
Qu'il s'agisse de logiciels obsolètes, de mots de passe faibles ou d'autorisations de fichiers non sécurisées, de nombreux problèmes de sécurité peuvent mettre votre site WordPress en danger. Dans cet article, je vais vous parler des problèmes de sécurité courants de WordPress avec leurs correctifs.
- Un aperçu de la sécurité de WordPress
- Pourquoi la sécurité de WordPress est-elle importante ?
- Qui est responsable de la sécurité ?
- Sources de vulnérabilités WordPress
- Problèmes de sécurité courants de WordPress
Un aperçu de la sécurité de WordPress
Malgré sa popularité, de nombreux utilisateurs de WordPress ne connaissent pas les bases de la sécurisation de leurs sites Web. Pire encore, de nombreux utilisateurs croient à l'idée fausse (très dangereuse) selon laquelle l'installation d'un certificat SSL suffit à sécuriser leur site.
Dre Armeda , le co-fondateur de Sucuri, dans une interview avec Cloudways, a mentionné que «les gens sont et continueront d'être le plus gros problème de sécurité avec WordPress».
Je pense également que la moitié des vulnérabilités de sécurité de WordPress sont dues à la négligence. C'est une raison importante pour laquelle les sites WordPress sont une cible facile pour les cybercriminels. De nombreux utilisateurs novices installent simplement WordPress, puis font confiance aux mécanismes de sécurité par défaut.
Cela expose votre site Web aux cybermenaces. Pour protéger votre site Web contre le trafic malveillant et les attaques DDoS, vous devez opter pour un hébergement WordPress sécurisé combiné aux meilleures pratiques de sécurité.
Pourquoi la sécurité de WordPress est-elle importante ?
Étant une plate-forme open source, WordPress reste vulnérable aux attaques de sécurité. Les personnes ayant peu de connaissances sur WordPress peuvent tenter de le pirater, ce qui le rend très peu sûr.
WordPress alimente près de 43 % des sites Web en ligne. Une faille de sécurité peut entraîner la perte d'informations sensibles, notamment des données utilisateur, des informations financières et des identifiants de connexion, ce qui peut causer de graves dommages à la réputation et aux revenus de l'entreprise et entraîner des conséquences juridiques.
Consultez l'image ci-dessous pour découvrir l'importance de sécuriser votre site WordPress.
Qui est responsable de la sécurité ?
La sécurité d'un site WordPress est une responsabilité partagée du propriétaire du site Web, de l'hébergeur et de la communauté WordPress.
Responsabilité du Propriétaire du Site
La responsabilité principale de la sécurité du site WordPress incombe au propriétaire du site Web. Voici une liste de contrôle que le propriétaire du site Web doit assurer pour la sécurité du site Web.
- Mise à jour du noyau WordPress ;
- Thèmes et plugins mis à jour ;
- Version PHP mise à jour ;
- Hébergement WordPress sécurisé ;
- Mots de passe forts et 2FA ;
- Plugin de sécurité installé ;
- Analyses de sécurité régulières.
Responsabilité de l'hébergeur
Un fournisseur d'hébergement responsable doit maintenir la sécurité des serveurs et s'assurer qu'ils répondent aux exigences de sécurité standard de l'industrie. Un hébergeur sécurisé disposera de processus de sécurité éprouvés dans l'industrie et vous soutiendra en cas de problème avec votre site Web.
Bien que vous ayez le choix entre différents fournisseurs d'hébergement, l'hébergement cloud géré est une meilleure option car il gère tous les aspects de votre serveur, y compris la sécurité côté serveur, les correctifs réguliers et les mises à jour.
Et en ce qui concerne la sécurité, Cloudways remporte la partie grâce à ses nombreuses fonctionnalités de sécurité. SafeUpdates pour WordPress vous aideà gagner du temps , à augmenter la sécuritéetà automatiser facilementvotre site Web.
Source : SafeUpdates pour WordPress/Cloudways
Ce sont quelques fonctionnalités de sécurité que Cloudways offre à ses utilisateurs. Avec l'hébergement géré, les propriétaires de sites Web peuvent tirer parti de ces fonctionnalités de sécurité et se concentrer sur la croissance de leur présence en ligne pendant que le fournisseur s'occupe des détails techniques.
Responsabilité de la communauté WordPress
Les développeurs liés à la communauté WordPress peuvent également jouer un rôle dans l'amélioration de la sécurité du site. Voici une liste de contrôle qu'ils peuvent suivre pour assurer la sécurité de WordPress.
- Publier des mises à jour et des correctifs pour corriger les vulnérabilités ;
- Gardez les thèmes et plugins WordPress à jour ;
- Recherche pour améliorer la sécurité de WordPress Core.
