Veille technologique

Six étapes pour sécuriser son site

Comment sécuriser votre site WordPress est une question essentielle, en particulier à l’époque du RGPD. Chaque propriétaire de site Web a la responsabilité de garantir aux visiteurs de son site Web une expérience de navigation sécurisée sans avoir à se soucier de la protection de ses informations personnelles

À l’ère de la cyber-technologie, les attaques de pirates informatiques ont évolué et mûri avec le marché numérique , ce qui signifie que vous les rencontrerez sous différentes formes.

C’est pourquoi il est impératif que chaque propriétaire de site Web soit bien préparé pour s’attaquer aux problèmes de sécurité de manière efficace et préventive. Gardez à l’esprit qu’une attaque de cybersécurité menace non seulement les visiteurs de votre site mais aussi la fonctionnalité ainsi que l’intégrité de votre site et par défaut vos revenus.

La bonne nouvelle est que si vous suivez les instructions de cet article sur la façon de sécuriser votre site WordPress, vous constaterez que protéger votre site contre les attaques indésirables et non autorisées n’est pas aussi compliqué qu’il n’y paraît. Nous sommes là pour vous montrer comment protéger votre site avec quelques actions simples.

Un site WordPress peut-il vraiment être sécurisé?

WordPress étant le système de gestion de contenu (CMS) le plus populaire à ce jour, il est utilisé par 35,2% de tous les propriétaires de sites Web avec une part de marché CMS de pas moins de 62% .

Bien que cette avance sur le marché soit un avantage majeur pour le fournisseur de CMS, c’est en même temps une épée à double tranchant.

En regardant leur succès sous un angle différent, vous découvrirez que WordPress est souvent associé à un manque de sécurité. Ce n’est pas simplement une connaissance par ouï-dire, mais c’est un fait qui se reflète également dans les statistiques. En 2019, 94% de toutes les failles de sécurité concernaient WordPress .

Bien sûr, cela n’est pas surprenant. Lorsque la grande majorité des propriétaires de sites Web s’appuient sur le CMS WordPress, il y a de fortes chances que les sites Web ciblés par les pirates soient des sites WordPress.

Mais que pouvez-vous faire, en tant que propriétaire de site Web WordPress, pour vous préparer à de tels incidents malheureux? Eh bien, la première chose que nous recommandons chez Solutions Web est de savoir à quoi vous vous heurtez .

C’est Sir Francis Bacon qui a dit une fois, «Scientia potestas est». La connaissance est le pouvoir. Vous ne pourrez jamais vous protéger correctement des attaques de cybersécurité si vous ne savez pas sous quelle forme elles peuvent se produire. C’est pourquoi consacrons d’abord notre attention aux vulnérabilités de sécurité existantes avant de répondre à la question de savoir comment sécuriser le site WordPress.

La polyvalence des vulnérabilités WordPress

Pour ceux d’entre vous qui ne connaissent pas très bien la sous-culture des pirates informatiques dans le monde, voici un aperçu des canaux existants que les pirates aiment utiliser pour attaquer. Notre liste est basée sur les statistiques fournies dans le rapport annuel 2019 de Sucuri, qui présente les menaces de sécurité les plus fréquemment rencontrées de l’année.

Malware

Commençons par un terme assez général, mais encore fréquemment récurrent. Les logiciels malveillants arrivent en troisième position parmi les menaces de cybersécurité les plus courantes en 2019. Maintenant, nous avons déjà utilisé le terme malware plusieurs fois dans cet article, mais que signifie-t-il exactement?

D’une part, le mot lui-même est un raccourci pour les logiciels malveillants . Comme son nom l’indique déjà, il fait référence à tout type de logiciel malveillant et perturbateur qui permet un accès non autorisé .

Les logiciels espions, le phishing, les virus et les chevaux de Troie sont tous des types de logiciels malveillants, pour n’en nommer que quelques-uns.

