Top 10 des vulnérabilités de sécurité de WordPress et des moyens de les corriger
Publié: 2018-11-28Cette citation est assez bonne pour vous donner une idée des problèmes de sécurité qui se produisent partout dans le monde. En fait, la sécurité des sites Web est un sujet qui donne des nuits blanches aux propriétaires de sites depuis longtemps. Personne n'a été en mesure d'atteindre une sécurité à 100 % pour son site d'entreprise.
Selon une enquête menée par Juniper Research, la cybercriminalité coûtera aux entreprises plus de 2 000 milliards de dollars d'ici 2019. Il s'agit d'une statistique alarmante qui montre que la sécurisation quotidienne d'un site Web devient très difficile. En même temps, vous devez trouver les moyens de sécuriser votre site, car il contient vos données les plus importantes ainsi que les informations sensibles.
Comme vous le savez tous, WordPress alimente 31 % d'Internet et, par conséquent, il est très clair que la plate-forme WordPress sera confrontée au plus grand nombre de problèmes de sécurité Web. La plupart des utilisateurs font confiance à cette merveilleuse plate-forme et c'est pourquoi ils ont construit leurs sites commerciaux sur celle-ci.
Cependant, selon une étude menée par Sucuri, WordPress est la plateforme de site Web la plus infectée pour l'année 2018.
Par conséquent, il devient important pour vous tous d'être conscients des diverses vulnérabilités de sécurité de WordPress et des moyens de les corriger. Alors, commençons et analysons chaque vulnérabilité une par une.
Il existe deux types d'entreprises : celles qui ont été piratées et celles qui ne savent pas encore qu'elles ont été piratées.
Top 10 des vulnérabilités de sécurité de WordPress
- Hébergement Web non sécurisé
- Utilisation d'un mot de passe faible
- Ne pas mettre à jour WordPress
- Injection SQL
- Oublier de sécuriser le fichier de configuration de WordPress
- Ne pas mettre à jour les plugins ou les thèmes
- Utilisation du FTP simple
- Ne pas changer le préfixe de table WordPress
- Logiciels malveillants
- Autorisations de fichier incorrectes
1. Hébergement Web non sécurisé
C'est peut-être l'une des principales raisons pour lesquelles les sites Web WordPress sont facilement infectés. Comme tous les autres sites Web, le site Web WordPress est également hébergé sur le serveur. Parfois, ce qui se passe, c'est que les sociétés d'hébergement ne sécurisent pas leur plate-forme. Dans ce genre de scénario, il y a toutes les chances que votre site Web WordPress soit attaqué par un étranger.
Façon de résoudre ce problème
Le meilleur moyen de résoudre ce problème consiste à héberger votre site Web WordPress sur certaines des meilleures plates-formes d'hébergement. Voici une liste des meilleurs fournisseurs d'hébergement WordPress que vous pouvez utiliser pour le site Web de votre entreprise.
Meilleurs fournisseurs d'hébergement WordPress
- Bluehost
- HostGator
- SiteGround
- DreamHost
- Hébergement InMotion
2. Utiliser un mot de passe faible
Les mots de passe sont un élément clé de la sécurité de votre site Web WordPress. Vous devez toujours vous assurer que vous utilisez un mot de passe fort pour votre compte WordPress. Selon une étude menée par WPTemplate, 8 % des sites Web WordPress dans le monde sont piratés en raison d'un mot de passe hebdomadaire. Un mot de passe hebdomadaire peut fournir un accès facile aux éléments suivants :
- Compte administrateur WP
- Compte C-Panel
- Compte FTP
- Votre base de données WordPress
C'est pourquoi il devient extrêmement vital d'avoir un mot de passe fort pour votre site WordPress.
Façon de résoudre ce problème
Former un mot de passe complexe
L'une des façons de résoudre ce problème consiste à créer un mot de passe complexe pour votre site. Essayez toujours d'utiliser la combinaison de l'alphabet, des chiffres, des caractères spéciaux, etc. pour créer un mot de passe. Cela vous aidera à créer un mot de passe fort qui ne peut pas être deviné facilement.
Utiliser un gestionnaire de mots de passe
L'autre façon de résoudre ce problème consiste à utiliser les gestionnaires de mots de passe. Un gestionnaire de mots de passe est une application qui vous permet de stocker tous vos mots de passe en un seul endroit, puis de les gérer via un mot de passe principal. L'USP de tout gestionnaire de mots de passe est qu'ils ont une fonctionnalité de remplissage automatique.
Voici une liste des meilleurs gestionnaires de mots de passe :
- Dernier passage
- 1Mot de passe
- Dashlane
Authentification à deux facteurs
C'est l'un des meilleurs moyens de protéger votre site Web WordPress contre le vol de mot de passe. Dans un scénario d'authentification à deux facteurs, si un attaquant est capable de deviner le mot de passe de votre site Web WordPress, il ne pourra pas se connecter à votre site. Il/elle aura besoin d'un code de sécurité qui est envoyé sur votre mobile. De cette manière, vous serez en mesure de protéger votre site Web.
