22 janvier 2021

6 min de lecture

Opinions exprimées par Entrepreneur Les contributeurs sont les leurs.


En octobre dernier, l’équipe de sécurité de WordPress a utilisé une fonction interne pour pousser une mise à jour de sécurité vers un plugin populaire. La possibilité de pousser de force une mise à jour était inconnue de nombreux développeurs, même expérimentés.

Le bogue du plugin Loginizer utilisé par plus d’un million de sites Web a été classé comme l’un des pires problèmes de sécurité affectant un plugin WordPress dans la mémoire récente. Pour cette raison, l’équipe de sécurité de WordPress a estimé que l’action était nécessaire.

Tout le monde n’a pas apprécié l’approche proactive de WordPress. Les utilisateurs se sont plaints sur le forum Loginzer et sur le site WordPress.org. Certains ont été surpris d’apprendre qu’il était même possible de mettre à jour un plugin avec les mises à jour automatiques désactivées. Les utilisateurs se sont également plaints en 2015 après que WordPress a utilisé pour la première fois la fonction de mise à jour forcée.

Lié: Transformez votre site WordPress avec 80 mises à niveau marketing premium

WordPress a décidé de publier une mise à jour de sécurité pour éviter une erreur d’injection SQL dangereuse dans le plugin. La vulnérabilité aurait pu permettre à des pirates de prendre le contrôle de sites WordPress avec des versions obsolètes de Loginizer, qui, ironiquement, fournit des améliorations de sécurité à la page de connexion WordPress.

Mise à jour WordPress

Environ deux semaines plus tard, WordPress a publié la version de sécurité et de maintenance de WordPress 5.5.2 pour WordPress Core. Cette mise à jour contient dix correctifs de sécurité. WordPress recommande à tous les utilisateurs de mettre à jour leurs sites Web immédiatement.

À partir de 2016, WordPress fonctionnait à peu près 34% des 1,2 milliard de sites Web sur Internet. WordPress, un système de gestion de contenu (CMS), est préféré par les développeurs Web possédant à la fois des connaissances de base et avancées, en grande partie en raison de sa facilité d’utilisation. Avec autant d’installations, c’est une cible constante pour les cybercriminels, et les propriétaires de sites Web du monde entier ont été victimes d’une série continue de force brute et d’autres types d’attaques. Ces mises à jour de sécurité régulières de WordPress sont essentielles pour assurer la sécurité et la disponibilité de ces sites Web.

Écosystème WordPress

WordPress attire non seulement les pirates informatiques infâmes, il attire également les entrepreneurs. Des entreprises comme Astra, iThemes, Sucuri et Bullet ont construit leurs activités autour de la résolution des problèmes de sécurité des propriétaires de sites Web WordPress.

La facilité d’utilisation de ce CMS populaire s’accompagne d’une personnalisation facile. Quel que soit le type de site que vous souhaitez créer, il existe un plugin que vous pouvez utiliser pour effectuer des personnalisations prédéfinies. Au dernier décompte WordPress.org répertorié plus de 58 000 solutions, mais ces plugins et thèmes sont souvent le point d’entrée des attaques.

WordPress, les plugins et les thèmes sont le plus souvent sujets à:

  • Attaques Brute Force – Entrez différentes combinaisons de nom d’utilisateur et de mot de passe jusqu’à ce que vous ayez accès.

  • Scripts intersites – Les pirates attirent les victimes vers un site contenant du code JavaScript malveillant.

  • Inclusions de fichiers – Exploitation de vulnérabilités dans le code PHP de WordPress.

  • Logiciel malveillant – Code qui est injecté dans le site, par exemple pour permettre des redirections non autorisées ou pour permettre un accès de haut niveau à votre compte d’hébergement.

  • Injections SQL – Les attaquants recherchent des bases de données non sécurisées et y accèdent à l’aide d’injections MySQL. Cela leur donne le contrôle sur toutes les données et leur permet de créer des comptes d’administrateur ou d’ajouter du contenu à la base de données, par ex. B. Liens vers d’autres sites Web contenant des logiciels malveillants.

Lié: Ce guide expert pour créer un site WordPress de qualité professionnelle

Pourquoi votre site Web WordPress est-il en danger?

