Comment éviter que mon site se fasse pirater ?
Quelles sont les types de failles de sécurité utilisées par les pirates informatiques ?
Aucun site internet ne peut-être totalement invulnérable aux attaques informatiques et ce, quel que soit le CMS utilisé (ex. WordPress, Drupal). Personne, ni aucun site web n’est donc à l’abri.
Mais certaines précautions permettent de réduire le risque de manière significative. Les pirates utilisent différentes “failles”, aussi appelée “vulnérabilités”.
Attardons nous donc un instant sur principales attaques par type de vulnérabilité sur WordPress par exemple (Source wpwhitesecurity) :
- Vulnérabilités de sécurité présente sur le serveur de l’hébergeur ;
- Problèmes de sécurité dans le thème WordPress qu’ils utilisaient ;
- Problèmes de sécurité dans un des plugins WordPress qu’ils utilisaient ;
- Permissions de fichiers incorrectes
- Mots de passe “faibles”.
Que faire pour sécuriser mon site et minimiser les risques d’attaques informatiques ?
En conséquence, et même si cette liste n’est pas exhaustive, nous ne saurions que trop vous recommander de :
- Choisir un hébergement et un hébergeur à même de vous offrir une expertise suffisante en terme de sécurité (nous sommes hébergeurs depuis 1995) ;
- Utiliser un environnement d’hébergement à jour (ex. PHP7 au moment où nous écrivons ces lignes) ;
- Avoir une politique stricte en matière de “mot de passe” et utiliser des mots de passe suffisamment longs et complexes. Lors d’une attaque de type “Brute force”, un pirate (ou un robot) essaie rapidement un grand nombre de mots de passe possibles pour tenter d’accéder à votre interface d’administration. Les mots de passe faibles sont souvent déchiffrés en quelques secondes. Créez donc des mots de passe longs, difficiles à deviner mais dont vous pouvez vous souvenir. Utilisez des mots de passe différents pour chaque compte. Ne partagez jamais vos identifiants de connexion avec d’autres personnes. Utilisez une combinaison de lettres majuscules et minuscules ainsi que des chiffres et des caractères spéciaux ;
- Vous appuyer sur l’expertise de votre agence web afin d’assurer un bon niveau de qualité du code de vos thèmes WordPress. Dans l’ensemble, WordPress est assez sûr, en partie grâce à sa communauté importante et active. Cependant, de nombreuses failles de sécurité sont dues à des “thèmes commerciaux” ou à des plugins créés par des développeurs tiers ;
- Minimiser autant que faire se peut le nombre de plugins utilisés sur votre site Worpress, les sélectionner avec soin et surtout les maintenir à jour. La maintenance de votre site en sera d’ailleurs simplifiée et la performance de votre site optimisée, ce qui est bénéfique pour votre référencement naturel. Des plugins et des thèmes peuvent être installés pour en étendre les fonctionnalités de WordPress. Les plugins et les thèmes peuvent introduire des vulnérabilités comme le Cross Site Scripting (XSS), l’exécution de code à distance (RCE), les redirections ouvertes, l’injection SQL (SQLI), etc. Ces vulnérabilités sont généralement corrigées dans les versions plus récentes, il est donc essentiel de les mettre à jour fréquemment.
- Vous assurer que les permissions de fichiers sont correctement configurées. Les autorisations de fichiers sont utilisées pour contrôler l’accès aux fichiers sur le serveur web. Les dossiers wp-content et wp-admin sont utilisés dans WordPress pour contrôler l’accès aux ressources. Par défaut, nous devrions utiliser les permissions 755 pour ces deux dossiers car elles empêchent les personnes d’effectuer des modifications en écriture dans ces dossiers ;
Une mauvaise configuration des autorisations de fichiers pourrait permettre à l’attaquant d’implanter des portes dérobées, de modifier les paramètres et d’obtenir un accès non autorisé à des informations sensibles.
- Maintenir la version de votreCMS WordPrességalement à jour. Un noyau WordPress obsolète est une source de failles de sécurité. Veillez à installer tous les correctifs de sécurité.
Nous proposons à tous nos clients de mettre en place des contrats de maintenance permettant d’assurer les mises à jour de sécurité relatives par exemple aux plugins et au CMS.
Ce n’est pas obligatoire, mais vous l’aurez compris fortement recommandé !
Vous pensez que votre site a été piraté, ou pire vous en êtes certains, que faire ? Le mieux est bien entendu de contacter votre partenaire web, Mais différents services en ligne gratuits et payants proposent de réaliser un premier audit en ligne, voire pour certains un monitoring permanent de votre site.
Parmi ces outils, nous pouvons citer :
- WPscans : WPscans consulte la base de données de vulnérabilité WPScan pour comparer la version de WordPress détectée et signaler si un noyau est vulnérable ou pas ;
- WordPress Security Scan : WordPress Security Scan est l’un des outils les plus performants pour détecter les failles de sécurité ;
- Sucuri : SUCURI est un site qui offre une solution complète de sécurité qui inclut le contrôle, le nettoyage et la protection ;
- Exploit Scanner : Exploit Scanner est en fait un Plugin WordPress à installer qui permet d’analyser les fichiers, la base de donnée ainsi que les commentaires ;
- PenTest-Tools : Pentest Tools est aussi un outil très pratique capable de détecter les vulnérabilités WordPress.
Les scanners de vulnérabilité ou de logiciels malveillants en ligne peuvent vous aider à réaliser un premier audit de votre site Web afin d’analyser les risques de sécurité très courants. Par exemple, ils peuvent rechercher du code malveillant, des liens ou des redirections suspects, la nécessité de mettre à jour la version de WordPress ou de ses plugins, etc. Mais ils restent limités et l’analyse des audits de sécurité réalisés est souvent un peu technique pour des néophytes.
En cas de piratage de votre site internet, ou simple doute demandez conseil à votre agence.