Il existe plusieurs façons de configurer l'authentification à deux facteurs dans WordPress :
- Vérification SMS
- Application d'authentification Google
3. Ne pas mettre à jour WordPress
De nombreux utilisateurs se sentent à l'aise avec l'une des versions de WordPress et ne mettent donc pas à jour leur version de WordPress à intervalles réguliers. La principale raison derrière cela est qu'ils craignent que cela ne casse leur site Web. Cependant, chaque nouvelle version de WordPress est accompagnée de correctifs pour les bogues de sécurité et c'est pourquoi il devient important pour vous de mettre à jour votre site Web.
Façon de résoudre ce problème
Vérifiez toujours la dernière version de WordPress et essayez de maintenir votre site Web à jour. Cela minimisera les risques de problèmes de sécurité. Pour ceux qui craignent que la mise à jour de WordPress ne crée une panne de site, vous pouvez prendre la sauvegarde de leur site Web. Ainsi, si la nouvelle version ne fonctionne pas selon vos besoins, vous pouvez toujours revenir en arrière.
4. Injection SQL
L'injection SQL est l'une des plus anciennes méthodes d'accès au site Web. Comme vous le savez tous, SQL est un langage utilisé pour travailler avec la base de données WordPress et c'est pourquoi dans ce type d'attaque, les pirates injectent des commandes SQL dans votre site pour récupérer les informations. Les pirates deviennent intelligents de jour en jour et ils proposent une nouvelle injection SQL chaque jour ou l'autre. Ainsi, en tant que propriétaire de site Web, vous devez connaître les moyens de vous débarrasser de ce problème.
Façon de résoudre ce problème
Analyser la vulnérabilité d'injection SQL
Vous devez vérifier régulièrement les problèmes d'injection SQL sur votre site Web WordPress. Cependant, cela peut être une tâche très difficile à effectuer manuellement et c'est pourquoi vous devez utiliser certains outils d'analyse de sécurité à cette fin. Voici une liste des meilleurs outils d'analyse de sécurité :
- Analyse de sécurité WordPress
- Sucuri SiteCheck
- WPScan
Ajouter un code à votre fichier .htaccess
Une autre façon d'empêcher l'injection SQL consiste à ajouter un code particulier dans votre fichier .htaccess. .htaccess est un fichier de configuration qui est utilisé sur les serveurs Web et donc, en changeant cette partie, vous pourrez restreindre l'accès des étrangers à votre base de données WordPress.
Ajoutez le code suivant dans votre fichier .htaccess :
RewriteEngine On RewriteBase / RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC] RewriteRule ^(.*)$ - [F,L] RewriteCond %{QUERY_STRING} ../ [NC,OR] RewriteCond %{QUERY_STRING} boot.ini [NC,OR] RewriteCond %{QUERY_STRING} tag= [NC,OR] RewriteCond %{QUERY_STRING} ftp: [NC,OR] RewriteCond %{QUERY_STRING} http: [NC,OR] RewriteCond %{QUERY_STRING} https: [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR] RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR] RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|e|"|;|?|*|=$).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC] RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^(.*)$ - [F,L]
5. Oublier de sécuriser le fichier de configuration de WordPress
Le fichier de configuration WordPress (wp-config.php) comprend les identifiants de connexion à la base de données WordPress. Par conséquent, si des personnes extérieures ont accès à ce fichier, elles peuvent voler vos informations et endommager votre site Web. Par conséquent, il devient nécessaire que vous fassiez tout votre possible pour protéger ce fichier.
Façon de résoudre ce problème
L'un des moyens les plus simples de protéger le fichier wp-config.php consiste à modifier le .htaccess et à restreindre l'accès. Pour cela, ajoutez simplement l'extrait de code suivant à votre fichier .htaccess :
<files wp-config.php> order allow,deny deny from all </files>
6. Ne pas mettre à jour les plugins ou les thèmes
Tout comme le noyau WordPress, il est important d'utiliser la dernière version des plugins ou des thèmes du site Web WordPress. L'utilisation d'une version obsolète de n'importe quel plugin ou thème peut rendre votre site vulnérable aux menaces de sécurité. Selon une enquête menée par WPWhiteSecurity, 54% des vulnérabilités mondiales de WordPress sont dues aux plugins.
Façon de résoudre ce problème
Vérifiez toujours la mise à jour dans l'un de vos plugins et thèmes. Assurez-vous que vous utilisez la dernière version disponible sur WordPress. En suivant cette méthodologie, vous minimiserez les risques de menaces de sécurité sur votre site Web WordPress.