Sources de vulnérabilités WordPress
Étant une plate-forme open source, WordPress reste vulnérable aux attaques de sécurité. Les personnes ayant peu de connaissances sur WordPress peuvent tenter de le pirater, ce qui le rend très peu sûr.
Selon les statistiques de vulnérabilité WordPress de WPScan , les plugins obsolètes ou défectueux rendent le site le plus vulnérable, tandis que les thèmes et les versions de WordPress jouent également un rôle dans la vulnérabilité des sites aux attaques de sécurité.
Source : WPScan
De plus, les statistiques révèlent que les thèmes et plugins gratuits rendent le site moins sécurisé que les thèmes et plugins premium.
– Source : WPScan
Problèmes de sécurité courants de WordPress
Voici quelques problèmes de sécurité WordPress courants et leurs correctifs :
| Problème de sécurité | Réparer |
| 1. Noyau WordPress obsolète | Gardez votre WordPress Core à jour. |
| 2. Thèmes et plugins obsolètes | Gardez vos thèmes et plugins WordPress à jour. Utilisez un plugin de sécurité pour surveiller votre site Web pour les mises à jour. |
| 3. Infections par des logiciels malveillants | Maintenez à jour le logiciel et les plug-ins de votre site Web, exécutez des analyses régulières à l'aide d'un plug-in de sécurité et supprimez immédiatement tous les fichiers infectés. |
| 4. Écrémage des cartes de crédit | Utilisez des passerelles de paiement sécurisées, surveillez régulièrement votre site Web pour détecter toute activité suspecte et utilisez un plug-in de sécurité qui offre une protection contre les attaques d'écrémage de carte de crédit. |
| 5. Connexions non autorisées | Utilisez un plugin de sécurité qui fournit un blocage IP et un suivi des tentatives de connexion. Bloquez les adresses IP qui tentent d'attaquer par force brute votre site Web. |
| 6. Attaques par injection SQL | Assurez-vous que votre site Web utilise des pratiques de codage sécurisées pour empêcher les attaques par injection SQL. Utilisez un plugin de sécurité qui fournit un pare-feu et une protection contre les injections SQL. |
| 7. Spam d'optimisation pour les moteurs de recherche (SEO) | Mettez en œuvre des mesures de sécurité telles que la mise à jour régulière de votre logiciel, l'utilisation d'un plug-in de sécurité, la surveillance des activités suspectes et la limitation de l'accès à votre site Web à des sources fiables. |
| 8. Attaques de script intersite (XSS) | Gardez vos plugins et thèmes à jour pour éviter les vulnérabilités qui pourraient conduire à des attaques XSS. Utilisez un plugin de sécurité qui fournit une protection XSS. |
| 9. Attaques par déni de service distribué (DDoS) | Utilisez un pare-feu d'application Web (WAF) qui surveille le trafic entrant et filtre les requêtes malveillantes avant qu'elles n'atteignent votre site Web. |
| 10. Vulnérabilité d'inclusion de fichiers | Assurez-vous que tous les chemins de fichiers sont correctement nettoyés et validés avant d'être utilisés dans le code, et limitez les autorisations de tous les fichiers pouvant être inclus dans votre site Web. |
1. Noyau WordPress obsolète
WordPress Core peut être l'une des principales raisons pour lesquelles les sites WordPress sont vulnérables aux menaces de sécurité.
Tous les trois mois, les développeurs WordPress déploient des mises à jour pour les sites WordPress, et il est recommandé aux utilisateurs de maintenir le noyau mis à jour manuellement ou automatiquement. Ces versions visent à améliorer la sécurité de WordPress en corrigeant les bogues et en résolvant les erreurs.
La mise à jour de WordPress Core améliore la sécurité, les performances et les fonctionnalités de votre site. Si vous ne le mettez pas à jour, vous ne pourrez pas mettre à jour vos thèmes et plugins. Cela rendra votre site plus vulnérable aux menaces de sécurité.
Solution
Vous pouvez résoudre ce problème en mettant simplement à jour vos sites WordPress. Tout ce que vous avez à faire est de vérifier votre site pour les mises à jour. Vous devez suivre ces étapes.
- Allez dans votre tableau de bord WordPress → Mises à jour ;
- Mettez à jour la dernière version dès qu'elle est disponible.
– Source : Tableau de bord WordPress
Conseil de pro : si vous souhaitez vous épargner les tracas manuels liés à la sauvegarde et à la mise à jour de votre site, vous pouvez utiliser la fonctionnalité Cloudways SafeUpdates.