La plupart des sites Web WordPress (tous les sites Web) sont vulnérables car les développeurs et les propriétaires de sites Web n’appliquent pas les meilleures pratiques en matière de sécurité. Les mauvais mots de passe sont une vulnérabilité majeure et sont rapidement résolus. Pourtant, des milliers de sites Web sont piratés chaque jour en raison de mots de passe faibles et faciles à deviner.

Mots de passe simples

Pour éviter les attaques par force brute, créez des mots de passe compliqués en utilisant 12 caractères ou plus, en mélangeant des symboles, des lettres et des chiffres, et en vous assurant que le mot de passe est unique à votre site WordPress. Les applications Password Vault telles que LastPass et 1Password facilitent cette tâche.

Pas d’authentification

L’authentification multifacteur fournit une couche de sécurité supplémentaire qui, lorsqu’elle est ajoutée à d’autres bonnes pratiques, empêche les pirates d’accéder à votre site Web. Il existe plusieurs utilisations, par ex. B. Google Authenticator pour votre appareil mobile pour authentifier les tentatives d’accès autorisées.

Plugins et thèmes inutilisés

D’autres points d’entrée pour les sites Web WordPress sont des plugins et des thèmes obsolètes. Bien que les sites Web fonctionnent plus rapidement avec moins de plugins, de nombreux propriétaires de sites Web installent des plugins, les essayent et n’utilisent pas les fonctionnalités qu’ils fournissent. Les plugins abandonnés sont laissés pour compte et les mises à jour sont ignorées. Au fil du temps, les sites Web peuvent accumuler des dizaines de plugins et de thèmes inutilisés.

Soyez prudent lors de l’installation de nouveaux plugins et thèmes. Téléchargez toujours à partir de sites Web dignes de confiance comme ThèmeForest, CodeCanyonet WordPress.org. Utilisez moins de plugins en choisissant ceux avec plusieurs fonctions au lieu de plusieurs plugins avec une seule fonction.

Supprimez des sujets en vous connectant à votre compte d’hébergement ou en utilisant un logiciel FTP. Vérifiez également dans la base de données les orphelins de table créés par des plugins que vous n’utilisez plus.

Pas de plugin de sécurité

Chaque site devrait avoir un plugin de sécurité, et il y en a beaucoup de bons. Il s’agit de votre première ligne de défense au cas où des pirates tentent d’accéder à votre site Web. Vous pouvez souvent trouver Sucuri, iThemes Security, All-in-One WP Security and Firewall, BulletProof Security, Jetpack, SecuPress, Cerber Security et Wordfence dans les dix premières listes avec d’autres options moins connues.

Pas de sécurité d’hébergement

De nombreuses sociétés d’hébergement incluent des fonctionnalités de sécurité ou sont disponibles en tant que service complémentaire. Configurez le logiciel (et votre plugin de sécurité WordPress) pour des analyses régulières – pas trop souvent tous les jours – et pour vous alerter des anomalies.

Un plan de sauvegarde

Bien que chaque propriétaire de site Web doive suivre les meilleures pratiques de sécurité, il est toujours possible qu’un site Web soit piraté. Les plans de sauvegarde sont fiables lorsque tout ce qui peut mal tourner fonctionne. Activez les sauvegardes régulières en fonction de la fréquence à laquelle vous apportez des modifications au site. S’il s’agit d’une tâche quotidienne, effectuez des sauvegardes quotidiennes. Gardez-les hors site et conservez-les pendant une semaine au cas où vous ne repéreriez pas une attaque tout de suite et que vous deviez revenir plusieurs jours en arrière pour trouver une sauvegarde propre.

Les développeurs WordPress travaillent sans relâche pour assurer la sécurité des sites Web. Cependant, les propriétaires doivent assumer la responsabilité de maintenir leur logiciel à jour et de garder leurs mots de passe sécurisés. Tout comme WordPress a rendu le développement de sites Web facile, il a également rendu la sécurité si facile. Installez des mises à jour, utilisez des mots de passe compliqués, ajoutez une authentification et planifiez des sauvegardes pour que votre site Web fonctionne et gagne de l’argent.



Source link

Recent Posts