La popularité de WordPress n’a cessé de croître mais également la fréquence des attaques, des virus et d’autres menaces. Les criminels peuvent engendrer des difficultés considérables pour les propriétaires de sites web et les commerçants en ligne. Dans cet article, nous allons vous donner 12 conseils pour protéger WordPress des virus !
Les logiciels malveillants qui ciblent les sites web sous WordPress recherchent et exploitent activement les vulnérabilités. Et principalement celles qui se trouvent dans les plugins et les thèmes. Il injecte ensuite un code problématique ou malveillant qui peut effectuer diverses tâches, en fonction du type de virus.
Avant d’aborder la question de la protection de WordPress contre les virus, il est essentiel de comprendre les risques potentiels que vous pouvez rencontrer.
Les virus et les sites WordPress
Nombreux sont ceux qui considèrent WordPress comme une plateforme hautement sécurisée. Les développeurs du monde entier travaillant en permanence à son amélioration. Les vulnérabilités sont rapidement identifiées et corrigées.
Cependant, malgré sa réputation de sécurité, pourquoi les virus ciblent-ils souvent WordPress ? La réponse réside dans son immense popularité en tant que système de gestion de contenu le plus utilisé, qui alimente environ 40 % de tous les sites web dans le monde. Son utilisation généralisée en fait également une cible de choix pour les attaques.
La nature même de WordPress contribue de manière significative aux problèmes de sécurité qu’il pose. Dès le départ, les développeurs l’ont conçu comme une plateforme modulaire et conviviale. Son principal avantage est de permettre la création de sites web professionnels et sophistiqués sans nécessiter d’expertise en HTML, CSS ou PHP. Cette grande facilité d’utilisation est rendue possible par l’utilisation extensive de plugins qui ajoutent diverses fonctionnalités.
Les thèmes et les plugins constituent un point faible potentiel supplémentaire pour la sécurité de WordPress, en particulier lorsqu’ils proviennent d’entreprises moins expérimentées ou d’utilisateurs réguliers. Les erreurs de code et les incohérences dans ces plugins peuvent constituer une invitation ouverte aux cybermenaces.
Même les mesures de sécurité les plus fiables, y compris les pare-feu, les antivirus, l’authentification à deux facteurs, les listes grises et la surveillance proactive, peuvent ne pas suffire à arrêter un attaquant déterminé.
En outre, le risque augmente lorsqu’une personne inexpérimentée est responsable de la gestion du site web. Un scénario souvent associé à la convivialité de WordPress. Ces personnes peuvent, sans le savoir, commettre des erreurs importantes qui rendent le site WordPress vulnérable. Ainsi, même les services d’hébergement WordPress les plus sécurisés ne sont pas en mesure d’assurer une protection complète.
Comment vérifier si mon site web est infecté ?
Avant de procéder à la sécurisation du site web de WordPress, il est essentiel de vérifier si un accès non autorisé s’est déjà produit.
- Visitez votre site web et explorez les différents produits, catégories et offres. Ajoutez des articles à votre panier et passez au module de paiement. Si tout se passe bien et qu’il n’y a pas d’incidents inhabituels. Comme des fenêtres pop-up ou des redirections soudaines vers des pages sans rapport, votre site web semble être en bon état.
- Utilisez le FTP pour parcourir les dossiers et rechercher des fichiers portant des noms aléatoires, tels que “46fr1s55p9_index.php”, “cl03haxmng_index.php”, ou “q9z91fmzq6_index.php”, ou tout autre style similaire.
- Vérifiez les fichiers principaux tels que index.php, wp-config.php et wp-settings.php pour détecter la présence éventuelle d’un code malveillant. Pour ce faire, activez l’affichage des espaces et des tabulations dans votre éditeur de fichiers. Regardez la capture d’écran ci-dessous. Au départ, il peut s’agir d’un fichier WordPress standard. Mais prêtez attention aux points gris qui indiquent un nombre excessif d’espaces.
- Faites défiler la fenêtre vers la droite ou activez le retour à la ligne pour dévoiler tout code malveillant caché, comme indiqué dans l’exemple.