Au risque de déclarer l’évidence, vous pouvez être infecté par un malware comme n’importe quoi d’autre via Internet ou par e-mail. Les sites Web piratés, les essais gratuits ou tout type de téléchargement sont autant de sources potentielles de logiciels malveillants.

Mais comment pouvez-vous même savoir s’il existe un malware dans votre système? Eh bien, demandez-vous ceci:

• Votre ordinateur fonctionne-t-il lentement?
• Recevez-vous beaucoup de popups ou de spam?
• Vous rencontrez beaucoup de plantages?

Si la réponse est oui, nous vous recommandons d’ exécuter une analyse de logiciels malveillants pour vérifier si votre ordinateur est infecté, car tous les éléments mentionnés ci-dessus sont des signes d’un ordinateur infecté.

Spam SEO

Selon Sucuri, le spam SEO est la plus grande source d’infections CMS . Le problème avec ces types d’activités de piratage est que votre site Web sera infecté sans que vous en ayez conscience pendant une longue période. Le spam est spécialement conçu pour ne pas être remarqué par les personnes infectées. En attendant, votre site Web et chaque utilisateur qui le visite seront à la merci de l’attaquant.

Mais comment êtes-vous infecté par le spam SEO? Pour commencer, et c’est un fait bien connu, vous devenez vulnérable lorsque vous comptez sur un mot de passe faible ou que vous utilisez un ancien plugin qui présente une faille de sécurité. Cela permet au pirate d’infecter votre site avec un code malveillant, puis de modifier sournoisement votre code à sa forme d’origine à l’aide de la fonction PHP, de sorte que vous ne remarquiez pas les modifications apportées à votre script.

Une fois votre site infecté, l’attaquant utilisera vos pages SEO qui ont un classement SERP élevé pour

• rediriger les visiteurs de votre propre site vers le sien,
• insérer leurs propres mots-clés,
• ajouter de nouvelles pages à votre site,
• envoyer des courriers indésirables, ainsi que
• ajouter leurs propres annonces ou appels à l’action (CTA).

Pourquoi un hacker serait-il même intéressé par ce genre de conduite? En tant que personne qui travaille dans le marketing numérique et doit s’assurer que chaque article publié est optimisé à plusieurs niveaux – que ce soit la vitesse de la page, les images ou les mots-clés – laissez-moi vous dire que c’est un processus extrêmement lourd et complexe.

Pour économiser tout le temps et l’énergie consacrés à gagner en visibilité via les moteurs de recherche, les pirates décident d’utiliser un raccourci à la place en volant vos réalisations SEO. C’est pourquoi le spam SEO porte également le nom de spamdexing ou d’empoisonnement des moteurs de recherche (SEP).

Les victimes du spam de référencement peuvent être des sites Web de différentes tailles. Une idée fausse courante à cet égard est que les pirates ciblent principalement les grands sites Web. C’est simplement une fausse hypothèse, étant donné qu’il est beaucoup plus facile pour les pirates de réussir avec des sites Web plus petits . En effet, les petits sites Web ont tendance à ne pas avoir de certificat SSL et, par défaut, aucune protection nécessaire contre de telles attaques.

Backdoors

Les attaques de porte dérobée sont la deuxième source de malwares la plus courante . À des fins de clarification, dans le monde informatique, le terme backdoor désigne un accès alternatif à un logiciel ou à un système matériel permettant de contourner les mesures de sécurité habituelles, c’est-à-dire la protection d’accès.

Une porte dérobée peut être intégrée par un programmeur ou installée par un malware à votre insu. Souvent, les chevaux de Troie sont utilisés pour installer une possibilité d’accès secret . Il convient de mentionner que les termes backdoors et trojans sont généralement utilisés dans le même contexte; cependant, ce sont deux choses différentes.

Un cheval de Troie est un logiciel déguisé en programme utile pour infiltrer votre ordinateur et installer des portes dérobées. Fondamentalement, ce n’est que le moyen d’arriver à une fin . La fin de ce scénario est la possibilité d’obtenir un accès non autorisé, également connu sous le nom de portes dérobées.

