Sécurité WordPress

.WordPress est l’un des CMS open source les plus connus actuellement. 60% de tous les sites Web CMS utilisent WordPress et 31% de tous les sites Web sur Internet l’utilisent. Alors, il est aussi nécessaire de prendre compte au sujet de sécurité WordPress.

L’éternelle discussion sur la sécurité WordPress

Les piratages de sites Web WordPress se produisent fréquemment pour plusieurs raisons qui sont facilement évitables. Utiliser «admin» comme identifiant de connexion ou avoir un mot de passe faible. La prise en compte de ces types d’incidents dans les statistiques de piratage rend la simple question de la sécurité de WordPress difficile à répondre.

Quand on parle de sécurité WordPress, la première chose importante à noter est que toutes les vulnérabilités de sécurité qu’il peut avoir s’étendent au-delà de son noyau. Nous devons donc préciser que WordPress est composé de trois parties différentes:

  • Le noyau
  • Plugins
  • Thèmes

5 problèmes de sécurité les plus courants avec WordPress

Avant d’apprendre ce qui rend WordPress sécurisé ou non, et pour explorer les moyens de rendre votre site Web aussi sûr que possible, passons en revue une liste rapide des problèmes de sécurité les plus courants que les propriétaires de sites Web rencontrent avec WordPress:

1. Attaque par force brute

Une attaque par force brute est une méthode d’essai et d’erreur utilisée principalement pour obtenir des informations telles que des mots de passe et des codes PIN (numéros d’identification personnels). Les cybercriminels font cela en tapant plusieurs mots de passe ou noms d’utilisateur jusqu’à ce qu’ils obtiennent la bonne combinaison. Il peut s’agir d’une attaque par dictionnaire, où les attaquants essaient de taper chaque mot du dictionnaire, ou d’une attaque en essayant les mots de passe les plus couramment utilisés. Cette attaque exploite l’erreur fréquente d’utiliser un mot de passe non sécurisé pour votre site Web. Elle permet pratiquement aux attaquants d’accéder à vos données.

2. Injection SQL

Étant donné que les sites Web WordPress utilisent la base de données MySQL, ce type d’attaque se produit souvent. Une injection SQL a lieu lorsque des vulnérabilités de sécurité sont exploitées et que des attaquants peuvent accéder à vos données, les modifier ou même les détruire.

3. Logiciel malveillant

Un logiciel malveillant est utilisé pour accéder à vos données en insérant un code dans un thème expiré ou un plugin. L’attaquant peut alors extraire vos données ou même insérer du contenu malveillant dans votre site Web.

4. Scripts intersites

Aussi connue sous le nom d’attaque XSS, cette menace se trouve souvent dans les plugins WordPress. L’attaquant insère un code JavaScript non sécurisé qui collecte ensuite les données de la victime. Il peut même rediriger la victime vers d’autres sites Web malveillants.

5. Attaque DDoS

Une attaque de déni de service distribuée se produit en débordant de manière malveillante un site Web de trafic, le rendant incapable de diffuser son contenu aux visiteurs légitimes du site Web. Il est exécuté à partir de plusieurs machines compromises par l’attaquant à l’aide de logiciels malveillants, ce qui le rend très difficile à localiser et à résoudre.

Qui assure la sécurité de WordPress?

Vous vous demandez peut-être qui sont les personnes derrière les rideaux, celles qui travaillent jour et nuit pour assurer la sécurité de WordPress – et des millions de sites Web qui l’utilisent? Étant donné que WordPress est composé des trois composants que nous avons mentionnés, plusieurs équipes de personnes sont chargées de le protéger:

Le noyau

Le WordPress Core est maintenu par un groupe d’experts de développeurs et de chercheurs qui subissent un long processus de recrutement avant d’être accepté en tant que membre de l’équipe de sécurité de WordPress.

Il est également important de savoir que, même si l’équipe de sécurité de WordPress est un groupe de 50 personnes hautement qualifiées, les développeurs individuels, les chercheurs en sécurité et les contributeurs jouent un rôle important dans le maintien de la sécurité globale de WordPress.

Ils travaillent avec diligence pour assurer la sécurité de WordPress, en mettant en œuvre les meilleures mesures de sécurité, en développant de nouvelles technologies pour minimiser les menaces de sécurité potentielles, en identifiant les bogues et en publiant des correctifs.

Thèmes et plugins

L’équipe de sécurité de WordPress n’est pas responsable des thèmes et des plugins. Il y a une équipe de bénévoles qui travaille sur la vérification de nouveaux plugins et thèmes, mais ils ne garantissent pas une sécurité totale, tant d’entre eux étant publiés si fréquemment. Les vulnérabilités peuvent passer inaperçues.

Le cœur de WordPress est important, ce que chaque utilisateur qui a un site Web utilise, mais ce qui rend votre site Web vraiment le vôtre, c’est la sélection de plugins et de thèmes que vous utilisez. Les plugins et thèmes individuels sont créés par différents développeurs.