- Examinez minutieusement tous les fichiers WordPress de votre site web, en particulier les fichiers PHP. Car des codes malveillants peuvent être dissimulés dans différentes parties de votre site.
- Vérifiez les résultats de la recherche organique sur Google en saisissant : site:votre-domaine.com. Si votre site web est infecté, Google peut afficher de nombreux résultats non pertinents faisant la promotion de casinos, de jeux d’argent, d’applications. Voire de contenus illégaux comme la pornographie ou la vente d’armes.
- Pour renforcer la sécurité de votre site web, envisagez d’installer un programme de recherche de malwares. Tel que WebDefender Security – Protection & AntiSpam. Ce plugin vous permet de rechercher d’éventuels virus cachés sur votre site web.
Cependant, chaque problème identifié nécessite un examen et une vérification individuels afin de déterminer s’il s’agit d’un logiciel malveillant. Il arrive que les plugins que nous utilisons contiennent du code qui pourrait être classé comme malveillant.
Comment protéger WordPress des virus ?
Voici une liste de mesures proactives qui créeront sans aucun doute des obstacles pour les cybercriminels et minimiseront le risque que votre site web soit victime d’un virus. Toutefois, il est essentiel de reconnaître que ces suggestions peuvent ne pas offrir une protection complète, en fonction du type de virus ou des robots d’attaque. Les développeurs d’antivirus et de virus se livrent à une course aux armements permanente.
Chaque fois qu’une nouvelle forme d’attaque ou de virus apparaît, les créateurs d’antivirus s’efforcent de la neutraliser rapidement. De même, les mesures de sécurité sont constamment mises à jour. Mais les criminels finissent par trouver des moyens de les contourner. Il est donc impossible de parvenir à une immunité absolue contre les virus, mais il est possible de réduire considérablement le risque d’infection.
Hosting
Le choix du bon fournisseur d’hébergement est un aspect essentiel de tout site web. De nombreux propriétaires de sites web fondent souvent leur décision sur les prix ou les recommandations d’autres personnes. Pourtant, ce n’est pas si simple. Avant toute chose, vous devez vérifier si le fournisseur d’hébergement :
- Dispose de la dernière version de PHP – actuellement 8.2,
- Effectue des sauvegardes régulières de la base de données et des fichiers. Et veille à ce que vous puissiez y accéder facilement,
- Offre une protection contre les attaques DDoS.
En plus des mesures de sécurité, il est également essentiel de vérifier les paramètres du serveur (processeur, mémoire vive, capacité de stockage, limites) fournis par l’hébergeur.
Opter pour UltaHost, qui donne la priorité à la sécurité, est un choix judicieux. Cela va au-delà de la mise en œuvre de systèmes de sécurité multicouches à différents niveaux de l’infrastructure. UltaHost construit de manière indépendante des centres de données dans le monde entier afin de garder un contrôle total sur la qualité des services offerts.
Cette approche garantit l’utilisation de composants de haute qualité, non seulement dans les serveurs, mais aussi dans l’ensemble de l’infrastructure. En outre, les centres de données d’UltaHost respectent les normes de sécurité strictes établies par l’Union européenne. Avec UltaHost, vous pouvez avoir une confiance totale dans la sécurité de vos données et de vos sites web.
Certificat SSL
Un certificat SSL crypte toutes les informations échangées entre le navigateur de l’utilisateur et le site web. Tous les hébergeurs réputés proposent des certificats SSL payants ou gratuits (par exemple, Let’s Encrypt) dans le cadre de leurs offres. Vous trouverez plus d’informations à ce sujet dans cet article :
Mises à jour WordPress
Les mises à jour régulières de WP n’introduisent pas seulement une variété de nouvelles fonctionnalités et possibilités. Mais elles incluent également des correctifs de sécurité cruciaux. Il est tout aussi important de maintenir vos plugins à jour. Les plugins et les thèmes sont particulièrement sensibles aux attaques de virus. Et il est donc essentiel de s’assurer qu’ils sont toujours à jour pour minimiser les risques.