Pour automatiser le processus de mise à jour de WordPress et rationaliser le processus de maintenance en douceur, Cloudways a introduit SafeUpdates . Il vous aide à détecter, tester et déployer les mises à jour sans erreur.
– Source : Plateforme Cloudways
Prenez le contrôle des mises à jour et de la sécurité de votre site Web avec Cloudways SafeUpdates
Vous pouvez mettre à jour votre WordPress, vos plugins et vos thèmes en toute sécurité en un seul clic sans vous soucier des problèmes de compatibilité ou de la perte de données.
2. Thèmes et plugins obsolètes
L'une des raisons pour lesquelles WordPress domine le marché des CMS est sa capacité à être personnalisé. La riche bibliothèque de plugins et de thèmes permet aux utilisateurs de jouer plus facilement avec les sites WordPress sans se soucier des tracas manuels liés à l'ajout de fonctionnalités et de conception.
Mais saviez-vous que les thèmes et plugins obsolètes peuvent rendre les sites vulnérables aux menaces de sécurité ?
Les thèmes et les plugins doivent être constamment mis à jour pour s'aligner sur la version actuelle de votre site WordPress. Les développeurs de thèmes et de plugins publient souvent des mises à jour pour ajouter une couche supplémentaire de fonctionnalités et de sécurité au site.
Solution
Vous pouvez mettre à jour les thèmes et plugins depuis votre tableau de bord WordPress. Vous devez suivre ces étapes.
- Allez dans votre tableau de bord WordPress → Mises à jour ;
- Cliquez sur Mettre à jour les plugins .
– Source : Tableau de bord WordPress
- Cliquez surMettre à jour les thèmes .
– Source : Tableau de bord WordPress
3. Infections par des logiciels malveillants
Presque tous les sites restent vulnérables aux logiciels malveillants.
Mais avec WordPress, le problème devient sérieux car il est plus facile d'y accéder sans autorisation. Les pirates peuvent rechercher des problèmes de sécurité dans les plugins et les thèmes et les imiter pour attaquer les sites Web.
Solution
Vous pouvez éviter le problème des logiciels malveillants en prenant les mesures suivantes. Vous devez suivre ces étapes.
- Vérifiez attentivement les plugins et les thèmes avant de les installer ;
- Des analyses de sécurité régulières pour détecter tout logiciel malveillant potentiel résidant sur votre site ;
- Vous pouvez installer des plugins pour la détection et la suppression des logiciels malveillants, tels que MalCare , WordFence , Sucuri , etc.
L'hébergement Cloudways fournit également Malcare Bot Protection pour identifier et bloquer le trafic malveillant et se protéger des attaques. Découvrez comment activer la protection contre les bots pour sécuriser vos sites WordPress.
4. Écrémage des cartes de crédit
Habituellement, les pirates injectent du code JavaScript malveillant dans le site Web pour voler des informations sensibles telles que les numéros de carte de crédit, les dates d'expiration et les codes CVV. Cet acte est appelé écrémage de carte de crédit.
L'écrémage des cartes de crédit peut entraîner des pertes financières importantes et nuire à votre entreprise à long terme. Si vous utilisez WordPress pour vos sites Web, vous pourriez être le plus vulnérable à cette attaque car il s'agit d'une plate-forme open source et les pirates ont suffisamment de savoir-faire pour approfondir les détails.
Solution
Vous pouvez empêcher ce type d'attaque en prenant les mesures suivantes.
- Installez un outil de surveillance comme Sucuri SiteCheck pour analyser votre site Web à la recherche d'activités malveillantes.
– Source : Sucuri
- Maintenez le site et ses composants à jour avec les derniers correctifs de sécurité et mises à jour logicielles.
- Utilisez des outils de sécurité tels que des pare-feu, des systèmes de détection d'intrusion et des certificats SSL pour mieux protéger les sites et les informations sensibles.
5. Connexions non autorisées
Les attaques par force brute provoquent des connexions non autorisées.
Cela implique des tentatives répétées successives d'essayer diverses combinaisons de mots de passe pour pénétrer dans un site Web. Les pirates tentent cela en utilisant les bots qu'ils ont installés de manière malveillante sur d'autres ordinateurs pour augmenter la puissance nécessaire à l'exécution de telles attaques.
Il y a deux raisons principales pour lesquelles les attaques par force brute se produisent si facilement.
- La page de connexion par défaut du backend du site WordPress est facile à trouver car elle commence parwp .Cela réduit les conjectures pour le pirate informatique.
- Les propriétaires de sites WordPress conservent des mots de passe et des identifiants de connexion faibles.
