Plus tôt cette année, une faille de sécurité de WordPress touchant des dizaines de milliers de sites web à travers le monde a été découverte. Les développeurs de WordPress ont réagi rapidement, créant un correctif et le distribuant aux compagnies d’hébergement Web et aux développeurs WordPress. Leur rapidité d’action a empêché la propagation des dégâts, mais les choses auraient pu être pires.
Le hack était basé sur une vulnérabilité d’un backdoor découverte par les pirates informatiques. Le problème n’était pas nécessairement avec WordPress lui-même; c’est le résultat d’extensions mal conçues qui n’ont pas été mises à jour pour inclure les dernières corrections de sécurité.
Nos articles de blog WordPress traitent généralement de conseils et astuces que vous pouvez utiliser pour améliorer votre site. La publication d’aujourd’hui est un peu différente. Nous voulons tout d’abord vous donner des moyens concrets pour confirmer que votre site WordPress a été piraté. C’est quelque chose que chaque utilisateur WordPress devrait savoir étant donné que le CMS est le plus utilisé sur Internet.
Dans la deuxième partie de l’article, nous vous donnerons quelques suggestions que vous pourrez implémenter pour protéger votre site et éviter d’être piraté.
Mon site a-t-il été piraté?
La première chose à garder à l’esprit est que continuer à exploiter un site piraté pourrait compromettre la vie privée et la sécurité de vos visiteurs. Cela pourrait entraîner des litiges. S’il y a une chance que votre site ait été compromis, la meilleure chose à faire est de le mettre hors ligne jusqu’à ce que vous régliez le problème.
Voici cinq façons de dire que votre site WordPress peut avoir été piraté :
1. Votre hébergeur Web a désactivé votre site
L’une des premières choses que les fournisseurs d’hébergement web font quand ils soupçonnent un piratage est de désactiver le site en question. Vous pouvez essayer de visiter votre site et obtenir une erreur « page introuvable ». Dans ce cas, connectez-vous à votre compte d’hébergement, ouvrez le gestionnaire de fichiers dans cPanel (ou autre panneau de contrôle de votre hébergeur) et vérifiez que toutes vos pages sont toujours là. Si votre hébergeur a désactivé votre site, vous devriez remarquer que votre page d’index a été renommée.
2. Votre site Web a été mis sur la liste noire
Les moteurs de recherche comme Google, Yahoo! et Bing ne veulent pas risquer la sécurité de leurs utilisateurs, ils placent donc sur la liste noire les sites qu’ils soupçonnent d’être piratés. Vous savez que votre site a été mis en liste noire si vous le recherchez sur votre moteur de recherche préféré, cliquez sur le lien, puis recevez une sorte de message vous avertissant que la page n’est pas sécurisée.
3. Votre site a commencé à faire des choses étranges
Un autre signe que votre site a été piraté est s’il commence à se comporter bizarrement. Un exemple extrême serait une publicité pop-up à chaque fois que vous cliquez sur l’un de vos articles de blog récents. A moins d’avoir créé une campagne publicitaire utilisant des fenêtres contextuelles, c’est un signe certain que vous avez été piraté. D’autres comportements étranges incluent des choses telles que l’envoi de courriels non sollicités et la génération de commentaires étranges qui ne peuvent être suivis sur un utilisateur particulier.
4. Votre e-mail a été marqué
Si vous envoyez un courrier électronique à travers les serveurs de votre service d’hébergement plutôt que votre propre fournisseur d’accès Internet, vous devrez surveiller les retours fréquents d’e-mails. Les retours à l’envoyeur fréquents peuvent être un signe que d’autres serveurs ont signalé votre courrier électronique comme étant du spam. Cela pourrait être une indication que les pirates ont pris le contrôle et utilisent votre site pour envoyer des centaines de milliers d’e-mails.
5. Vous remarquez des utilisateurs non autorisés
Enfin, vous pouvez vous rendre compte soudain que votre site a des utilisateurs non autorisés qui s’engagent dans un comportement non autorisé. Ceci garantit que votre site a été piraté. Si vous remarquez des utilisateurs dont vous savez qu’ils n’étaient pas autorisés par vous ou par vos représentants, fermez votre site et réparez-le.
Comment prévenir le piratage de votre site par backdoor
Alors que les hébergeurs web et les développeurs font de leur mieux pour que WordPress et ses extensions soient sécurisés, il arrive que certaines choses passent au travers quand-même. Par conséquent, il est dans votre intérêt de faire tout votre possible pour éviter le piratage par backdoor de votre site. Voici quelques suggestions pour protéger votre site :
1. Utilisez uniquement des extensions mises à jour
Les développeurs d’extensions qui s’intéressent vraiment à la sécurité respectent les problèmes de sécurité et offrent des mises à jour régulières coïncidant avec les versions officielles de WordPress. Leurs extensions sont les seules que vous devriez utiliser sur votre site. Ne jamais installer une extension qui n’a pas été maintenue pendant les six derniers mois ou plus. De telles extensions sont trop risquées.
2. Utilisez des extensions approuvées
Si votre site WordPress est hébergé par une compagnie proposant un hébergement WordPress géré, il est fort probable qu’ils aient une liste d’extensions approuvées dont la fiabilité et la sécurité ont été testées. Si possible, utilisez ces extensions approuvées sur ceux que votre société d’hébergement Web n’a pas approuvée. Cela n’éliminera pas complètement le risque de violation de la sécurité de la porte arrière, mais cela le réduira de manière substantielle.
3. Investissez dans le chiffrage
L’un des moyens les plus faciles et les plus rentables d’augmenter considérablement la sécurité de votre site consiste à investir dans la couche de socket sécurisée (SSL). La plupart des entreprises d’hébergement Web ajouteront un cryptage et créeront un certificat pour votre site, pour un tarif unique ou pour un coût annuel peu élevé. Les sites sécurisés et chiffrés peuvent être facilement identifiés en recherchant le préfixe « https » dans l’adresse web.
4. Faites attention aux alertes de sécurité WordPress
Les développeurs WordPress émettent des alertes de sécurité après avoir reçu une notification de violation. Parfois, ces alertes ne concernent que les entreprises d’hébergement web et les développeurs, d’autres fois elles sont diffusées au grand public. Surveillez ces alertes en faisant attention aux informations technologiques. Les services génériques comme Google News et la plupart des principaux réseaux d’information sont des ressources utiles pour l’information. Si une alerte est émise, contactez le service d’assistance de votre société d’hébergement web pour savoir ce que vous pouvez faire afin de protéger votre site.
Il n’existe pas de système de gestion de contenu 100% sécurisé. Donc, plutôt que de vous taper la tête contre le mur en recherchant un, familiarisez-vous avec ce qu’il faut pour garder votre site WordPress sécurisé. Ensuite, prenez les mesures nécessaires pour passer à la pratique. Vous serez heureux de l’avoir fait.