Ici, le budget peut être préjudiciable. Il existe à la fois des thèmes et des plugins gratuits et payants – et c’est là que la différence est perceptible. Le service payant aura souvent une équipe derrière lui qui le maintient, publie des mises à jour et apporte des améliorations régulièrement. Parfois, des thèmes et des plugins gratuits sont faits pour tester ses compétences, ou «juste pour le plaisir». Pour cette raison, il est toujours bon d’investir dans un plugin ou un thème payant.

Que pouvez-vous faire, le propriétaire du site Web?

Même avec des équipes entières travaillant sur le cœur de WordPress et les plugins et thèmes individuels, une grande partie de la responsabilité de la sécurité de votre site Web vous incombe.

Créer un site Web et le laisser pendant des années sans maintenance ni mises à jour peut faire de vous une cible facile pour les pirates.

Les services payants sont un excellent moyen d’assurer votre sécurité, mais il n’est pas possible d’éliminer complètement les menaces de sécurité.

WordPress n’est aussi sécurisé que la quantité d’efforts et d’éducation qui y sont consacrés:

Gardez le noyau à jour

Garder l’application à jour est d’une importance cruciale pour votre sécurité – la plupart des sites Web utilisant WordPress qui ont été piratés avaient des applications obsolètes. Assurez-vous d’activer les mises à jour de sécurité automatiques pour incorporer les nouveaux correctifs de sécurité dès leur publication.

Gardez les thèmes et les plugins à jour

Les thèmes et les plugins sont ce qui rend la plate-forme WordPress appréciée par tant de gens. Il est compréhensible de vouloir en avoir autant que possible, de personnaliser et de rendre les sites Web uniques et spéciaux, mais chaque nouveau plugin ou thème peut être une passerelle pour des attaquants malveillants. Chaque fois que vous installez un nouveau plugin, vous courtisez la possibilité d’un code malveillant intégré. Comme nous l’avons mentionné, les fonctionnalités payantes sont plus sûres; avec plus d’yeux, les développeurs travaillent à maintenir la sécurité et à identifier les bogues. Avec les gratuits, la possibilité de cela est considérablement réduite.

Le plus souvent, ce qui se passe, c’est qu’un correctif de sécurité est publié pour un plugin ou un thème, mais les propriétaires de sites Web ne les mettent tout simplement pas à jour. Pour cette raison, il est important de définir des plugins et des thèmes pour qu’ils se mettent également à jour automatiquement. Et supprimer les plugins qui ne sont pas régulièrement mis à jour et ceux que vous n’utilisez pas est également important – plus votre noyau a d’ajouts, plus la surface d’attaque où les pirates peuvent attaquer votre site Web est grande.

Limitez les tentatives de connexion et utilisez un mot de passe fort

Nous avons mentionné que les attaques par force brute sont la menace de sécurité WP la plus courante. Pour cette raison, il est toujours bon de limiter les tentatives de connexion afin que vous soyez averti lorsque quelqu’un tente à plusieurs reprises d’accéder à votre site Web. En outre, avoir un mot de passe fort composé d’une combinaison inhabituelle de lettres, de chiffres et de caractères spéciaux aide grandement.

Solutions Captcha pour une sécurité WordPress

Les solutions Captcha comme Re-Captcha de Google sont une autre excellente solution. Mettez-les sur votre page de connexion afin que tous les utilisateurs doivent passer le contrôle avant de pouvoir s’inscrire ou se connecter.

Remarque: Google a annoncé qu’il supprimerait le Re-Captcha standard “Je ne suis pas un robot” et introduira une nouvelle version qui détectera si un utilisateur est suspect, et ce n’est qu’alors que l’utilisateur devra passer les contrôles habituels .

Sécurité des serveurs

Lors de la mise à jour et de la maintenance de votre application, il est possible que des pirates informatiques endommagent votre site Web sans même se rapprocher de WordPress.

Vous pouvez toujours choisir une société d’hébergement Web spécialisée dans l’hébergement de sites Web WordPress, ou vous pouvez choisir de sécuriser votre propre serveur.

Néanmoins, même si vous avez la sécurité la plus forte possible sur votre site Web WordPress mais que vous utilisez un serveur faible, les chances d’être piraté restent élevées.

Il est important de comprendre la sécurité de votre serveur. Assurez-vous toujours d’avoir installé des mises à jour de sécurité pour votre système d’exploitation, PHP, votre serveur Web et pour toutes les autres applications.

Voici d’autres étapes que vous pouvez suivre pour renforcer la sécurité de votre serveur:

  • Pare-feu système

Ajoutez une autre couche de protection en installant un pare-feu sur votre ordinateur. Un pare-feu surveille le trafic entrant et sortant sur le réseau. Il couvre également tout type de protocole et vous offre une protection DDoS sur la couche réseau.

  • Implémentation WAF

L’un des moyens les plus simples de protéger votre site Web consiste à activer un pare-feu d’application Web. Un WAF est là pour surveiller, filtrer et éventuellement bloquer le trafic vers et depuis une application Web. Il est même capable de bloquer le trafic malveillant avant qu’il n’atteigne votre site Web. L’implémentation WAF couvre HTTP (S), SOAP, XML et SPDY. Il propose également des inspections du trafic crypté, une mesure de sécurité qui fait défaut aux pare-feu réseau.