Solution
Vous pouvez éviter ce problème en prenant les mesures suivantes.
- La modification de l'URL de connexionwp-admin par défaut rend difficile pour les pirates de lancer une attaque par force brute sur votre site WordPress.
- CAPTCHA est considéré comme l'une des meilleures protections contre les attaques par force brute. En savoir plus sur la façon d'ajouter Google invisible reCAPTCHA à WordPress .
- Il est fortement recommandé d'utiliser des mots de passe différents mais forts pour les sites Web, tels que les réseaux sociaux et les comptes de messagerie.
- Pour appliquer l'habitude des mots de passe forts sur votre site, vous devez utiliser WPassword de WP White Security pour appliquer des politiques de mots de passe forts.
6. Attaques de langage de requête structuré (SQL)
Les injections SQL sont des attaques dans lesquelles les attaquants intègrent des commandes SQL dans différentes zones de vos sites Web (en particulier, la zone de commentaire et les zones de texte). Ces commandes peuvent compromettre la base de données SQL et révéler des informations sensibles stockées dans la base de données.
La modification de l'URL en ajoutant des instructions PHP est une autre menace potentielle pour la sécurité de WordPress dans laquelle les attaquants peuvent déclencher des attaques sur la base de données et d'autres composants du site Web.
La plupart des sites WordPress sont hébergés sur un serveur Apache avec une astuce astucieuse pour contrer ces attaques. Tous les serveurs Apache ont un fichier .htaccess qui définit les règles d'accès au site Web.
Solution
Pour empêcher les attaques par injection SQL et le piratage d'URL, suivez les étapes ci-dessous :
- Utiliser des instructions préparées ou des requêtes paramétrées
- Valider l'entrée de l'utilisateur
- Utiliser l'accès au moindre privilège
- Mettez régulièrement à jour votre logiciel et votre base de données
- Utiliser un pare-feu d'application Web (WAF)
- Utilisez le cryptage .
7. Spam d'optimisation pour les moteurs de recherche (SEO)
Le spam SEO cible le référencement du site Web. Les pirates injectent des mots-clés spammy et des publicités pop-up sur les pages les mieux classées et tentent de saboter la réputation et les revenus de l'entreprise.
Ce sont quelques raisons pour lesquelles le spam SEO se produit.
- Plugins et thèmes obsolètes ;
- Rôles d'utilisateur non définis ;
- Contenu de spam ;
- Vérifications de sécurité faibles.
Solution
Si votre site WordPress a été affecté par du spam SEO, vous pouvez prendre plusieurs mesures pour le nettoyer.
- Supprimez tous les plugins et thèmes suspects ou indésirables ;
- Supprimez tout contenu indésirable ;
- Mettez à jour vos mots de passe ;
- Surveillez régulièrement votre site Web;
- Utilisez des plugins de sécurité tels que Wordfence ;
- Signalez le problème à Google .
8. Attaques de script intersite (XSS)
Les attaques de type Cross-Site Scripting (XSS) permettent à un attaquant d'injecter un code malveillant dans un site Web, qui est ensuite exécuté par le navigateur de tout utilisateur qui visite la page affectée.
Cela peut entraîner la perte ou l'utilisation abusive d'informations sensibles, telles que les identifiants de connexion ou les données personnelles, et peut également être utilisé pour mener d'autres attaques, telles que le phishing ou la diffusion de logiciels malveillants.
Solution
Pour prévenir les attaques XSS dans WordPress, il est important de suivre les meilleures pratiques telles que :
- Valider et assainir les entrées des utilisateurs ;
- Gardez les plugins et les thèmes à jour ;
- Maintenez WordPress Core à jour ;
- Utilisez un pare-feu d'application Web (WAF) pour inspecter le trafic et empêcher les visiteurs non approuvés d'envahir votre système.
Conseil de pro : si vous utilisez Cloudways, vous n'avez pas à vous en soucier.Tous les serveurs lancés via Cloudways sont livrés avec un pare-feu préinstallé qui agit comme la première ligne de défense de votre site Web.
9. Attaques par déni de service distribué (DDoS)
Les attaques DDoS se produisent lorsqu'un attaquant envoie du trafic vers une seule cible via des réseaux ou des ordinateurs compromis.
Le volume de trafic peut submerger le serveur du site Web, le rendant indisponible pour les utilisateurs. Dans le cas de WordPress, une attaque DDoS peut entraîner des temps d'arrêt importants, une réduction des performances et une perte de revenus, ainsi que des dommages à la réputation du site Web.
Solution
Pour protéger votre site Web contre le trafic malveillant et les attaques DDoS, vous devez opter pour un hébergement WordPress sécurisé combiné à des plugins de sécurité de premier plan.