Mais comment se fait-il que ces options d’accès existent en premier lieu? Ne serait-il pas plus facile de ne pas les avoir au départ? Techniquement parlant, oui. Cependant, les fabricants de systèmes informatiques les intègrent volontairement en prévision des situations où un client a besoin de services de réparation. De cette façon, le fabricant peut intervenir et aider le client chaque fois que nécessaire sans grand effort.

Hack Tools, Mailers, Defacements, Phishing et Skimmers

Après avoir discuté des trois menaces de cybersécurité les plus répandues, examinons les autres familles de malwares qui sont moins distribuées.

Quatrième sur la liste de Sucuri se trouvent les outils de piratage, qui sont des logiciels malveillants, qui sont déployés pour créer automatiquement des virus, des chevaux de Troie ainsi que des attaques par déni de service (DoS). Le but des outils de piratage est d’essayer de rendre un site Web inaccessible à ses utilisateurs ciblés .

Mailers, je suis sûr que vous êtes déjà connu. Il n’y a probablement pas une seule âme dans ce monde qui n’ait eu le mécontentement de recevoir des messages de spam .

Defacement, d’autre part, comme le mot l’indique déjà, signifie qu’une fois que votre site Web est infiltré avec succès, les pirates informatiques le dégradent et échangent le contenu de votre site Web avec le leur .

En ce qui concerne le phishing, ce terme fait référence à une situation dans laquelle des pirates tenteront d’ obtenir des informations personnelles , telles que des mots de passe via des e-mails falsifiés se déguisant par exemple en votre banque ou en une boutique en ligne.

L’écrémage est un autre moyen d’obtenir les informations de paiement des utilisateurs. Il fait référence à un incident où la page de paiement d’ un site Web de commerce électronique est exposée à des pirates informatiques via des logiciels malveillants et est utilisée pour voler des informations utilisateur.

6 étapes pour augmenter votre cyber-résilience

Maintenant que vous êtes familier avec une partie du cyber jargon et que vous êtes informé du type de menaces potentielles de cybersécurité qui se profilent, voyons comment sécuriser le site WordPress.

Une étude de l’Université du Maryland montre qu’en moyenne «les hackers attaquent toutes les 39 secondes ». Les étapes suivantes vous aideront à créer un site Web résistant à ces attaques:

• Hébergement de haute qualité
• Mise à jour
• Mots de passe
• Sécurisez votre domaine d’administration
• Plugins de sécurité
• Sauvegardes

 Choisissez le bon fournisseur d’hébergement

De nos jours, la qualité de votre site Web dépend de votre fournisseur d’hébergement. Il n’y a pas moyen de contourner cela, à moins bien sûr que vous soyez un expert en informatique qui héberge son site seul.

Mais pour le reste d’entre nous, les utilisateurs moins avertis en technologie, choisir le bon fournisseur d’hébergement est l’une des tâches les plus essentielles. Pourquoi? Parce que cela affecte tous les éléments de votre site Web – qu’il s’agisse des possibilités de conception, de la vitesse de la page ou des capacités d’entrée de trafic.

Assurez-vous donc de trouver un plan d’hébergement qui correspond à vos besoins à différents niveaux, dont l’un est la sécurité de votre site Web.

Prenez par exemple les services d’hébergement mutualisé. L’hébergement partagé, de par sa nature même, signifie que vous devrez partager votre serveur et vos ressources avec plusieurs autres utilisateurs. Ainsi, si vous comptez sur ce type d’hébergement, vous prenez automatiquement le risque de subir une cyberattaque à chaque fois que d’autres utilisateurs partageant le même serveur que vous sont piratés.

Au-delà de cela, vous devez savoir que lorsqu’il s’agit de recevoir une assistance lorsque vous rencontrez des problèmes de cybersécurité, les fournisseurs d’hébergement partagé n’incluent généralement pas le service client dans leurs plans d’hébergement. En d’autres termes, vous êtes essentiellement laissé à vous-même avec vos problèmes.

