La réponse courte est que oui, WordPress est sécurisé. Et bien plus encore si vous êtes proactif dans la protection de votre site Web. Dans cet article, nous discuterons de certains des problèmes de sécurité les plus courants de WordPress et de la manière de les éviter. Nous vous dirons également comment la sécurité de WordPress se compare à celle de ses concurrents. Allons-y !
Principaux problèmes de sécurité de WordPress
La question » WordPress est-il sûr ? » est une boîte de Pandore contenant des informations et des données variées. Malheureusement, il existe plusieurs types de problèmes de sécurité liés à WordPress ; cependant, chacun d’entre eux peut être résolu relativement facilement. En gardant cela à l’esprit, passons en revue chacun des problèmes que vous pourriez rencontrer.
Informations d’identification volées et tentatives de connexion par la force brutale
Nous abordons ces problèmes de sécurité ensemble car ils concernent tous deux la page de connexion de WordPress. La page de connexion est la barrière qui donne accès au tableau de bord de WordPress, qui vous permet de modifier et de configurer votre site Web :
Si quelqu’un met la main sur des informations d’identification privilégiées, il peut se connecter et accéder au tableau de bord. De là, il peut voir les données de l’utilisateur, modifier ou supprimer les pages et les articles existants, et empêcher d’autres comptes de se connecter.
L’ampleur des dégâts que ces attaquants peuvent causer dépend des autorisations de leur compte. Si un pirate a accès à un compte administrateur, il peut faire ce qu’il veut.
Dans certains cas, les utilisateurs malveillants n’ont pas besoin de voler des informations d’identification pour passer la connexion WordPress. Les attaques par force brutale essaient différentes combinaisons de noms d’utilisateur et de mots de passe en succession rapide, dans l’espoir de trouver les bonnes. Selon la gravité de l’attaque, elle peut perturber les performances de votre site Web.
Installation de logiciels malveillants
Dans certains cas, les attaquants tentent d’accéder à votre site Web pour installer des logiciels malveillants. Ce malware s’inscrit généralement dans l’un des scénarios suivants :
- Le malware fournit une porte dérobée à votre site Web
- Il infecte les fichiers que les utilisateurs téléchargent depuis votre site Web
- Il tente de charger des scripts malveillants lorsque les utilisateurs visitent le site
Les infections par des logiciels malveillants peuvent être particulièrement dévastatrices car elles ont un impact sur la confiance que les utilisateurs accordent à votre site Web. Si les visiteurs associent votre site à des logiciels malveillants ou à du spam, ils sont beaucoup moins susceptibles de revenir, et encore moins de faire des achats dans votre boutique en ligne.
Les moteurs de recherche s’en prennent également aux sites qu’ils considèrent comme infectés par des logiciels malveillants. Il n’est pas rare que des moteurs de recherche tels que Google affichent des avertissements en pleine page si les utilisateurs tentent de visiter un site infecté (idem pour les différents navigateurs web) :
En matière de logiciels malveillants, il importe peu que l’infection ne soit pas délibérée. De nombreux moteurs de recherche et hébergeurs considèrent qu’il est de votre responsabilité de vous assurer que votre site est sûr à utiliser.
Spam et tentatives d’hameçonnage
Le spam est un autre type de problème de sécurité commun aux sites WordPress. La barrière à l’entrée en matière de spam est beaucoup plus faible.
Par exemple, si vous activez les commentaires sur votre site Web et que vous ne les modérez pas, il y a de fortes chances que vous vous retrouviez avec de nombreuses entrées de spam :
Les commentaires de spam sont généralement faciles à repérer. Cependant, si vous gérez un site Web à fort trafic, la surveillance des commentaires peut vous faire perdre beaucoup de temps. En outre, tous vos utilisateurs ne sont pas forcément des férus de technologie. Si des commentaires de spam sont publiés, il y a de fortes chances que certains de vos visiteurs cliquent sur des liens malveillants.
Même si vous n’êtes pas responsable des commentaires indésirables eux-mêmes, vous êtes responsable de la sécurité de vos visiteurs lorsqu’ils se trouvent sur votre site. Si des attaquants parviennent à accéder au tableau de bord, ils peuvent également remplacer les liens habituels par des URL menant à des pages de spam ou de phishing.
Les pages de phishing peuvent être particulièrement dangereuses car leur objectif est d’obtenir l’accès aux identifiants de connexion ou de paiement des utilisateurs. En outre, de nombreuses personnes réutilisent leurs informations d’identification sur plusieurs sites, de sorte que leur vol peut bouleverser toute leur identité en ligne.
