Security concept: Lock on digital screen

Un certain nombre de sites basés sur un CMS gratuit et open source, font l’objet d’actions de hacking causés par leur manque de sécurité. WordPress, est l’un des CMS les plus hackés. Il est donc essentiel de mieux sécuriser son site WordPress et de limiter les tentatives de piratage et de le protéger des cyberattaques.

Comment éviter que du code malveillant s’introduise dans votre WordPress ?

La majorité des pirates tente d’ajouter du code source dans les fichiers PHP du CMS afin d’envoyer du SPAM à des centaines d’adresses emails. Ils ne sont donc pas toujours visibles.

Quelles sont les conséquences de l’ajout de ce code source indésirable?

– Blacklist du serveur dans les listes de SPAM. Le serveur qui héberge votre site sera donc très vite blacklisté par la plupart des fournisseurs d’accès sur Internet.

– L’envoi de centaines d’emails de spams provoqué par ce code malveillant provoquera un ralentissement de la vitesse d’affichage de votre site. Le temps de chargement de votre site sera fortement impacté car le code qui a été introduit devra être traité par le serveur, et celui-ci fait souvent appel à des serveurs extérieurs basés dans d’autres pays. Plus ce serveur est loin et saturé, plus votre site prendra du temps à s’afficher. Sans oublier que le serveur doit également charger les données sur le serveur du pirate…

Les solutions pour éviter que cela se produise :

– Soyez prudent sur les permissions que vous appliquez aux différents dossiers qui composent votre site Internet. Les fichiers hackés se situent principalement dans les dossiers des pluggins. Interdisez l’écriture dans ces dossiers lorsque vous ne souhaitez pas faire de mise à jour (pour cela faites un clic droit sur le dossier une fois connecté à votre FTP via Filezilla, puis allez dans « Permissions ». Enfin, décochez les cases d’écriture)
Vous pouvez aussi retirer tout droit d’écriture sur ce fichier en mettant votre fichier index.php principal en CHMOD 444

– Il est important aussi de surveiller régulièrement la vitesse d’affichage de votre site. Si vous soupçonnez une lenteur de votre site, il faudra alors vérifier le contenu du fichier wp-config.php ou wp-settings.php.
Très souvent le code malveillant se niche dans ces fichiers puisqu’ils sont sollicités par l’ensemble de votre site, à chaque fois que vous changez de page.

Les autres bons réflexes pour réduire les risques de piratages de votre site web

La très grande majorité des attaques vise à modifier l’apparence ou le contenu d’un site. Ces attaques peuvent être aussi des dénis de service (DDoS) qui exploitent les failles de sécurité de sites vulnérables afin de les rendre inaccessibles à la consultation. Afin de vous prémunir de ces types d’attaques, il est essentiel de garder en tête quelques bonnes pratiques.

Les vecteurs les plus sensibles aux tentatives de piratage sont :

– le défaut de sécurisation d’accès à une interface de gestion du site,
se servir d’un mot de passe faible pour l’administration du site,
l’utilisation d’un gestionnaire de contenu (CMS) non maintenu ou dont les derniers correctifs de sécurité n’ont pas été appliqués
l’utilisation d’une brique logicielle non maintenue ou dont les derniers correctifs de sécurité n’ont pas été appliqués.
Il est donc très important de veiller à ce que ces éléments soient vérifiés et corrigés si nécessaire.

Utilisation de mots de passe de qualité

Choisissez des mots de passe de qualité, difficiles à retrouver à l’aide d’outils automatisés si besoin, et difficiles à deviner par une tierce personne :
– Vos mots de passe doivent contenir au minimum 12 caractères
– Utilisez différents types de caractères  (majuscules, minuscules, chiffres, caractères spéciaux)
– N’utilisez pas de mot de passe ayant un lien avec vous (noms, dates de naissance,…)
– N’utilisez pas le même mot de passe pour des accès différents
– Ne configurez pas les logiciels pour qu’ils retiennent les mots de passe
– Évitez de stocker vos mots de passe dans un fichier ou lieu proche de l’ordinateur si celui-ci est accessible par d’autres personnes
– Renforcez les éléments permettant de recouvrir les mots de passe d’un compte en ligne (question secrète, adresse de secours). Dans la plupart des cas, une adresse de messagerie ou un numéro de téléphone est nécessaire pour recouvrir un compte : il convient de renforcer l’accès à ces éléments

Précautions concernant les mises à jour de contenus de vos sites web et réseaux sociaux

Toute modification ou ajout de contenu doit être effectué depuis un poste informatique maîtrisé et dédié à cette activité. Évitez au maximum de le faire à distance depuis votre ordinateur personnel, une tablette ou un smartphone.
Les connexions doivent être réalisées uniquement à partir d’un réseau maîtrisé et de confiance. Il est important de ne pas utiliser de réseau WiFi ouvert ou non maîtrisé afin d’éviter tout risque d’interception. Il est important de vérifier également que le site visité est légitime et possède une connexion sécurisée (HTTPS).

Il ne faut pas oublier aussi que les attaques utilisent également les failles d’un ordinateur dont les logiciels n’ont pas été mis à jour afin d’utiliser la faille non corrigée et ainsi parvenir à s’y introduire. Ne négligez donc pas les mises à jour de votre système d’exploitation et de vos logiciels : navigateur, antivirus, bureautique, etc.

Réception de vos e-mail

Soyez vigilants, les courriels et leurs pièces jointes jouent souvent un rôle central dans les cyberattaques (courriels frauduleux, pièces jointes piégées). Lors de la réception de ce type de courriels, prendre les précautions suivantes :
– Vérifier la cohérence entre l’expéditeur présumé et le contenu du message et vérifier son identité. En cas de doute, ne pas hésiter à contacter directement l’émetteur du mail
– Ne pas ouvrir les pièces jointes provenant de destinataires inconnus
– Si des liens figurent dans un courriel, passer la souris dessus avant de cliquer. L’adresse complète du site s’affichera dans la barre d’état du navigateur située en bas à gauche de la fenêtre
– Ne jamais répondre par courriel à une demande d’informations personnelles ou confidentielles

Nous vous présentons ici quelques conseils essentiels pour vous prémunir d’une attaque, même si cette liste n’est pas exhaustive, elle vous permettra de réduire considérablement les risques. Nous vous conseillons d’effectuer des sauvegardes régulières, elles permettront de restaurer le contenu de votre site et de détecter un ajout, ou une modification illégitime d’un fichier…

Retrouvez encore plus d’informations et de conseils sur notre WIKI: http://wiki.phpnet.org/index.php/Piratage