L’implémentation WAF peut être très utile pour empêcher les attaques XSS et les injections SQL.

  • IDS

Un IDS, ou système de détection d’intrusion, est un logiciel qui surveille l’hôte ou le réseau pour détecter toute activité malveillante suspecte. L’administrateur est informé de ces activités à l’aide d’un système SIEM qui utilise des techniques alarmantes pour différencier les véritables attaques malveillantes, où les pirates pourraient essayer d’exploiter les failles de sécurité de votre site Web, des fausses alarmes.

  • Wrappers TCP

Les enveloppeurs TCP sont à certains égards similaires aux pare-feu. Ils peuvent bloquer le trafic suspect, mais ils fonctionnent différemment des pare-feu en raison de certaines fonctionnalités supplémentaires.

Les enveloppeurs TCP sont des systèmes de liste de contrôle d’accès (ACL).  ils sont basés sur l’hôte qui fournissent un contrôle d’accès à l’aide de règles d’accès dans le fichier host.allow. Avec TCP Wrappers, vous pouvez accorder l’accès à des fonctionnalités spécifiques telles que FTP, mais refuser l’accès à d’autres. Ils peuvent également examiner les connexions chiffrées.

Les TCP Wrappers doivent être utilisés en conjonction avec des pare-feu car ils ne sont pas un substitut. Assurez-vous de l’avoir configuré derrière votre système de pare-feu.

  • Protection DDoS

Comme nous l’avons mentionné, les sites Web WordPress sont une cible fréquente des attaques DDoS. WordPress n’a pas de fonctionnalité intégrée pour vous protéger contre ces attaques. Alors,  il peut sembler difficile de trouver les bons plugins pour vous aider.

Étant donné que ces types d’attaques sont dirigés vers votre serveur, le moyen le meilleur et le plus simple de se protéger contre les attaques DDoS consiste à disposer d’un fournisseur d’hébergement géré pour vos serveurs avec une protection intégrée. Cette protection filtrera le trafic avant même qu’il n’atteigne vos serveurs et le bloquera s’il est jugé malveillant. La protection contre les attaques DDoS est également assurée par l’implémentation d’un pare-feu système et d’un WAF.

En plus d’avoir un serveur géré, WAF implémenté et un pare-feu système, vous pouvez également désactiver la fonctionnalité XML-RPC de WP.

Il est activé par défaut et est là pour permettre le transfert d’un large éventail de données. Parmi les nombreuses fonctions qu’il propose, il propose des pingbacks et des trackbacks. La fonction Pingback est utilisée pour les références croisées entre différents blogs. Cependant, sa vulnérabilité réside dans le fait qu’elle peut être exploitée par des attaquants pour utiliser des sites Web WordPress pour créer un botnet. Ce botnet sera ensuite utilisé pour les attaques DDoS.

L’année 2013 a été marquée par une attaque sur environ 2500 sites Web WP en exploitant Pingback, comme l’a rapporté Gur Schatz à Incapsula. Les sites Web n’ont pas été compromis ou repris, ils ont simplement été utilisés pour créer un botnet volontaire.

PC local et sécurité du réseau

Même si votre site Web WordPress est bien sécurisé au niveau du serveur et que votre application est mise à jour, la sécurisation de votre PC local et de votre réseau réduit le risque que des attaquants à distance piratent votre site Web.

Le fait d’avoir un cheval de Troie, un malware ou un virus sur votre réseau local augmente sensiblement les chances d’avoir des keyloggers installés et vos informations d’identification pour les sites Web WP compromises.

Vous devez garder tous vos logiciels à jour. Notamment, mettez à niveau les systèmes d’exploitation les plus récents lorsqu’ils sont publiés. Et Surtout, exécutez régulièrement un logiciel antivirus.

Résumé

Il n’y a pas de réponse définitive à la question “WordPress est-il sécurisé?”

Il y a une excellente équipe derrière WordPress. Cette équipe travaille 24 heures sur 24, 7 jours sur 7 pour en faire un environnement sûr pour les utilisateurs. Mais les propriétaires de sites Web ont la responsabilité de gérer eux-mêmes leurs sites Web. Ils doivent les tenir à jour. Aussi, investir dans de bons plugins et thèmes peut faire une grande différence pour désamorcer la surface d’attaque.

Sur la base de tout cela, la sécurité de WordPress dépend de combien vous investissez pour la sécuriser. Certes, l’éducation et la maintenance peuvent faire toute la différence. Ces deux éléments changent une réponse indéfinie à la question de la sécurité WordPress en un “oui!” Absolu pour toi.

La sécurité du site Web va au-delà de la sécurité au niveau des applications. En effet les acteurs malveillants peuvent trouver différentes façons et passerelles vers votre site Web. Restez protégé en intégrant l’API SecurityTrails à vos applications. Donc vous serez en mesure d’analyser toutes les données que vous partagez publiquement avec vos enregistrements WHOIS afin de prévenir de futures attaques.