- Utilisez un CDN pour répartir la charge de trafic entrant et protéger votre site Web contre les attaques DDoS en absorbant le trafic avant qu'il n'atteigne votre site Web.
- Il existe plusieurs plugins de protection DDoS disponibles pour WordPress qui peuvent vous aider à sécuriser votre site Web contre les attaques DDoS.
- Recherchez un fournisseur d'hébergement qui offre une protection DDoS et s'assure que ses serveurs sont équipés pour gérer des niveaux de trafic élevés.
Conseil de pro : Cloudways propose un module complémentaire Cloudflare Enterprise qui atténue les attaques DDoS en moins de 3 secondes.
10. Vulnérabilité d'inclusion de fichiers
Une installation WordPress contient plusieurs fichiers sensibles, tels que wp-config.php , install.phpetreadme.html. Ces fichiers doivent être tenus cachés de tout accès extérieur.
La vulnérabilité d'inclusion de fichiers permet aux attaquants d'exécuter du code arbitraire sur un site Web en incluant des fichiers malveillants provenant de sources externes. Cela peut se produire lorsqu'un site Web inclut un fichier provenant d'une source externe sans valider ou nettoyer correctement le chemin du fichier.
Solution
Pour résoudre ce problème, le fichier .htaccess est très pratique.
Vous pouvez ajouter les lignes suivantes au fichier pour éviter que des fichiers importants ne soient dégradés. L'extrait de code suivant empêche également l'accès aux listes d'annuaires d'utilisateurs et masque les serveurs sensibles et les fichiers WordPress contre tout accès non autorisé.
Options Tous -Index <Fichiers .htaccess> Commander autoriser, refuser Refuser de tout </Fichiers> <Fichiers farhan.php> Commander autoriser, refuser Refuser de tout </Fichiers> <Fichiers licence.txt> Commander autoriser, refuser Refuser de tout </Fichiers> <Fichiers install.php> Commander autoriser, refuser Refuser de tout </Fichiers> <Fichiers wp-config.php> Commander autoriser, refuser Refuser de tout </Fichiers> <fichiers error_log> Commander autoriser, refuser Refuser de tout </Fichiers> <Fichiers fantastico_fileslist.txt> Commander autoriser, refuser Refuser de tout </Fichiers> <Fichiers fantversion.php> Commander autoriser, refuser Refuser de tout </Fichiers>
Résumé
La sécurité est cruciale pour les sites Web WordPress et il est nécessaire de mettre en œuvre des mesures pour prévenir les menaces de sécurité. Gardez les logiciels et les plugins à jour, utilisez des mots de passe forts, activez l'authentification à deux facteurs et utilisez un plugin de sécurité.
Choisissez un fournisseur d'hébergement sécurisé, utilisez uniquement des thèmes et des plugins réputés et effectuez des sauvegardes régulières. En prenant ces mesures, vous pouvez réduire les risques de sécurité et assurer la sécurité de votre site Web WordPress.
De plus, je recommande fortement aux utilisateurs de conserver un journal de ce qui s'est passé sur WordPress en utilisant un plugin d'audit de sécurité et le plugin de sécurité WordPress préféré , qui renforce WordPress contre les menaces en ligne.
Questions fréquemment posées
Q. WordPress a-t-il des problèmes de sécurité ?
Comme toutes les plateformes, WordPress a sa part de problèmes de sécurité. Cependant, les problèmes de sécurité de WordPress peuvent être facilement évités si vous suivez les meilleures pratiques de sécurité de WordPress.
Q. Pourquoi WordPress n'est-il pas sécurisé ?
De nombreux problèmes de sécurité WordPress surviennent parce que les administrateurs du site ignorent les pratiques standard concernant les plugins et les thèmes. Dans de nombreux cas, cela pourrait être évité en effectuant un audit de sécurité et en corrigeant les failles afin que le site Web reste sécurisé.
Q. WordPress est-il facilement piraté ?
Non. Les versions récentes de WordPress sont assez sécurisées. Cette sécurité de base peut être encore améliorée en installant des plugins de sécurité WordPress et en choisissant des thèmes et des plugins à partir de sources fiables.
Q. Comment puis-je améliorer ma sécurité WordPress ?
La sécurité de WordPress peut être améliorée en suivant les conseils de base :
- Choisissez une solution d'hébergement sécurisée ;
- Installez un certificat SSL (une exigence essentielle pour les sites Web d'entreprise);
- Configurez un plugin de sécurité WordPress fiable ;
- Installez la limitation du taux de connexion via un plugin ;
- Assurez-vous que TFA est actif.