Pour ceux d’entre vous qui ne sont pas en mesure de gérer eux-mêmes les aspects techniques de la gestion d’un site Web, nous conseillons de s’appuyer sur des services d’hébergement gérés, car ils sont très faciles à gérer en raison de l’ automatisation des processus de création de sites Web .

Par exemple, Solutions-web en tant que fournisseur d’hébergement WordPress propose un package tout-en-un comprenant un service de sécurité de haute qualité , qui protège votre site Web contre les attaques de pirates sans même que vous vous en rendiez compte.

Un autre avantage est que dans les rares occasions où vous souffrez d’un site Web piraté, nous offrons un support client 24h / 24 et 7j / 7 , garantissant ainsi que vous aurez toujours une main aidante et qualifiée dans des situations aussi précaires.

Mettre à jour

Une source de vulnérabilité très courante survient lorsque les gens oublient de mettre à jour leur WordPress vers sa dernière version.

Ce qui se passe, c’est que chaque fois que WordPress introduit une nouvelle version, il révèle par défaut les vulnérabilités de ses versions précédentes. Cela fait de chaque personne qui néglige de mettre à jour son noyau WordPress devient une cible évidente et facile.

Un autre problème est que si certaines personnes pensent mettre à jour leur noyau WordPress , elles oublient parfois de faire la même chose pour leurs plugins et leurs thèmes . Cependant, pour éviter que le contenu de votre site Web soit écrasé chaque fois que vous mettez à jour votre thème, assurez-vous d’ effectuer vos modifications dans un thème enfant et non dans un thème parent.

Chez Solutions-web, nous vous aidons à surmonter ce problème en proposant des mises à jour automatiques. Vous pouvez gérer cela sur votre tableau de bord, où vous avez vos options de plugins. Vous avez la possibilité de planifier vos mises à jour sur une base mensuelle, hebdomadaire ou quotidienne .

En choisissant également l’option «Effectuer la mise à jour de l’étape», vous pouvez également vous assurer que votre site Web est automatiquement sauvegardé avant toute mise à jour programmée.

À ce stade, nous tenons à souligner que si les mises à jour automatiques sont essentielles, elles ne représentent que la moitié de la bataille sans vigilance continue .

Dans cet esprit, nos services de sécurité vous permettront d’ analyser votre noyau WordPress, vos plugins et vos thèmes pour une durée illimitée . Au-delà de cela, vous pouvez analyser les modifications de vos fichiers et les comparer au formulaire d’origine. Si vous détectez des erreurs, des dysfonctionnements ou toute activité suspecte, vous aurez toujours la possibilité de restaurer les fichiers d’origine.

Nous, Solutions-web, vous recommandons vivement d’exploiter pleinement ces services.

Mot de passe

Le vol de mots de passe est un autre moyen très répandu de pirater des sites Web. Malheureusement, en tant que fournisseur d’hébergement WordPress, nous avons peu d’influence sur les décisions que prennent nos clients lorsqu’il s’agit de choisir leurs mots de passe. C’est pourquoi nous ne saurions trop insister sur l’importance de la vigilance face à la question de savoir comment sécuriser le site WordPress.

En vous assurant que personne n’a accès à votre mot de passe et en choisissant un mot de passe très difficile à déchiffrer, vous êtes déjà à mi-chemin pour vous assurer que votre mot de passe ne peut pas être compromis.
Malgré le fait que dans certains cas, par exemple les attaques de phishing ou de reniflage, un mot de passe fort n’empêchera pas les pirates de voler votre mot de passe, c’est toujours un moyen très efficace de vous protéger contre les attaques dites Brute Force.

Celles-ci font référence à la tentative d’un pirate informatique de deviner à plusieurs reprises votre nom d’utilisateur ainsi que votre mot de passe jusqu’à ce qu’il trouve la bonne combinaison. À ce jour, c’est le moyen le plus populaire d’attaquer les sites Web WordPress.