Principales mesures de sécurité de WordPress
Il n’existe pas de solution unique pour tous les problèmes de sécurité de WordPress. Certains plugins prétendent pouvoir protéger entièrement votre site, mais il est rarement judicieux de dépendre d’un seul outil de protection.
Cette section couvrira toutes les méthodes de sécurité WordPress que vous devriez envisager de mettre en œuvre pour assurer la sécurité de votre site !
Maintenez WordPress à jour
La chose la plus importante que vous puissiez faire pour protéger votre site Web WordPress est de maintenir tous ses composants à jour. Il s’agit du logiciel principal de WordPress et de tous les plugins et thèmes.
WordPress rend très facile la mise à jour de tous ses composants. WordPress vous indiquera si vous avez des mises à jour en attente lorsque vous accédez au tableau de bord. Vous pouvez également voir les mises à jour disponibles en allant dans l’onglet Tableau de bord > Mises à jour :
Vous pouvez choisir de gérer les mises à jour de WordPress manuellement. Ce processus implique de vérifier souvent le tableau de bord et d’appliquer les mises à jour, ce qui ne prend que quelques clics. Sinon, WordPress vous permet d’activer les mises à jour automatiques pour le CMS lui-même, ainsi que pour les plugins et les thèmes.
L’inconvénient des mises à jour automatiques est que les nouvelles versions des plugins et des thèmes peuvent causer des problèmes de compatibilité dans quelques cas. Toutefois, il s’agit d’un problème relativement rare si vous utilisez des plugins et des thèmes bien entretenus.
Utilisez un hôte Web sécurisé
Certains hébergeurs mettent davantage l’accent sur la sécurité que d’autres. Vous obtiendrez généralement la meilleure protection pour votre argent si vous utilisez un hébergement WordPress géré. En effet, l’hébergement géré offre généralement des fonctionnalités telles que :
-
- Des sauvegardes automatisées.
Si votre site Web est victime d’une faille de sécurité, vous devez être en mesure de le rétablir dans un état sécurisé.
-
- Configuration automatique des certificats SSL (Secure Sockets Layer).
Les certificats SSL vous permettent de charger votre site sur HTTPS, qui crypte les données transférées entre le client et le serveur.
-
- Services de détection et de suppression des logiciels malveillants.
Les fournisseurs d’hébergement géré surveillent souvent la présence de logiciels malveillants sur votre site et, s’ils en trouvent, ils vous aident à les supprimer.
- Mises à jour automatiques de WordPress.
Certains hébergeurs mettent automatiquement à jour le noyau de WordPress. Cela signifie que vous êtes moins susceptible de subir des failles de sécurité dues à l’utilisation d’une version obsolète de WordPress présentant des vulnérabilités.
Les plans d’hébergement non gérés peuvent être tout aussi sûrs que les plans gérés. Cependant, ils nécessitent généralement une approche plus pratique pour sécuriser votre site. L’hébergement mutualisé n’est pas insécurisé par nature, mais il vous incombe généralement d’être proactif et de mettre en place vos propres filets de sécurité.
Imposez l’utilisation de mots de passe forts
Le moyen le plus simple de prévenir les failles de sécurité sur WordPress est d’encourager les utilisateurs à suivre les meilleures pratiques en matière d’utilisation des mots de passe. Cela signifie adhérer aux directives suivantes :
- Utilisez un mot de passe unique pour chaque compte
- Assurez-vous que les mots de passe ne sont pas faciles à deviner
- Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe complexes
- Expliquez que vous ne demanderez jamais à quelqu’un son mot de passe ou l’accès à son compte
Le problème de l’application des politiques de mot de passe est que les utilisateurs veulent rarement les suivre. Par défaut, WordPress vous invite à utiliser un mot de passe sécurisé lorsque vous créez un nouveau compte. Si WordPress pense que votre mot de passe est « faible », il vous demandera de confirmer si vous souhaitez l’utiliser :
Certains plugins, tels que Password Policy Manager, vous permettent d’appliquer des politiques de mot de passe personnalisées. Ce plugin vous permet de définir des règles différentes pour des utilisateurs ou des rôles spécifiques. Cela signifie que vous pouvez mettre en œuvre des niveaux de sécurité plus stricts pour les utilisateurs qui ont accès à des autorisations supplémentaires :
Les politiques de mot de passe peuvent gêner certains utilisateurs, mais elles sont suffisamment courantes pour que la plupart des gens ne devraient pas avoir de problème avec les règles. En outre, si les utilisateurs oublient leurs mots de passe, WordPress permet de les réinitialiser facilement à tout moment.
