Les attaques de sites web se multiplient depuis le COVID et la guerre en Ukraine. Le COVID a laissé du temps libre à bien des pirates pour se professionnaliser et ils se sont multipliés. La guerre en Ukraine a renforcé l’activité des russes contre l’occident et les chinois ne sont pas en reste ! Il devient nécessaire plus que jamais de renforcer la sécurité de ses sites web.
L’infection est souvent due à l’insertion de code malveillant dans des scripts javascript existants ou bien qui ont été déposés dans les répertoires WordPress, sans que l’on sache par qui et comment. Ces scripts peuvent même prendre le nom de scripts connus et réputés sûrs.
Si vous ne voulez pas avoir recours à un professionnel de sécurité coûteux, je vous recommande :
Testez votre site tous les jours
Mettez-le en page d’accueil de votre navigateur Internet ! En cas de défaillance contactez Ionos (ou votre hébergeur) qui pourra monter une sauvegarde remontant à une semaine, donc à priori avant l’infection. Vous pouvez réaliser cette opération vous-même depuis l’interface Ionos.
Ionos pourra parcourir l’ensemble de vos fichiers et repérer par leur nom les éventuels indésirables et les neutraliser.
Faites des sauvegardes
Utilisez l’extension Updraft Plus et faites une sauvegarde sur un disque dur externe tous les mois ou à chaque mise à jour majeure de contenu et de versions de WordPress, thème et extensions. Il est possible d’automatiser ces sauvegardes à intervalles réguliers et vers un cloud, mais :
- je préfère choisir le moment opportun pour la sauvegarde et je les date,
- je n’ai aucune confiance dans les clouds dont on ne sait jamais où ils sont réellement et qui peuvent brûler (exemple OVH).
En cas d’impossibilité de correction par Ionos, cette sauvegarde vous permettra en dernier recours de :
- supprimer votre site WordPress piraté chez l’hébergeur et supprimer sa base de données,
- ne conserver que votre domaine,
- recréer un site WordPress vierge avec une nouvelle base de données, de nouveaux mots de passe,
restaurer votre site à partir de la dernière sauvegarde antérieure à l’infection.
Vous pouvez aussi faire des sauvegardes à partir d’un logiciel de transfert de fichiers comme FileZilla. C’est juste plus long et demande de la rigueur :
Le logiciel affiche à gauche votre disque dur, à droite les répertoires chez votre hébergeur qui vous donnera les paramètres de connexion FTP ou SFTP (adresse hôte, identifiant, password à changer régulièrement, protocole, port). Faites simplement glisser de droite à gauche.
Il est évident que si un pirate a accès à votre compte hébergeur ou dispose de vos identifiants, il peut charger ce qu’il veut de gauche à droite !
Changez vos mots de passe wp-admin et hébergeur régulièrement et changez wp-admin
L’URL wp-admin est connue des pirates, comme toute URL d’administration de CMS (Joomla, Drupal, Wix …).
Mettez des mots de passe à 15 caractères minimum, ne signifiant rien, et combinant majuscules, minuscules, chiffres et caractères spéciaux.
Vérifiez sur wp-admin dans comptes qu’aucun compte pirate n’a été créé.
Remplacez l’URL wp-admin par celle de votre choix, avec un message d’erreur.
Optez pour la double authentification Ionos
Quiconque rentre chez votre hébergeur à votre place a accès à TOUT !
Vous devez charger l’application Ionos sur votre smartphone IOS ou Android. Lorsque vous vous connectez à Ionos vous devez valider la connexion sur votre smartphone.
Faites les mises à jour techniques de votre site
WordPress travaille avec des thèmes et des extensions développés par la communauté mondiale des développeurs WordPress. Il se peut que certains présentent des failles de sécurité, régulièrement corrigées, de même que WordPress corrige régulièrement ses propres failles. C’est une course permanente entre développeurs et hackers !
Mettez à jour :
- version de WordPress
- version du thème. Supprimez les thèmes non utilisés.
- les extensions.
Faites le ménage dans les extensions : supprimez celles qui ne servent à rien ou qui sont déjà désactivées. Si votre site a été développé par un freelance ou une agence web, ils ont coutume de laisser traîner un tas de trucs … sauf webadmin.fr.
Évitez de multiplier les extensions qui risquent de ne pas être compatibles entre elles. Si vous utilisez Woocommerce, lui même consommateur d’extensions, installez votre site e-commerce dans un autre site WordPress dans un sous-domaine, avec des liens aller-retours entre le site plaquette et le site e-commerce. Les sous-domaines sont gratuits. Par exemple : https://boutique.monsite.fr en sous-domaine de monsite.fr.
