L’humain, la première faille de sécurité sur le web

Publié par Valentin Grenier, Développeur WordPress

WordPress est le système de gestion de contenu le plus utilisé au monde et propulse plus de 43% du web mondial. Sa popularité en fait également une cible privilégiée pour les cybercriminels. Bien que WordPress soit conçu pour être sécurisé, un facteur important est souvent négligé : le comportement humain. Explorons ensemble les mauvaises habitudes de sécurité pouvant mettre en danger un site WordPress et comment s’en défaire.

Un mot de passe pas assez sécurisé

La première faille de sécurité sur WordPress due à un comportement humain est le choix d’un mot de passe faible. C’est pourtant la première porte d’entrée à sécuriser, surtout lorsqu’un utilisateur a un rôle d’administrateur. Malheureusement, de nombreux utilisateurs continuent d’utiliser des mots de passe simples, faciles à deviner, exposant leur site à des attaques par force brute. Ces attaques consistent à essayer un grand nombre de combinaisons de mots de passe jusqu’à trouver la bonne, grâce à un script. Parmi ces mots de passe faibles, on retrouve le plus souvent “admin”, “admin123” ou encore “password”.

Forcer l’utilisation de mots de passe forts

Pour renforcer la sécurité d’un site, il est recommandé d’imposer l’utilisation de mots de passe complexes à tous les utilisateurs. Certains plugins permettent cette restriction :

Grâce à ces plugins, les utilisateurs inscrits sur un site WordPress ne pourront pas échapper à la règle et continuer de se connecter avec un mot de passe non sécurisé. C’est un des meilleurs moyens de protéger votre site web.

Comment créer un mot de passe fort et sécurisé ?

Créer un mot de passe fort pour son compte utilisateur est l'une des meilleures mesures pour protéger son site WordPress. Un mot de passe sécurisé doit être complexe, unique et difficile à deviner. Voici quelques conseils pour y parvenir :

  1. Longueur du mot de passe : Il doit comporter entre 12 et 16 caractères. Plus le mot de passe est long, plus il sera difficile à trouver par un hacker, même avec des techniques de force brute.
  2. Diversités des caractères : Utilisez une combinaison de majuscules, minuscules, chiffres, symboles spéciaux (@, #, $, !, % …).
  3. Pas d’informations personnelles : Évitez un mot de passe avec un information évidente comme votre prénom, votre date de naissance, ou le nom de votre site web.
  4. Mot de passe unique pour chaque compte : N’utilisez jamais le même mot de passe pour plusieurs compte. Si un mot de passe est compromis, tous les autres comptes qui utilisent ce même mot de passe le seront également.

Comment se rappeler de tous ses mots de passe ?

En utilisant un mot de passe unique pour chaque site web, on se retrouve vite avec une multitudes de mot de passe dont il faut se souvenir. Pour cela, il existe des gestionnaires de mot de passe qui ont pour fonction de stocker vos mots de passe dans un coffre-fort numérique très sécurisé. Il ne vous sera demandé de retenir qu’un seul mot de passe : celui pour accéder à votre gestionnaire de mot de passe.

Je vous conseille d’utiliser des gestionnaires de mot de passe comme Bitwarden ou LastPass, qui possèdent tous les deux une extension de navigateur qui vous permet d’accéder simplement et rapidement à vos mots de passe. Les deux services proposent également l‘auto-complétion, c’est-à-dire que l’adresse email et le mot de passe que vous utilisez pour vous connecter au back office de votre site WordPress seront automatiquement insérés dans le formulaire de connexion. Pratique non ? 😎

Ne cliquez que sur les liens de confiance

Un autre comportement humain qui peut facilement compromettre la sécurité d’un site WordPress est le fait de cliquer sur n’importe quel lien que l’on reçoit par email, par SMS ou qu’on croise sur le web. D’un simple coup d’oeil, vous ne saurez jamais ce qui se cache derrière un lien. Si vous avez un doute sur l’authenticité d’un lien, ne cliquez pas dessus !

Des arnaques ciblant les utilisateurs de WordPress

Les arnaques par email ou téléphone peuvent cibler spécifiquement les utilisateurs de WordPress. Des emails prétendant venir de services liés à WordPress, comme des plugins ou des thèmes populaires, incitent les utilisateurs à cliquer sur des liens malveillants. Ces liens peuvent rediriger vers des sites qui tentent de voler les informations de connexion par le biais du phishing, qui consiste à récupérer des données via les cookies d’un navigateur.

Attention donc aux communications que vous recevez, vérifiez toujours l’adresse email expéditrice d’un email. Si vous recevez un email d’Elementor, vous devriez normalement recevoir ce même email d’une adresse comme “communication@elementor.com”. Ignorez le reste !

