WordPress est le CMS le plus utilisé au monde. Il permet de créer des sites internet de manière rapide, efficace mais surtout sans avoir aucune connaissance dans la programmation ou même le design. Au moment où j’écris cet article, pas moins de 43% du WEB est composé de site WordPress.
A l’origine WordPress était destiné à être un site de blog ou de présentation. De par sa conception, il est possible d’ajouter des plugins. C’est en quelque sorte un rajout supplémentaire qui n’est pas de base. Prenez ça comme ajouter une chambre à sa maison. Vous avez votre maison de base et si vous souhaitez quelque chose de plus il suffit d’aller chercher un plugin (pièce de maison) sur le catalogue.
Il en est pareil pour le thème, celui-ci sert à l’affichage de votre site. C’est en quelque sorte la façade que verra l’utilisateur qui vient.
Du fait que WordPress soit le CMS le plus utiliser au monde en fait une cible parfaite pour les pirates informatique. Précédemment j’expliquais que vous pouvez ajouter des plugins / thèmes à votre WordPress. C’est très pratique mais en même temps très dangereux.
Je vais vous expliquer le plus simplement possible pourquoi c’est potentiellement problématique.
Déjà il faut savoir que vous gérez les mises à jour de votre WordPress et les plugins. Mais ce que vous ne gérez pas c’est le développement du plugin qui peut être stoppé à tout moment par le développeur.
1er cas : le développement est abandonné
Si le développeur décide d’abandonné son plugin, il ne sera plus mis à jour. Vous aurez donc une maison que vous pourrez entretenir (WordPress) mais une pièce que vous ne pouvez plus entretien (plugin). Au fil du temps il se peut que des erreurs laissant une faille ou une exploitation possible soit découverte.
En temps normal, vous pouvez mettre à jour votre plugin pour que cette faille soit colmatée, mais le développeur ayant tout arrêté, vous resterez avec cette faille accessible sur votre site WordPress.
2ème cas : le développement est maintenu :
Dans ce cas-là, le problème peut être directement lié à vous. Je m’explique. Encore deux cas de figure :
1er cas : le plugin fonctionne vous ne le mettez donc pas à jour :
Dans le plugin il peut potentiellement y avoir une faille qui permettrait un piratage de votre WordPress
2ème cas : le plugin fonctionne et vous le mettez à jour :
Lors d’un développement, il se peut que beaucoup de chose changent et altèrent ce qui a déjà été fait. Si c’est votre cas, vous serez obligé de refaire une partie du site (ce que le plugin touche) ou bien vous retournerez au cas numéro 1.
Il se peut également que le plugin n’altère en rien le bon fonctionnement du site et qu’il marche (90% du temps).
Il faut prendre en compte aussi que les plugins ne sont que des fichiers en général avec l’extension .php
On peut appeler ces fichiers simplement via l’URL de votre site de la manière suivante : https://votresite.com/wp-content/plugins/lenomduplugin/lefichier.php
Comprenez donc que les plugins désactivés peuvent donc quand même être appelés. Là ou je veux en venir c’est qu’il faudra également mettre à jour les plugins qui ne sont pas activés.
Dans tous les cas il faudra impérativement mettre à jour. C’est là que 90% des piratages sont fait.
Tout ce que vous venez de lire s’applique également pour les thèmes.
Le xmlrpc est l’ancien système de gestion API (c’est un système de communication réservé qu’entre les sites internet) de WordPress. Il n’est pas sécurisé et autorise des demandes qui peuvent être tournées de manière malveillante. Pas de panique pour éviter cela il existe un super plugin dont j’ai fait une vidéo dessus https://youtu.be/hpVhOUsDgY0
Le wp-json est la nouvelle manière d’obtenir des informations sur votre WordPress afin que les robots / logiciels puissent s’y retrouver facilement. Le souci avec cela est le suivant : s’il n’est pas configuré on peut retrouver des informations qui peuvent être compromettantes. Par exemple le compte administrateur du WordPress peut être retrouvé et donc il ne reste qu’à trouver le mot de passe. Sachez que si vous n’êtes ni développeur ni technique il y a 98% de chance que vous n’ayez pas besoin du WP-JSON. Par conséquent vous pouvez le désactiver encore une fois par le plugin cité plus haut.
