The Grumpy Designer s'attaque aux logiciels malveillants WordPress
Publié: 2022-10-12Alors que certaines professions s'estompent avec le temps, il y aura toujours un besoin de concepteurs de sites Web. Pourquoi? Car d'année en année, le métier se complexifie. De nouvelles responsabilités arrivent qui s'étendent au-delà de la portée des outils automatisés et sans code.
La sécurité du site Web en est un excellent exemple. Cela a toujours été une préoccupation - même lorsque j'ai commencé sur cette voie au milieu des années 1990. À l'époque, la principale préoccupation était un mot de passe FTP piraté ou un ex-collègue en colère défigurant/effaçant des fichiers. Ces jours-ci, c'est tellement plus. Un peu comme un insecte embêtant qui s'est transformé en un énorme monstre marin.
Et ce monstre a complètement enroulé ses tentacules autour de ce designer grincheux. Le travail est devenu un cercle vicieux d'infection, de nettoyage et de réinfection par des logiciels malveillants. Puis répétez.
La cible principale de la malveillance du monstre est WordPress. Cela ne devrait pas surprendre, car le système de gestion de contenu (CMS) est constamment attaqué. Il vient avec le territoire d'alimenter plus de 40% du Web.
Malheureusement, je sais que je ne suis pas le seul à faire face à ce genre de débâcle. Sur ce, je voulais partager quelques diatribes, réflexions et suggestions pour remettre ce monstre à sa place.
Être prudent ne suffit pas
La froide réalité de la sécurité des sites Web est qu'il n'y a aucune garantie. Pratiquement tous les sites peuvent être compromis par des logiciels malveillants. Cela arrive même aux plus prudents d'entre nous.
En ce qui concerne WordPress, être prudent signifie garder à l'esprit quelques notions de base :
- Vérifier le thème et les plugins que nous installons ;
- Appliquer régulièrement les mises à jour ;
- Utiliser des mots de passe sécurisés et complexes ;
- Hébergement du site sur un service qui prend la sécurité au sérieux ;
- S'assurer que les autorisations de fichiers sont conformes aux recommandations de WordPress ;
- Ajout de couches de défense supplémentaires telles que des plugins de sécurité et des pare-feu ;
Bien qu'il y ait plus que cela, les actions ci-dessus fournissent une base solide. L'idée est de se protéger contre les types d'attaques les plus élémentaires. Espérons que cela dissuade également certaines tentatives plus complexes.
L'aspect frustrant de cette approche est que vous n'êtes aussi fort que le maillon le plus faible de votre sécurité. Même les plugins réputés peuvent contenir des failles de sécurité. Et il existe une multitude de vecteurs qu'un attaquant peut utiliser pour causer des problèmes, y compris certains sur lesquels nous n'avons aucun contrôle direct.
Par conséquent, être prudent ne suffit pas pour parer à toutes les attaques.
Nettoyer un piratage est une perte de ressources
Malgré les mesures prises pour éviter les problèmes de sécurité, des piratages se produisent toujours. Et quand ils le font, nettoyer les conséquences peut être une tâche ardue.
Le processus consiste à identifier tous les fichiers malveillants, y compris les fichiers de base WordPress légitimes qui auraient pu être modifiés. Les scanners de sécurité comme ceux trouvés dans le plugin Wordfence peuvent aider à identifier les fichiers, mais il y a des mises en garde.
Si le compte administrateur d'un site a été compromis ou si un attaquant a utilisé une faille de sécurité pour accéder au tableau de bord WordPress, tous les paris sont ouverts. Ils auraient la possibilité de désactiver un plugin de sécurité. À partir de là, ils pourraient faire toutes sortes de ravages tout en restant non détectés.
De plus, déterminer comment les logiciels malveillants ont trouvé leur chemin sur votre site est rarement simple. Je ne peux pas compter le nombre de fois où j'ai pensé avoir trouvé le coupable, seulement pour me tromper après des infections ultérieures. Il faut souvent passer au peigne fin les fichiers et étudier les blogs de sécurité pour obtenir une réponse. Pourtant, certaines questions peuvent rester un mystère.
Non seulement cela est stressant pour toutes les personnes impliquées, mais cela entrave également votre capacité à travailler sur d'autres projets. Une faille de sécurité est une situation de type tout-en-un. Si vous êtes un pigiste, vos mains sont inévitablement liées à la réparation d'un site piraté.