Vérifiez la notoriété et le degré de mise à jour de vos thèmes et extensions : privilégiez les produits bien notés (4 ou 5 étoiles), bénéficiant de millions de chargements et mis à jour fréquemment et récemment.
N’ajoutez JAMAIS un thème ou une extension téléchargé directement sur Internet (souvent un fichier zip) et qui n’est pas accessible en ligne sur WordPress :
Abonnez-vous à Ithèmes Security qui publie régulièrement des listes d’extensions et de thèmes vulnérables. Vérifiez si ceux que vous utilisez n’y figurent pas, s’ils ont été corrigés et si vous utilisez bien la version corrigée :
Renforcez la sécurité de votre site
- Bannissez la possibilité de commentaires dans les réglages du site.
- Installez l’extension Contact form 7 Image Captcha en complément de Contact Form 7 et installez la balise captcha dans vos formulaires. Aucun robot ne pourra utiliser vos formulaires.
- Installez l’extension Limit login attemps reloaded et paramétrez-la durement : 2 tentatives de connexion maxi et délai de 72 heures. Cette extension lutte contre les robots.
- Really Simple SSL est installé dans vos extensions. Suivez les recommandations de ce plug-in.
- Installez l’extension Secupress qui a l’avantage d’être en français. Scannez votre site et suivez les recommandations de l’application qui note la sécurité de votre site. L’application corrige les failles de sécurité une à une.
– Un site WordPress de base est noté D.
– Avec Secupress vous obtiendrez la note B+
– Avec Secupress Pro (60 €) vous obtiendrez la note maximale A+
Astuce : si vous administrez plusieurs sites, n’achetez qu’une seule licence et testez les extensions et thèmes différents des autres sites en les installant provisoirement sur le site protégé avec Secupress Pro.
Souscrivez au service Website Scan & Repair chez Ionos
Coût : 6 €/mois TTC.
Website Scan & Repair analyse quotidiennement votre site Web et répare les menaces sans action de votre part.
Caractéristiques incluses :
- Recherche quotidienne de programmes malveillants (jusqu’à 500 pages par domaine)
- Surveillance de la réputation
- Surveillance des spams et des listes de sites Web non sécurisés
- Analyse de la plateforme pour les sites WordPress
- Suppression automatique des logiciels malveillants
- Correction automatique des vulnérabilités pour les CMS WordPress, Drupal et Joomla
- Vérification mensuelle des vulnérabilités
- Sceau de qualité SiteLock
- Accès au tableau de bord Sitelock.
Protégez votre poste de travail
Vos versions de Windows, IOS ou LibreOffice et de pare feu/antivirus DOIVENT ÊTRE À JOUR !
Utilisez votre poste de travail uniquement à des fins professionnelles et bannissez toute navigation hasardeuse. Faites vos navigations privées sur des appareils à priori mieux protégés puisque dépourvus de disque dur (iPhone, iPad…).
Ne cliquez jamais sur un lien sans vérifier sa provenance en bas à gauche du navigateur, en passant simplement la souris sur le lien sans cliquer.
Vous êtes chez OVH ?
Aïe ! OVH n’offre plus aucune assistance en ligne dans un contrat de base et vous dirige vers des centaines de pages de documentation où vous ne comprendrez rien. L’hébergement OVH est plutôt destiné à des informaticiens confirmés ou à des sociétés disposant de solides compétences spécialisées.
Voyez avec OVH quelle extension de contrat vous pouvez souscrire afin de bénéficier d’une hot line, d’une sauvegarde sur un AUTRE serveur et d’une sécurité renforcée.
Alternative : basculez votre domaine chez Ionos ou chez un autre hébergeur et restaurez votre site à partir d’une sauvegarde Updraft Pus.
Un autre hébergeur ?
A-t-il une hot line pour vous aider ? Appelez-le pour savoir comment il pourra procéder pour restaurer votre site et si vous pouvez souscrire à une offre garantissant la sécurité de votre site.
Conclusion
La sécurité informatique est un métier. Il n’est cependant pas nécessaire d’avoir recours aux services coûteux et récurrents d’un professionnel si vous prenez les précautions ci-dessus et si vous vous appuyez sur les services d’un hébergeur qui se met à la portée des TPE/PME.