Mettez sur liste blanche les adresses IP qui peuvent accéder au tableau de bord
Si vous voulez aller au-delà de l’application de mots de passe forts, vous pouvez mettre sur une liste blanche les adresses IP spécifiques qui peuvent accéder au tableau de bord. Les utilisateurs dont l’adresse IP ne figure pas sur la liste blanche ne pourront pas du tout accéder à l’administration de WordPress.
L’inconvénient de cette approche est que vous aurez besoin d’une adresse IP statique, tout comme les autres personnes qui travaillent sur votre site Web. Si vous avez une adresse dynamique, vous risquez de vous retrouver bloqué à plusieurs reprises dans le tableau de bord.
Nous expliquons comment établir une liste blanche d’adresses IP dans un autre article. Cet article contient des instructions sur la façon de créer une liste blanche et d’y ajouter les adresses IP autorisées.
Utilisez les plugins et suites de sécurité WordPress
De nombreux plugins de sécurité WordPress peuvent protéger votre site Web. Cependant, les fonctionnalités auxquelles vous avez accès varient considérablement en fonction du plugin que vous utilisez.
Voici quelques-unes des fonctions les plus courantes offertes par les plugins de sécurité :
- La surveillance des fichiers à la recherche de modifications
- Fournir un accès aux journaux de sécurité
- Implémentation de l’authentification à deux facteurs (2FA) et CAPTCHA dans la page de connexion de WordPress
- Limiter le nombre de tentatives de connexion que les utilisateurs peuvent faire dans une période spécifique
- Mise sur liste noire des adresses IP malveillantes connues
Il est important de comprendre que les plugins de sécurité WordPress ne sont pas des solutions magiques pour protéger votre site Web. La plupart de ces outils vous permettent de mettre en œuvre de multiples améliorations de la sécurité. Cependant, même si vous utilisez un plugin de sécurité de premier ordre, tel que WordFence ou Sucuri, nous vous recommandons de suivre d’autres bonnes pratiques pour protéger votre site.
Comment WordPress se positionne par rapport à ses concurrents
Le plus grand atout de WordPress est son haut degré de personnalisation. Puisque vous utilisez un CMS open-source, vous pouvez modifier son code comme bon vous semble. De plus, vous avez accès à des milliers de plugins et de thèmes pour modifier davantage les fonctionnalités de votre site Web.
Si vous pouvez certainement renforcer la sécurité de votre site de cette manière, l’un des seuls inconvénients de cette personnalisation est que vous pouvez également rendre votre site Web vulnérable. Si vous choisissez d’utiliser des plugins non sécurisés ou des versions obsolètes de WordPress, vous exposez votre site à des vulnérabilités. La même règle s’applique à l’ajout de code à votre site Web lorsque vous n’êtes pas sûr de son fonctionnement.
Si l’on compare WordPress à d’autres CMS open-source tels que Ghost ou Joomla, on rencontre des problèmes similaires. D’autres plateformes, telles que Squarespace et Wix, sont sans doute plus sûres car leur code n’est pas ouvert au public. Cependant, un pirate peut toujours exploiter des informations d’identification vulnérables pour accéder à votre site, quel que soit le CMS que vous utilisez. Les tentatives d’hameçonnage viennent de partout et ciblent presque tout le monde, pas seulement les utilisateurs de WP. En outre, l’hébergement géré tel que Pressable ou Flywheel comble le fossé entre les problèmes de sécurité liés à WP et ceux liés à d’autres systèmes.
En fin de compte, si vous voulez un haut degré de sécurité, vous devrez utiliser un CMS avec des mises à jour et des correctifs de sécurité réguliers. Et WordPress répond à ce critère. Toutefois, si vous n’êtes pas proactif en matière de sécurité du site et si vous ne vérifiez pas les plugins et les thèmes que vous utilisez, vous risquez de laisser votre site Web exposé à des attaques.
Conclusion
WordPress est une plateforme sécurisée. Cependant, vous pouvez minimiser davantage le risque de vulnérabilités et d’attaques en suivant les meilleures pratiques de sécurité. Nous vous recommandons donc d’utiliser un hébergeur sécurisé, d’appliquer des politiques de mots de passe forts, de protéger votre page de connexion, etc.
Si vous comparez WordPress à d’autres plateformes CMS, vous rencontrerez les mêmes problèmes, quelle que soit la plateforme utilisée par votre site. Le fait de ne pas mettre à jour les logiciels et d’être laxiste en matière de sécurité signifie que votre site web sera toujours plus vulnérable qu’il ne devrait l’être.
Vous avez des questions sur la sécurité de WordPress ? Parlons-en dans la section des commentaires ci-dessous !
