WordPress est un populaire Système de gestion de contenu (CMS), utilisé pour créer des sites Web ou des blogs. L'une des choses qui rendent WordPress si populaire est sa simplicité: les utilisateurs peuvent utiliser WordPress pour créer, modifier et gérer facilement le contenu de leurs sites Web sans expérience de la programmation. Cela conduit de nombreuses entreprises et particuliers à utiliser WordPress pour créer leur site.
Une récente rapport de W3techs indique que WordPress est utilisé dans 34,5% des sites Web. Cela signifie que chaque troisième site Web que vous utilisez a été construit avec WordPress. Parmi les solutions CMS, la part de marché de WordPress est encore plus élevée, avec plus de 60% de tous les sites Web fonctionnant sur WordPress. Joomla prend la deuxième place, mais de loin, il est utilisé par 5 à 10% du nombre total de sites.
Pourquoi les sites WordPress se font pirater?
Même s'ils ne sont peut-être pas plus vulnérables aux attaques que tout autre site Web sur Internet, les sites WordPress sont plus susceptibles d'être piratés, car ils sont beaucoup plus courants. Compte tenu de l'énorme popularité de WordPress, les attaquants sont davantage incités à essayer de trouver des moyens d'exploiter les vulnérabilités de ces sites.
Lorsque des attaquants trouvent une vulnérabilité dans WordPress, ils ont beaucoup plus de cibles que presque tout autre système Internet. De plus, comme WordPress attire de nombreux utilisateurs sans expérience en programmation, ils sont beaucoup moins susceptibles de prendre les mesures nécessaires pour sécuriser leurs sites Web contre les vulnérabilités pouvant être exploitées par des attaquants. Une autre raison pour laquelle les sites WordPress sont piratés est le "sport" et la pratique. De nombreux débutants essaient de trouver des sites moins sécurisés pour mettre en pratique leurs compétences en piratage informatique et trouver des moyens de s’améliorer.
7 façons de sites Web WordPress se piratent et comment le prévenir
Vous devez comprendre certaines des raisons courantes du piratage des sites WordPress et prendre des précautions en conséquence.
Mots de passe faibles
Vos mots de passe constituent la clé de votre site Web WordPress, ce qui signifie que vous devez vous assurer qu'ils sont suffisamment puissants pour le protéger. Des études montrent que 80% de toutes les violations de données se produire en raison de mots de passe faibles.
Comment réparer: Corriger cette vulnérabilité est simple: utilisez un mot de passe fort. Vous pouvez également utiliser un gestionnaire de mot de passe tiers, tel que Dernier passage, par exemple.
Ne changez pas votre nom d'utilisateur WordPress
Lorsque vous ouvrez votre compte WordPress, votre nom d’utilisateur est «admin» et tout le monde le sait. Pour cette raison, il s'agit du premier nom d'utilisateur que les acteurs de la menace tenteront lorsqu'ils tenteront de pirater votre site Web. Ce compte offre des privilèges root et peut être utilisé pour supprimer votre site, accéder aux réseaux connectés, voler, supprimer ou rançonner des données.
Comment réparer: Si votre nom d'utilisateur est admin, changez-le le plus tôt possible en un nom d'utilisateur différent.
Hébergement Web non sécurisé
Les sites Web WordPress sont hébergés sur des serveurs comme tous les autres sites Web. Choisir le bon fournisseur est la clé de la sécurité de votre site Web. Même si vous implémentez tous les autres conseils mentionnés dans ce guide, si votre fournisseur offre une protection faible, votre site Web pourrait tout de même être piraté.
Comment réparer: Choisir la meilleur fournisseur d'hébergement WordPress respectez votre budget et assurez-vous que votre site Web est hébergé sur une plate-forme sécurisée.
Autorisations de fichier incorrectes
Les autorisations de fichiers sont des règles utilisées par votre serveur d'hébergement pour aider votre serveur Web à contrôler l'accès aux fichiers stockés et utilisés par votre site Web. Donner des autorisations incorrectes à ces fichiers peut permettre aux pirates d’accéder à vos fichiers et de les modifier, ce qui peut entraîner toutes sortes de problèmes pour votre site Web.
Comment réparer: Assurez-vous que tous vos fichiers WordPress sont définis avec l'autorisation de valeur de 644 et que tous vos dossiers sont définis sur 755.
Sécurité faible contre les cybermenaces courantes
Même si vous avez les mots de passe les plus solides et utilisez l’hôte le plus sécurisé, vous êtes toujours vulnérable aux cyberattaques. Les injections SQL, par exemple, constituent une attaque courante utilisée pour infecter des sites Web avec des logiciels malveillants.
Comment réparer: En savoir plus sur les menaces les plus courantes et sur la façon de sécuriser votre site Web contre ces menaces. Un bon endroit pour commencer est le OWASP (Projet de sécurité des applications Web ouvertes) top 10Une liste qui détaille les 10 vulnérabilités les plus pressantes. OWASP fournit également des ressources éducatives que vous pouvez utiliser pour améliorer vos pratiques de cybersécurité.
Utiliser des versions obsolètes de WordPress
Certains utilisateurs de WordPress craignent de mettre à jour leur site Web avec la dernière version de WordPress, car cela pourrait entraîner des erreurs sur leur site Web. Cependant, éviter les mises à jour est un problème grave, car plusieurs de ces mises à jour sont publiées pour corriger des failles de sécurité.
Comment réparerRemarque: vous devez toujours mettre à jour la dernière version pour vous assurer d’obtenir les derniers correctifs et correctifs de sécurité. Si vous craignez que la mise à jour ne gâche votre site Web, il est recommandé de créer une sauvegarde complète de WordPress, en particulier avant les mises à jour de version.
Utiliser des thèmes ou des plugins datés
Les thèmes et les plugins WordPress ne sont pas si différents du logiciel principal qu'ils exécutent, et leur mise à jour est tout aussi important – les versions obsolètes peuvent être exposées à des vulnérabilités.
Comment réparerAssurez-vous de disposer des versions les plus récentes de tous vos thèmes et plug-ins.
Emballer
Les sites WordPress se font pirater tout le temps. Ceci est un fait et doit être traité comme tel. Les sites Web de commerce électronique sont particulièrement vulnérables aux attaques, car ils offrent plus de récompenses qu'un site classique. Une plateforme de commerce électronique performante qui traite de nombreuses transactions stocke souvent des informations sensibles.
En cas de violation d'un site Web, des attaquants pourraient voler les informations. Cela mettrait le site Web dans une mauvaise situation, surtout s'il sert des utilisateurs liés à l'Union européenne. Ces informations sont protégées par le règlement général sur la protection des données (RGP de l'UE), qui protège les informations sensibles de «tous les citoyens de l'Union européenne et de l'Espace économique européen». Le non-respect du RGPD peut entraîner des pertes financières et de réputation.
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), qui protège les informations sensibles et financières des titulaires de carte de crédit, est une autre entité à garder à l'esprit. PCI s’applique à tout commerçant qui traite, stocke, transmet et entre en contact avec des données de carte de crédit. Cela signifie que les plates-formes de commerce électronique doivent être conformes à la norme PCI. Le PCI est entretenu et réglementé par les principales sociétés émettrices de cartes de crédit, qui appliquent des amendes pour se conformer.