Une enquête sur la sécurité de WordPress montre que nous connaissons les risques, alors pourquoi n'agissons-nous pas ?
Publié: 2024-09-09WordPress est le système de gestion de contenu le plus populaire au monde, mais cette popularité comporte des risques importants. Si vous exploitez un site WordPress, vous êtes plus exposé aux attaques que vous ne le pensez.
Un nombre choquant de 72 % des sites WordPress gérés par les personnes interrogées dans le cadre de l’enquête de sécurité Melapress 2024 ont connu au moins une faille de sécurité. Ces chiffres sont un signal d'alarme et montrent que la protection de votre site n'est pas facultative, mais essentielle.
Dans cet article, je discuterai de certains résultats de l'enquête sur la sécurité et je recommanderai les étapes simples que vous pouvez suivre pour empêcher votre site Web de devenir une autre statistique.
Les chiffres ne mentent pas : il est temps d'agir.
Plus de 72 % des sites WordPress ont été piratés
Si votre site n'a pas encore été attaqué, considérez-vous chanceux, mais ne soyez pas complaisant.
Les pirates utilisent des outils automatisés pour rechercher les vulnérabilités des sites WordPress, ce qui signifie que vous pourriez être une cible sans même vous en rendre compte. Des mots de passe faibles, des plugins obsolètes ou une version WordPress non corrigée sont comme des portes ouvertes pour les cybercriminels.
Pour éviter de faire partie de cette statistique inquiétante, assurez-vous que votre site est protégé. Mettre régulièrement à jour votre version et vos plugins WordPress est une bonne première étape, mais rappelez-vous, ce n'est qu'une couche.
Vos préoccupations en matière de sécurité correspondent-elles à vos actions ?
Vous êtes peut-être déjà conscient des risques de sécurité liés à la gestion d'un site WordPress (mots de passe faibles, plugins obsolètes ou 2FA manquant), mais le savoir ne suffit pas.
Nous avons toujours constaté un écart entre les préoccupations et la mise en œuvre effective des meilleures pratiques. Il est facile de reconnaître les risques, mais de nombreux propriétaires de sites n'agissent que lorsqu'il est trop tard. Nous en avons été nous-mêmes coupables dans le passé et ce n'est pas une expérience amusante.
Il suffit de consulter les résultats de Melapress issus de leur enquête :
Il est clair qu'une grande partie d'entre nous est consciente des risques de sécurité et sait ce que nous devons faire pour nous protéger, mais nous ne faisons pas toujours ce que nous devons faire.
N'attendez pas que les choses tournent mal pour agir. Voici une citation de Robert Abela, fondateur de Melapress, avec ses réflexions sur les résultats de l'enquête.
Les résultats de l’enquête sur la sécurité WordPress de cette année mettent en évidence à la fois des tendances encourageantes et des domaines nécessitant davantage d’attention. Il est clair que de nombreux administrateurs adoptent des mesures de sécurité strictes, comme l'authentification à deux facteurs. Cependant, il reste encore du travail à faire pour former les équipes et mettre en œuvre des plans de redressement complets. Je suis convaincu que ces connaissances nous guident, ainsi que bien d’autres, dans l’élaboration de solutions permettant de relever ces défis.
Robert Abela, fondateur de Melapress
Recommandations pratiques pour sécuriser votre site WordPress
Nous avons écrit à plusieurs reprises sur la sécurité de WordPress sur WP Mayor et des experts en sécurité, dont Robert lui-même, ont partagé leurs opinions et leurs conseils. Voici nos recommandations pratiques pour protéger votre site WordPress.
Installez un plugin de sécurité WordPress
Vous pensez peut-être maintenant que vous en savez suffisamment sur la sécurité pour mettre en œuvre des mesures vous-même, mais externaliser cette partie essentielle de la gestion d'un site WordPress à votre hébergeur ou à un autre tiers n'est pas toujours la meilleure idée.
C'est bien que vous preniez le temps de vous familiariser avec les bases et de mettre en œuvre quelques mesures de sécurité. Pour aller plus loin, nous vous recommandons d'élaborer un plan de rétablissement en cas de problème, car soyons réalistes, il y a de fortes chances que ce soit le cas.
Consultez nos recommandations sur les plugins de sécurité WordPress essentiels ainsi que nos comparaisons de plugins de sécurité pour commencer.
Mettre en œuvre l'authentification à deux facteurs (2FA)
Ajouter une couche de sécurité supplémentaire à votre expérience de connexion WordPress est essentiel. Avec 2FA, qui signifie authentification à deux facteurs, même si un mot de passe est compromis, un deuxième facteur (comme une application téléphonique comme Google Authenticator ou un code envoyé par SMS) bloquera l'accès non autorisé.