Même si vous ne les utilisez pas activement et qu’ils sont désactivés, ils peuvent toujours servir de point d’entrée aux cybercriminels. Il est donc essentiel de mettre à jour tous les plugins installés sur votre site WordPress.
Désinstallation des plugins et thèmes inutiles
Selon le même principe, il est préférable de désinstaller les plugins ou thèmes inutilisés plutôt que de les désactiver. C’est l’approche recommandée. Même si vous avez besoin occasionnellement d’un plugin spécifique, désinstallez-le une fois que vous ne l’utilisez plus.
Sa réinstallation ne prendra que quelques instants. Cela ne vaut pas la peine de risquer des attaques potentielles sur votre site juste pour gagner deux minutes par mois. De même, si vous avez installé plusieurs thèmes, désinstallez-les tous, à l’exception de celui que vous utilisez actuellement. Seul le thème actif est nécessaire à votre site, tandis que les autres peuvent servir de passerelles aux cybercriminels.
Il est essentiel de minimiser les risques dans la mesure du possible. Ne facilitez pas la tâche des pirates et des robots malveillants !
Masquer la version de WordPress et les plugins
Par défaut, WordPress indique la version installée dans la source de la page en ajoutant une balise dans la rubrique HEAD :
<meta name=”generator” content=”WordPress 5.6.4″ />
Pour les plugins WordPress, il ajoute ?ver=X.X aux URL des fichiers CSS et JS.
En dévoilant les versions des composants que nous utilisons sur notre site, il est plus facile pour les attaquants de nous cibler. Car ils prennent connaissance des vulnérabilités spécifiques à chaque version de logiciel.
Pour bloquer l’affichage des informations de version, nous pouvons ajouter le code suivant au fichier functions.php de notre template :
remove_action(‘wp_head’, ‘wp_generator’);
add_filter(‘the_generator’, ‘__return_empty_string’);
function shapeSpace_remove_version_scripts_styles($src) {
if (strpos($src, ‘ver=’)) {
$src = remove_query_arg(‘ver’, $src);
}
return $src;
}
add_filter(‘style_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
add_filter(‘script_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
Modifications régulières du mot de passe
Changer les mots de passe de tous les administrateurs du site tous les deux mois ou même plus fréquemment est une bonne pratique. Surtout si votre nom d’utilisateur est adm, admin, administrateur ou nom de domaine.
Modification de l’identifiant de l’administrateur
Si votre nom d’utilisateur est adm, admin, administrateur ou nom de domaine, il est préférable de le changer dès que possible. Le nom d’utilisateur le plus couramment choisi est admin, et le changer limitera les possibilités d’attaques par force brute sur votre site. L’utilisation de l’un des noms d’utilisateur les plus populaires permet aux cybercriminels de cibler plus facilement votre site.
Comment modifier l’identifiant de connexion dans WordPress ?
Technique n°1 :
- Connectez-vous à la base de données via phpMyAdmin.
- Cherchez la table wp_users.
- Trouvez votre compte et cliquez sur modifier.
- Dans la colonne user_login, remplacez l’ancien nom d’utilisateur par le nouveau.
Technique n°2 :
- Dans le panneau WP, ajoutez un nouvel utilisateur avec des privilèges d’administrateur.
- Connectez-vous au nouveau compte.
- Supprimez l’ancien compte.
Modification de la page de connexion
Par défaut, vous pouvez accéder à chaque site WordPress par des URL comme :
example.com/wp-login.php,
example.com/wp-admin/
Pour réduire le nombre d’attaques par force brute, vous pouvez utiliser le plugin “Limiter les tentatives de connexion” pour limiter le nombre de tentatives de connexion et bloquer un utilisateur pendant une durée déterminée. Toutefois, si vous souhaitez sécuriser totalement le formulaire de connexion, vous pouvez modifier son emplacement à l’aide du plugin WPS Hide Login.
Il sera beaucoup plus difficile de deviner que le tableau de bord se trouve à l’adresse suivante
example.com/niceteddybear.
