Hacking: Durée de vie d’un site WordPress sans protection

Je reçois régulièrement des demandes d’assistance pour remettre en production des sites victimes de hacking. En règle générale il s’agit de petites entreprise ou des indépendants propriétaires d’un site fonctionnant sur WordPress. Ceci n’est pas réservé à WordPress mais est commun à l’ensemble des CMS populaires qui sont des cibles privilégiées des hackers, pirates et autres ‘script kiddies’.

Les causes du hacking

Dans la plupart des cas, le site est en ligne depuis des mois mais aucune maintenance n’est jamais faite. Le site est attaqué à cause de versions de WordPress  obsolètes, des plugins qui ne sont pas à jour et des mesures de protection inexistantes ou inadaptées pour faire face aux techniques des hacking actuelles.

Durée de survie moyen = 4 mois

J’observe qu’au delà de 4 mois sans maintenance, les sites WordPress sont facilement victimes d’intrusions et se retrouvent rapidement KO.

Comment se protéger

Pour éviter de ‘perdre’ votre site WordPress, il existe des moyens de protection élémentaires et efficaces.

1. Mise à jour de WordPress

Plusieurs fois par année des nouvelles versions de WordPpress sont publiées, soit pour ajouter de nouvelles fonctionnalités ou pour résoudre les derniers problèmes de sécurité qui ont été identifiées dans le monde.
Pour éviter que des pirates n’exploitent des failles largement connues et documentées, il est important d’appliquer ces mises à jour sans délai .

2. Mise à jour des thèmes et des plugins

Les thèmes sont des paquets des scripts qui ont pour fonction de gérer la présentation du site: affichage d’une image de fond, menus, disposition des blocs d’information, etc.
Les sites WordPress nécessitent souvent l’utilisation de plugins pour fournir des fonctionnalités spécifiques qui ne sont pas directement disponibles par la plateforme WordPress standard. A titre d’exemple des plugins sont spécialisés pour l’affichage d’albums photo, la gestion d’un catalogue de produits, ajouter des effets visuels sur les pages, gérer des formulaires de contact, etc.
Les thèmes et les plugins sont également sujets à des failles de sécurité et de nouvelles versions sont publiées régulièrement, parfois plusieurs fois par mois.
Pour faciliter ces mises à jour, WordPress contient des fonctions pour réaliser ces mises à jour sans connaissance informatique. Il suffit de sélectionner les modules obsolets et de cliquer sur le bouton ‘mettre à jour’ pour que ça se réalise automatiquement.
La seule nécessité est de se connecter régulièrement à la console d’administration du site pour prendre connaissance des alertes et de les traiter. Une vérification toutes les deux semaines est recommandée et ne prend pas plus de 5 minutes.

3. Renommer le compte ‘admin’

Le compte administrateur par défaut de WordPress est nommé simplement ‘admin’. Trop de sites conservent ce compte ‘admin’ et les hackers essaient systématiquement de prendre le contrôle du site en devinant le mot de passe du compte ‘admin’. Vous pouvez sérieusement leur compliquer la tâche en renommant ce compte.

4. Des mots de passe sérieux.

Il n’est pas toujours nécessaire de choisir des mots de passe très long et très compliqués pour sécuriser un système. La première règle est de choisir une séquence unique et particulière: évitez des mots de passe communs tels que ‘passw0rd’, ‘secret’, ‘p@ssword’ ou ‘motdepasse’.
Une technique simple est de concevoir une séquence composée de 3 idées distinctes et familières que vous vous souviendrez facilement, par exemple : <nom de votre animal de compagnie><une date><votre plat préféré>: MédorNoëlBlanquette, Rex1407Tartaredeboeuf, Bubulle1515Lasagne, MilouPâquesRaclette

5. Désactiver les enregistrements des utilisateurs et les commentaires.

A moins que ce soit vraiment nécessaire pour votre site, désactivez l’enregistrement et la création de comptes utilisateur et la possibilité à vos visiteurs de déposer des commentaires. Ce sont des portes d’entrées dans votre site. Si elles ne sont pas strictement nécessaires, fermez-les.

6. Plugins de sécurité, par exemple ‘All In One WP Security’

Ce plugins permet de mettre en place plusieurs mécanismes de sécurité particulièrement efficaces.

Voici les options que j’active sur l’ensemble des sites WordPress que je gère:

  • Renommage de la page d’authentification
  • Renommage du compte administrateur
  • Bloquage temporaire de l’adresse IP du visiteur après quelques logins incorrects.
  • Bannissement de l’adresse IP des visiteurs qui se sont fait bloquer plusieurs fois.
  • Mise en place des permissions sur les répertoires et fichiers système.
  • Firewall
  • Captcha sur les pages de login et formulaires
  • Backup de la base de données

7. Du backup, du backup et encore du backup

N’oublions pas l’essentiel: la copie de sécurité des fichiers et de la base de donnée.
Dans le cas où les mesures de protection mises en oeuvre ne serait pas suffisantes, un backup de l’hébergement sera certainement indispensable.
Le backup sera utile pour restaurer le système et limiter le risque de perte de données.
La copie de sécurité pourra également être utilisé comme référentiel pour analyser le système qui a été affecté (analyse différentielle) à la recherche de ce que le hacker aurait pu ajouter/cacher dans votre site (p.ex malware, code botnet) ou retrouver les ‘traces’ de son exploit. Cette analyse vous sera utile pour comprendre ce qui s’est passé et évaluer si vos mesures de protection étaient suffisantes. Le cas échéant, un renforcement du niveau de sécurité pourrait être nécessaire.

bienvu.ch peut vous aider à sécuriser votre site WordPress ou vous assister pour le rétablir suite à une attaque de hacking. Pour plus d’informations, contactez-nous au +41-(0)22-552.20.21