Que peuvent faire d'autre les concepteurs Web ?
Comme je l'ai mentionné précédemment, il n'y a que tant de choses sous notre contrôle. Les concepteurs Web peuvent prendre des décisions éclairées, mais nos projets peuvent toujours être la proie de logiciels malveillants. À certains égards, cela semble être une situation désespérée.
Cependant, les menaces de sécurité ne disparaissent pas. Au contraire, ils continueront à croître de façon exponentielle. Cela signifie que nous devons continuer à essayer.
Voici quelques stratégies qui pourraient vous aider :
Devenez un plugin minimaliste
Bien que ce ne soit jamais une bonne idée de garder des plugins WordPress inutiles installés, cela peut aussi être dangereux. C'est pourquoi cela vaut la peine de supprimer tout ce dont vous n'avez pas besoin.
Dans certains cas, il peut être utile de créer un plugin personnalisé barebones lorsque cela est possible. Des bots malveillants tentent de détecter les vulnérabilités connues dans le noyau de WordPress et des plugins spécifiques. Cela peut être un moyen de réduire les risques tout en conservant la fonctionnalité.
Quoi qu'il en soit, c'est aussi une bonne idée de suivre ce qui se passe avec les plugins que vous installez. Assurez-vous qu'ils sont régulièrement mis à jour et essayez d'éviter ceux qui ne sont plus maintenus.
Demandez aux clients d'investir dans la sécurité
La sécurité peut devenir une partie importante du travail d'un concepteur de sites Web. Beaucoup de travail est consacré au renforcement d'un site Web et à l'atténuation des problèmes qui surviennent. Mais nos prix ne reflètent pas toujours cette réalité.
Ainsi, il est logique de demander aux clients d'investir dans ce domaine. En recommandant des outils et des services liés à la sécurité, vous ajoutez de manière proactive des couches de protection supplémentaires. Et en incluant des contrôles de sécurité réguliers dans vos forfaits de maintenance, vous garderez un œil attentif sur ce qui se passe.
Un autre avantage de cette stratégie est que vous sensibilisez à la sécurité. Lorsque les clients auront une meilleure compréhension du sujet, ils seront plus enclins à prendre des mesures préventives.
Faire un plan de nettoyage
Il est sûr de dire qu'aucun d'entre nous ne veut avoir affaire à un site piraté. Nous faisons tout notre possible pour essayer d'empêcher que cela se produise. Et… ça arrive quand même.
En tant que tel, il vaut mieux se préparer à ce scénario plutôt que de se mettre la tête dans le sable. Développez un processus qui vous aide à nettoyer efficacement un site compromis.
Cela peut ne pas toujours fonctionner la première (ou la deuxième) fois. Mais chaque échec est un bon apprentissage. Finalement, vous affinerez le processus et augmenterez vos chances de succès.
Obtenez de l'aide professionnelle
La gestion de la sécurité du site Web est désordonnée et frustrante - suffisamment pour mettre n'importe lequel d'entre nous en thérapie. Ce genre d'aide professionnelle est toujours la bienvenue. Mais ce n'est pas le genre dont je parle ici.
Je parle plutôt de travailler avec des professionnels de la sécurité. Par exemple, des services qui aident à verrouiller les sites Web de vos clients et à les débarrasser de toute infection.
Il y a un coût impliqué - un coût que vous pouvez répercuter sur vos clients. Et cela peut simplement sauver votre santé mentale à long terme.
Le chaos des logiciels malveillants est la nouvelle norme
À certains égards, la sécurisation d'un site Web ressemble à un jeu du chat et de la souris. Pour chaque espace que vous fermez, un autre apparaît. Les acteurs malveillants font constamment évoluer leurs méthodes pour pénétrer WordPress et d'autres plateformes. Et aucun de nous n'est à l'abri.
Cela rend notre travail plus difficile et chronophage. Et cela rend également la maintenance du site Web plus coûteuse pour nos clients.
Certes, ce n'est pas ce que j'envisageais lorsque j'ai commencé comme webdesigner. Il est peu probable que beaucoup d'entre nous se lancent dans cette industrie parce que nous aimons nettoyer les logiciels malveillants. Mais qu'on le veuille ou non, c'est la nouvelle normalité. Et nous sommes la dernière ligne de défense contre ce monstre marin proverbial. Nous ne pouvons pas nous permettre de tomber sans nous battre.