Blocage de l’accès aux fichiers
En utilisant des règles spécifiques dans le fichier .htaccess, vous pouvez sécuriser l’accès externe à certains fichiers ou dossiers.
Dans le dossier principal de WP, vous trouverez les fichiers xmlrpc.php et wp-config.php, qui stockent des données pour la base de données MySQL. Il est donc recommandé d’ajouter une couche supplémentaire de sécurité pour ces fichiers en ajoutant la règle suivante au fichier .htaccess situé dans le même dossier.
<files wp-config.php>
order allow,deny
deny from all
</files>
<files xmlrpc.php>
order allow,deny
deny from all
</files>
De plus, dans le répertoire /wp-content/uploads/, s’il n’existe pas, créez un fichier .htaccess et ajoutez la règle suivante pour bloquer l’exécution de certains virus :
<Files ~ “.ph(?:p[345]?|t|tml)$”>
deny from all
</Files>
Désactivation des fonctionnalités inutiles
WordPress propose diverses fonctionnalités qui sont souvent inutilisées, d’où l’intérêt de désactiver certaines d’entre elles. Si vous utilisez des commentaires, envisagez de désactiver les deux premières cases à cocher dans Réglages → Discussion.
Les pingbacks ont pour but d’informer l’administrateur du site lorsque quelqu’un crée un lien vers son article. Si vous n’utilisez pas les commentaires intégrés de WordPress, installez le plugin “Désactiver les commentaires”.
Plugins de sécurité
Alors que de nouvelles attaques et de nouveaux virus visant les sites web basés sur WordPress ne cessent d’apparaître, de nombreuses entreprises ont introduit des modules complémentaires pour nous aider à nous défendre contre ces attaques et virus. Wordfence Security, All In One WP Security & Firewall et iThemes Security sont quelques exemples de ces plugins.
Ces plugins visent principalement à garantir la sécurité de nos sites web en détectant les logiciels malveillants et en bloquant les attaques par force brute. Il convient toutefois de noter que l’utilisation de ces plugins peut entraîner une légère diminution de la vitesse du site web.
Création de copies de sauvegarde
La création de copies de sauvegarde régulières est cruciale, même si votre hébergeur s’en charge déjà pour vous. C’est le cas d’UltaHost, qui effectue automatiquement des sauvegardes quotidiennes de votre hébergement WordPress.
Il est donc recommandé de prendre soin de vos copies de sauvegarde, en particulier avant et après avoir apporté des modifications importantes à votre site web, même si vous faites confiance à votre fournisseur d’hébergement.
WordPress propose de nombreux plugins de sauvegarde, mais l’un d’entre eux mérite d’être recommandé : UpdraftPlus. Ce plugin permet d’effectuer des sauvegardes automatiques qui peuvent être envoyées sur un autre serveur.
En conclusion
Sécuriser votre site web WordPress contre les virus est de la plus haute importance dans le contexte numérique actuel. Avec la popularité croissante de WordPress, le risque d’attaques, de virus et d’autres menaces a également augmenté de manière significative. Les cybercriminels peuvent causer des dommages considérables aux propriétaires de sites web et aux entreprises en ligne s’ils ne sont pas correctement protégés.
En suivant ces recommandations, vous pouvez réduire considérablement le risque que votre site web WordPress soit victime de cyberattaques. N’oubliez pas que le fait de maintenir une approche proactive de la sécurité et de rester informé des dernières menaces contribuera à rendre votre site WordPress plus robuste et plus sûr. Restez vigilant et continuez à donner la priorité à la protection de vos précieux actifs en ligne.
Vous craignez de devoir payer un supplément pour notre plateforme d’hébergement sécurisée ? Ne vous inquiétez pas, il ne s’agit pas seulement d’un hébergement sécurisé. Mais aussi d’un hébergement WordPress bon marché ! Bénéficiez d’une assistance 24h/24 et 7j/7 de notre service clientèle. Notre infrastructure optimisée se concentre sur la mise à l’échelle automatique, la performance et la sécurité. Laissez-nous vous montrer la différence ! Découvrez nos plans d’hébergement WordPress !