Vous ne savez pas trop comment créer des mots de passe sûrs? En règle générale, un mot de passe fort comprend des chiffres, des caractères spéciaux et des lettres minuscules et majuscules d’une longueur minimale de 7 caractères .

Vous ne savez toujours pas si vous êtes à la hauteur de la tâche? Ensuite, vous voudrez peut-être jeter un coup d’œil aux services que certains outils de génération de mots de passe , tels que Strong Password Generator , ont à offrir. Ils vous donneront une suggestion d’un bon mot de passe, qu’ils ne sauvegarderont pas. De plus, vous décidez du niveau de sécurité souhaité pour votre mot de passe.

En général, lorsqu’il s’agit d’enregistrer des mots de passe, nous vous recommandons d’éviter de le faire dans vos navigateurs. Cela augmentera la possibilité d’être ouvert aux attaques. Vous ne devez enregistrer votre mot de passe que sur des programmes ou applications dont vous êtes sûr qu’ils stockent votre mot de passe sous une forme cryptée et le protègent avec un mot de passe principal .

Et il va sans dire que vous ne devez pas écrire vos mots de passe sur papier ou les enregistrer dans un document Word ou Excel. De la même manière, nous vous recommandons vivement de vous abstenir d’envoyer vos mots de passe par e-mail ou par tout autre canal de communication, tel que WhatsApp.

Nous vous recommandons plutôt de stocker en toute sécurité tous vos mots de passe dans des endroits sûrs, tels que LastPass ou KeePass Password Safe .

Sécurisez vos informations de connexion WordPress

Lorsque vous traitez la question de savoir comment sécuriser le site WordPress, vous ne rencontrerez pas le problème de votre page d’administration WordPress.

La première règle pour sécuriser vos informations de connexion est d’utiliser un nom d’utilisateur unique . Évitez de le désigner simplement comme administrateur ou administrateur.

Certaines personnes aiment utiliser le nom de domaine de leur site Web ou leur propre nom comme nom d’utilisateur d’administrateur. Nous vous déconseillons fortement de le faire, car avec juste un peu de recherche, les pirates pourront trouver ces informations en ligne.

Une autre chose à considérer est que votre URL de connexion d’administrateur WordPress est généralement appelée / wp-admin, ce qui, bien sûr, est la première chose que les pirates recherchent. Pour qu’il leur soit plus difficile de vous trouver, vous pouvez utiliser des plugins pour modifier votre URL.

De plus, nous vous encourageons à utiliser une authentification à deux facteurs sur votre page de connexion. Cela améliorera votre niveau de sécurité en ajoutant d’autres méthodes d’authentification, telles qu’un code généré par mobile ou un toke physique.

Bien que WordPress n’ait pas cette méthode de sécurité comme option intégrée, vous avez toujours la possibilité de l’installer en tant que plugin. Voici quelques options pour ceux d’entre vous qui ne connaissent pas ces plugins: Google Authenticator et Rublon Two-Factor Authentication .

Cela vous aidera à éviter d’être la cible d’ attaques par force brute 

Plugins de sécurité

Une solution importante à l’énigme de la sécurisation du site WordPress consiste à utiliser des plugins de sécurité. Solutions-Web propose une large gamme de plus de 50 plugins , dont certains sont dédiés à la sécurité de votre site Web.

Beaucoup d’entre vous peuvent remettre en question la nécessité des plugins de sécurité et ne sont pas certains des avantages qu’ils offrent. Jetons donc un coup d’œil à la valeur ajoutée des plugins de sécurité et si vous devez les utiliser pour protéger votre site Web.