7. Utiliser le FTP simple
Pour ceux qui ne le savent pas, les comptes FTP sont utilisés pour télécharger un fichier sur le serveur de votre site Web à l'aide d'un client FTP. La plupart des hébergeurs prennent en charge la connexion FTP en utilisant différents types de protocoles : FTP simple, SFTP ou SSH.
La plupart des propriétaires de sites Web WordPress commettent l'erreur d'utiliser un FTP simple. Maintenant, ce qui se passe dans un FTP simple, c'est que votre mot de passe est envoyé au serveur sous une forme non cryptée. Ainsi, quiconque peut pirater le serveur peut accéder facilement à votre site Web WordPress.
Façon de résoudre ce problème
Au lieu d'utiliser FTP, vous pouvez opter pour l'option SFTP ou SSH. Vous n'avez pas besoin de modifier le client FTP à cette fin. Changez simplement le protocole en « SFTP-SSH » lors de la connexion à votre site Web. En utilisant ce protocole, vous pourrez envoyer le mot de passe au serveur sous une forme cryptée qui minimise le risque de problèmes de sécurité.
8. Ne pas changer le préfixe de table WordPress
Comme vous le savez tous, par défaut, toutes les tables WordPress créées dans votre base de données commencent par un préfixe nommé ks29so_. La plupart des développeurs WordPress ne se soucient pas de changer ce préfixe, car ils estiment que cela n'affectera pas les performances du site.
En conséquence, ce préfixe rend votre site Web WordPress vulnérable aux problèmes de sécurité. La raison derrière cela est qu'un attaquant peut facilement deviner le nom de vos tables de base de données WordPress. Par conséquent, vous devriez essayer de ressusciter ce problème dès que possible.
Façon de résoudre ce problème
Au lieu d'utiliser le préfixe par défaut pour les tables de base de données WordPress, vous devez définir votre propre préfixe qui est de nature compliquée afin que personne ne puisse le deviner. Vous pouvez modifier le préfixe de vos tables de base de données WordPress au moment de l'installation. Alors, souvenez-vous toujours de ce point. Après cela, vous n'aurez plus la possibilité de changer le préfixe.
Voici comment vous pouvez modifier le préfixe de la base de données WordPress pour améliorer la sécurité :
9. Logiciels malveillants
Malware est l'abréviation de logiciel malveillant. En d'autres termes, vous pouvez dire que c'est un code qui est utilisé pour accéder à un site Web de manière non autorisée. Un site Web piraté indique clairement qu'un logiciel malveillant a été injecté. Maintenant, si vous souhaitez reconnaître les logiciels malveillants sur le site, essayez de consulter les fichiers récemment modifiés.
Il peut y avoir de nombreux types d'infections par des logiciels malveillants sur le Web, mais pour WordPress, quatre principales infections par des logiciels malveillants sont répertoriées ci-dessous :
- Portes dérobées
- Téléchargements en voiture
- Hacks pharmaceutiques
- Redirections malveillantes
Façon de résoudre ce problème
Tout problème de logiciel malveillant peut être facilement identifié en recherchant le fichier récemment modifié, puis en supprimant ce fichier de votre site Web WordPress. L'autre façon de traiter ce problème consiste à installer une nouvelle version de WordPress ou en restaurant le site Web WordPress à partir de votre sauvegarde récente. Ces deux méthodes vous aideront à minimiser les vulnérabilités de sécurité.
10. Autorisations de fichiers incorrectes
Les autorisations de fichiers sont l'ensemble de règles utilisées par le serveur Web. Il aide votre serveur à contrôler l'accès à votre fichier sur votre site WordPress. Maintenant, parfois, ce qui se passe, c'est que l'utilisateur définit des autorisations de fichier incorrectes, ce qui permet aux attaquants d'accéder au fichier et de le modifier en fonction de leurs besoins, ce qui peut causer des dommages importants à votre site Web WordPress.
Façon de résoudre ce problème
La meilleure façon de résoudre ce problème consiste à définir la bonne autorisation de fichier pour votre site Web WordPress. L'autorisation de fichier sur n'importe quel site Web WordPress doit être comme indiqué ci-dessous :
- 755 ou 750 pour tous les répertoires
- 644 ou 640 pour les fichiers
- 600 pour wp-config.php
En définissant ces autorisations, vous pourrez restreindre l'accès à votre site Web WordPress, ce qui vous aidera à le protéger des attaquants.
Dernières pensées
La sécurité a été une préoccupation majeure pour les propriétaires de sites Web au fil des ans. Même après tant de recherches menées dans ce domaine, personne n'a été d'empiler la demande d'être 100% sécurisé. Cela montre le niveau de complexité auquel on doit faire face lorsqu'on travaille sur ce problème.
En tenant compte de cela, nous avons essayé de vous fournir les 10 principales vulnérabilités de sécurité de WordPress et les moyens de les corriger, ce qui vous aidera sûrement dans un proche avenir.
Quels sont vos avis sur ce sujet? Mentionnez-les dans notre section commentaires. Merci!