Melapress propose lui-même un plugin appelé WP 2FA qui vous aide à faire exactement cela gratuitement. Il existe également quelques autres plugins de sécurité 2FA disponibles gratuitement si vous souhaitez regarder autour de vous.
Quel que soit le plugin que vous choisissez, c’est l’une des mesures les plus simples et les plus critiques pour commencer à sécuriser votre site WordPress.
Renforcez vos politiques de mots de passe
Les mots de passe faibles sont un point d'entrée courant pour les pirates informatiques et je suis toujours étonné que tant de propriétaires de sites utilisent des mots de passe par défaut ou de base. Il est révolu le temps où l’on utilisait des noms ou des dates de naissance comme mot de passe. Vous devez rendre la tâche un peu plus difficile pour les pirates.
L'établissement de directives de mot de passe solides pour tous les utilisateurs de votre site Web, y compris des politiques de longueur, de complexité et d'expiration, est essentiel pour assurer la sécurité de votre site.
WordPress lui-même fournit une liste de bonnes pratiques en matière de mots de passe, et nous sommes allés encore plus loin avec d'autres directives de sécurité des mots de passe dont vous voudrez prendre note.
Et si vous vous demandez comment vous souviendrez d’un mot de passe comme celui indiqué ci-dessus, ce n’est pas le cas. Utilisez un gestionnaire de mots de passe comme 1Password pour stocker toutes vos connexions et vous n'aurez besoin de mémoriser qu'un seul mot de passe.
Utilisez CAPTCHA pour éviter le spam
Les CAPTCHA sont très efficaces pour empêcher les robots spammeurs d'inonder vos formulaires ou d'attaquer votre site. En ajoutant CAPTCHA à vos sections de connexion ou de commentaires, vous pouvez réduire considérablement le trafic indésirable.
CAPTCHA 4WP est un plugin qui offre une multitude de fonctionnalités pour ce faire. Mieux encore, vous disposez de nombreuses intégrations prêtes à l'emploi avec WooCommerce, Contact Form 7 et bien plus encore. Consultez notre guide complet sur la mise en œuvre du CAPTCHA pour votre site WordPress.
Sécurisez vos formulaires
Les formulaires sont une vulnérabilité courante sur de nombreux sites WordPress. Garantir une validation appropriée des entrées, à l’aide du CAPTCHA que j’ai mentionné ci-dessus, et limiter les taux de soumission des formulaires peuvent tous aider à se protéger contre les attaques par force brute et de spam.
Nous avons élaboré le guide ultime sur la sécurité des formulaires WordPress qui explique comment les pirates utilisent les formulaires Web pour accéder à votre site et vous montre comment sécuriser vos formulaires WordPress pour assurer la sécurité des données de votre site.
Pages protégées par mot de passe
Les pages WordPress protégées par mot de passe sont peut-être une solution moins connue et en vérité, tout le monde n’en aura pas besoin.
Si vous avez du contenu sensible sur votre site, tel que des pages qui ne devraient être visibles que par certaines personnes, assurez-vous qu'il n'est accessible qu'à ceux qui en ont besoin en configurant une protection par mot de passe.
Gardez une trace du comportement des utilisateurs
Mettre en œuvre des mesures de sécurité est votre premier travail. Une fois cela fait, il est temps de suivre le comportement de vos utilisateurs (et des pirates potentiels) sur votre site. C'est là que les journaux d'activité entrent en jeu.
Nous avons une série de trois parties sur les journaux d'activité que vous devriez consulter :
- Comment les journaux d'audit WordPress améliorent la responsabilité des utilisateurs
- Utilisation des journaux d'activité WordPress pour résoudre les problèmes techniques du site
- Le rôle vital des journaux dans la sécurité WordPress
N'attendez pas une violation
Les données de l'enquête de Melapress sont un signal d'alarme pour quiconque gère un site WordPress. Qu'il s'agisse de mettre à jour des plugins, de sécuriser les formulaires de connexion ou d'utiliser 2FA, agir aujourd'hui est le meilleur moyen de protéger votre site contre une autre statistique.
Nous faisons confiance à l'équipe Melapress pour des conseils de sécurité depuis de nombreuses années et pour cause. Vous pouvez consulter notre entretien avec le fondateur de Melapress, Robert Abela, de 2019 pour tout savoir sur leur parcours et pourquoi vous pouvez faire confiance à leurs conseils en matière de sécurité.
Enfin et surtout, si vous pensez que votre site est compromis, voici cinq choses que vous devez faire une fois votre site piraté.