Comment est-ce que les sites WordPress se font il compromettre?

Des amis et des collègues nous contactent souvent parce que leur site Web WordPress a été piraté. Ils se demandent pourquoi ils étaient la cible d’une attaque, ne se rendant pas compte que la plupart des attaques sont tout simplement effectuées par des agents numériques (bots) exploitant diverses vulnérabilités. Selon WPTemplate.com, les causes les plus fréquentes du piratage des sites WordPress sont les suivantes.

Les mots de passe faibles sont à l’origine de 8 % des attaques.

Puisque chaque service que nous utilisons exige un mot de passe, il n’est pas étonnant que nous les oubliions souvent. Les utilisateurs se lassent d’avoir à se souvenir d’une surabondance de mots de passe, alors ils créent des mots de passe très simples. Selon ITWorld.com un mot de passe de six (6) caractères prendrait de 3 à 7 semaines à craquer. Alors que cela peut sembler longtemps, pensez à combien souvent vous changer vos propres mots de passe.

La longueur d’un mot de passe n’est pas le seul indicateur du degré de complexité du mot de passe. Cinquante-cinq pour cent (55 %) des utilisateurs utilisent le même mot de passe pour la plupart des sites Web parce qu’ils ne veulent pas avoir à se souvenir de dizaines de mots de passe uniques. Le problème avec cela c’est que de nombreux sites Web se font piratés, ce qui est à l’origine de la fuite de renseignements personnels. Si un pirate a accès à un compte courriel, il peut accéder à un autre site Web comme Facebook, LinkedIn ou même à un site de services bancaires en ligne et y ouvrir une session sans déclencher aucune alarme!

Des thèmes et des plugins vulnérables sont à l’origine de 51 % des attaques.

Certaines thèmes WordPress gratuits sont conçus et développés conformément au code, mais ils ne le sont pas tous. Les concepteurs de thèmes vantent souvent le développement d’un site WordPress comme étant  bon marché parce qu’ils peuvent télécharger une solution gratuite et tout simplement ajouter les couleurs et le logo de leur propre marque  pour faire croire qu’il s’agit de leur propre création.  Sans savoir ce qui se trouve « sous le capot », ils pourraient exposer le site à des attaques automatisées, surtout s’il s’agit d’un thème très courant.  Vingt-neuf pour cent (29 %) de toutes les attaques proviennent de thèmes WordPress mal conçus.

Bien qu’un site Web n’ait qu’un seul thème, pensez à  tous modules d’extension (plugins) que les concepteurs de thèmes installent pour personnaliser le site.  Un utilisateur qui est assez chanceux pour choisir le bon thème (ou plutôt, le mauvais) pourrait se trouver à ouvrir quelques portes dissimulées chaque fois qu’il installe un module d’extension obtenu en ligne. Vérifiez toujours les modules d’extension ou faites-les construire sur mesure pour vous assurer qu’ils sont conçus et développés en tenant compte des pratiques exemplaires! Étant donné le nombre élevé de modules d’extension disponibles gratuitement, il n’est pas surprenant qu’ils sont responsables de  22 % de toutes les portes dissimulées.

Une mauvaise solution d’hébergement est à l’origine des autres 41 % de tentatives de piratage fructueuses.

Une bonne solution d’hébergement saura quelles sont les meilleurs paramètres de droits pour la structure de fichiers de chaque site. Un hôte qui soutient les installations WordPress  devrait savoir comment sécuriser chaque site Web. Cela comprend, mais sans s’y limiter, masquer les dossiers WordPress par défaut.

Un bon hôte fera un suivi de toute activité inhabituelle, bloquera les questions continues vers des sections non existantes, n’utilisera que le protocole de transfert de fichier sécurisé (SFTP) et veillera à ce que les serveurs soient toujours à jour. Offrir un hébergement sécurisé est toute une charge de travail, qui ne devrait pas être prise à la légère. Si votre forfait d’hébergement à 6 $ vous semble trop bon pour être vrai, c’est parce que c’est effectivement le cas.