Et oui il existe des plugins payants qui peuvent être crackés et mis à disposition de tous. Le problème avec ce genre de pratique c’est qu’en général il se cache quelque chose dans le code. Quelque chose que vous ne voyez pas mais qui peut potentiellement vous affecter par la suite.
Je vous déconseille fortement d’utiliser ce genre de plugin. Il existe des plateformes avec un abonnement (pas cher) afin de pouvoir bénéficier de plugins. Exemple : https://codecanyon.net/
Le bruteforce est une technique qui consiste à venir tester toutes les combinaisons possibles de mot de passe. Cela peut être fait de manière aléatoire ou via des dictionnaires de mots de passe déjà piratés. Il est donc conseiller d’utiliser un mot de passe bien distinct, long et complexe pour vous éviter des surprises. Également, je vous conseille d’installer un plugin de défense qui permet de bloquer un utilisateur qui effectue trop de demande consécutive sur votre site. En général un utilisateur va faire 10 à 15 recherches / clics sur votre site en 1 minute. Le plugin de défense saura analyser cela et bannir temporairement une personne malveillante.
Une faille 0 Day c’est en fait une faille qui a été trouvée récemment et qui n’a pas encore été réparée. Cela peut arriver sur un plugin suite à sa mise à jour la veille. En général les pirates sont plus rapides que les développeurs ! Vous vous dites surement ok mais je peux quoi contre ça contre moi ? Et comment un hacker peut-il savoir que j’ai ce plugin en question ?
Je vais répondre d’abord à la seconde question : il est possible de trouver tous les plugins qui se trouvent sur votre WordPress. Uniquement si vous n’avez pas de sécurité.
Qu’est-ce que vous pouvez faire ? Je vous rassure, encore une fois le plugin WP Hardening https://youtu.be/hpVhOUsDgY0 permet de contrer cela et évite le souci.
Si vous utilisez toujours le même mot de passe cela peut être compromettant.
Exemple : vous vous inscrivez sur un site A avec votre mail + mot de passe. Celui-ci se fait pirater, les mots de passes sont trouvés. Il suffit d’aller sur votre site pour utiliser la combinaison mail + mot de passe et le tour est joué. Pensez donc à utiliser des identifiants / mot de passe bien différents sur chaque site.
C’est une technique hyper simpliste qui permet de copier l’aspect de votre site, de le mettre sur un autre serveur et de vous envoyer le lien via mail en prétextant un souci. Si vous n’êtes pas attentif, vous allez naturellement vous identifier pour accéder à l’admin sauf que ça ne sera pas votre vrai site. Vous aurez donc envoyé vos identifiants au hacker.
Qu’un plugin soit activé ou non il faut le mettre à jour. Il en va de même pour le thème.
Il ne faut pas télécharger des plugins d’une source inconnue.
Soyez attentif et utilisez toujours des mots de passe différents.
Prenez du temps pour comprendre et vérifier tous les petits points qui peuvent être source de faille.
Pensez à faire des sauvegardes quotidiennes de votre site. Si un problème arrive et que vous devez restaurer, sans sauvegarde vous ne pourrez pas.
Une chaine YouTube a été créée pour vous informer de tout cela. Je vous invite à y faire un tour https://www.youtube.com/channel/UC6zRx01WnmhnhyYbproldbg
Comment vérifier si mon WordPress contient des failles de sécurité : https://youtu.be/rlIAJhucDRQ
Comment sécuriser mon WordPress afin d’éviter le piratage : https://youtu.be/hpVhOUsDgY0
Comment bénéficier d’un Audit de sécurité Gratuit et SANS engagement : https://youtu.be/qB1Y8huDeiI
Auteur : Lilian https://mon-hebergement.fr en liaison directe avec Stephen de https://wooprotect.fr
Je suis disponible du Lundi au Vendredi
de 9h à 18h
Par appel au 07 64 87 62 41
Ou par mail sur contact@wooprotect.fr