• D’une part, vous pouvez utiliser un plugin pour limiter les tentatives de connexion , que nous, en tant que fournisseur d’hébergement, avons toujours préinstallé. Donc, si un pirate informatique tente d’infiltrer votre site Web et devine votre mot de passe erroné trois fois, son adresse IP sera automatiquement bloquée. Combinez cela avec un mot de passe fort et votre site sera presque impénétrable pour les pirates.
• Le plugin de sécurité iThemes est également sur la liste des plugins qui est fortement recommandé. Cela est dû à sa capacité à arrêter les migrations de code non autorisées, les injections SQL, les attaques backend, les fonctions PHP ainsi que les attaques 404 .
• Un autre plugin utile est Wordfence. Il vous protégera des logiciels malveillants ainsi que des attaques de pirates. En plus de cela, il vous permet de détecter les logiciels malveillants qui ont déjà pénétré dans votre système. Il le fait en analysant l’ensemble de votre système pour de telles attaques. Il peut également vous indiquer les modifications apportées et s’il existe des codes malveillants potentiels. Enfin, Wordfence vous enverra un rappel au cas où vous auriez oublié d’installer une mise à jour.

Bien sûr, la liste ne s’arrête pas là, il existe de nombreux autres plugins avec une grande variété de fonctions, dont la plupart sont présentées aux clients de manière compréhensible. Donc, si vous êtes nouveau dans le jeu, pas de panique, vos plugins de sécurité WordPress vous donneront les conseils nécessaires.

Sauvegardes

Tout le monde est au courant du dicton selon lequel vous devriez toujours avoir un plan de sauvegarde, non? C’est juste du bon sens si vous nous demandez.

C’est pourquoi nous proposons à nos clients un service de sauvegarde automatisé . Parce que, comme l’a dit un jour John Allen Paulos: «L’incertitude est la seule certitude qui existe». Donc, autant que nous essayons de vous fournir les outils les plus efficaces pour protéger votre système contre les cyberattaques, nous ne pouvons jamais le garantir à 100%.

Souvent, les gens supposent qu’il suffit de mettre en œuvre des sauvegardes seulement occasionnellement lorsqu’il y a de nouvelles mises à jour du système. Mais nous vous prions de différer.

Supposons, par exemple, que la dernière mise à jour que vous avez effectuée date d’il y a un an. Cela signifie par logique que la dernière sauvegarde a également été effectuée il y a un an. Au cours de cette période d’un an, vous aurez sûrement apporté des modifications au contenu de votre site Web.

Supposons maintenant en outre que votre site Web est compromis de manière inattendue en raison d’une attaque de pirate informatique. Cela nécessitera une restauration rapide mais en même temps complète de votre site. Dans un tel cas, vous ne pourrez restaurer que la version de votre site Web que vous aviez il y a un an. Cela signifie que toutes vos modifications apportées par la suite sont perdues.

Inutile de dire que cela vous coûtera beaucoup de temps et de ressources pour retrouver ce que vous avez perdu. Notre objectif est de vous éviter de traverser tous ces problèmes. C’est pourquoi chez Solutions-web, nous encourageons nos clients à planifier des sauvegardes automatisées pour maintenir un haut niveau de cohérence des données mises à jour.

Une autre pièce très importante du puzzle, que beaucoup de gens négligent, est de ne pas se fier uniquement aux sauvegardes différentielles , c’est-à-dire que seules les dernières modifications sont sauvegardées. Pour assurer une restauration complète et rapide de votre site Web, il est impératif que vous effectuiez également une sauvegarde complète , ce qui signifie que vous sécurisez non seulement les fichiers de données, mais également votre base de données.

Un dernier conseil de notre part est d’ archiver vos données sur plusieurs appareils . Nous comprenons que c’est un processus très fastidieux, mais une fois que vous vous trouvez la cible d’une faille de sécurité, vous serez sans aucun doute incroyablement heureux et reconnaissant d’avoir fait un effort supplémentaire et d’avoir couvert tous les angles.

Maintenant que nous avons partagé avec vous nos recommandations sur la façon de sécuriser votre site WordPress, nous sommes très intéressés de connaître vos expériences avec WordPress. Vous sentez-vous en sécurité dans la gestion de votre site Web avec WordPress? Quelles mesures prenez-vous pour augmenter la résilience de votre site?