Vérifiez les liens des articles de blog

Vous lisez un article qui vous parle d’une superbe promotion proposée par un éditeur de logiciel très connu. La promotion est très alléchante : attention ! Vérifiez la destination du lien avant de cliquer dessus. Pour ce faire, deux solutions existent :

  • Passez votre souris sur le lien, la cible du lien apparaît normalement en bas à gauche de votre fenêtre de navigation.
  • Sélectionnez le texte du lien, faites un clic droit et cliquez sur “Inspecter”, vous pourrez ainsi vérifier la cible du lien directement dans le code HTML de l’article.

Des mises à jour négligées

Faites-vos-mises-à-jour ! Une mise à jour, qu’elle concerne un plugin WordPress ou bien un logiciel que vous utilisez sur votre ordinateur, ne permet pas toujours de bénéficier de nouvelles fonctionnalités. Le plus souvent, une mise à jour intervient pour corriger des bugs ou bien pour résoudre des failles de sécurité.

L’importance des mises à jour sur WordPress

Garder votre site WordPress, ainsi que ses thèmes et plugins, à jour est essentiel pour sa sécurité. Chaque mise à jour peut inclure des correctifs pour des failles de sécurité connues. Si ces mises à jour sont négligées, un site devient vulnérable à des attaques exploitant ces failles.

Plusieurs failles de sécurité connues sont possiblement exploitable depuis un plugin non sécurisé :

  • Faille XSS (Cross Site Scripting) : Un script malveillant est injecté sur une ou plusieurs pages de votre site, permettant à un hacker de récupérer vos informations de connexion dans les cookies de votre navigateur. Ce même script peut aussi renvoyer chaque utilisateur vers un autre site, le souvent un site spam ou de phishing.
  • Faille CSRF (Cross Site Request Forgery) : Un attaquant peut forcer un utilisateur à exécuter des actions non désirées sur un site où il est authentifié. Par exemple, un hacker pourrait manipuler un administrateur connecté à son site WordPress pour effectuer des changements dans la configuration du site, tels que modifier des paramètres ou supprimer du contenu.
  • Injection SQL : Un attaquant insère des commandes SQL malveillantes dans un champ d’entrée, comme un formulaire de contact ou une barre de recherche, pour manipuler la base de données. Cette faille peut permettre de récupérer le contenu d’une base de données, et donc des informations sensibles.

D’autres failles comme la faille LFI/RFI (Local/Remote File Inclusion) ou une faille de configuration du serveur existent et sont également à prendre en compte lorsqu’on décide de mettre à jour ou non une extension WordPress.

Risques liés aux mises à jour négligées

Un site WordPress non mis à jour est une cible facile pour les pirates. Des exemples de piratages réussis montrent que les attaquants exploitent souvent des vulnérabilités dans des versions obsolètes de plugins ou de WordPress lui-même.

Pour éviter ces risques, vous pouvez opter pour une mise à jour automatique des extensions de votre site. Cependant, il faut garder en tête qu’une extension mise à jour peut possiblement casser ou une plusieurs fonctionnalités sur votre site.

Confiez la maintenance votre site WordPress à un développeur expérimenté

Ne vous préoccupez plus de l'état de santé votre site WordPress, je m'occupe de tout : mises à jour, sauvegardes, optimisations techniques, alertes en cas de bug.

Protéger simplement son site WordPress

Quelques actions simples permettent d’assurer un minimum de sécurité sur votre site WordPress.

Déconnectez-vous du back office

Une des pratiques de base pour sécuriser WordPress est de se déconnecter après chaque session dans le back office. Cela évite que des données de connexion stockées dans les cookies soient récupérées par des tiers malveillants, notamment sur des ordinateurs partagés ou compromis. Des plugins peuvent également être utilisés pour automatiser cette déconnexion après une période d'inactivité.

Sauvegardez régulièrement votre site

Les sauvegardes régulières sont un pilier de la sécurité de WordPress. Elles permettent de restaurer un site en cas de piratage, de panne, ou d'erreur humaine. Il existe de nombreux plugins qui automatisent ce processus, en sauvegardant le site à intervalles réguliers et en stockant les copies sur des serveurs distants ou dans le cloud, ce qui est crucial pour une récupération rapide.

Paramétrez un pare-feu

Configurer un pare-feu applicatif web (WAF) sur WordPress ajoute une couche de protection contre les accès non autorisés et les menaces courantes. Des plugins spécialisés tels que Wordfence ou Sucuri proposent des fonctionnalités de pare-feu, bloquant le trafic malveillant avant qu'il n'atteigne votre site.

Bloquez les attaques brute force

Les attaques par force brute, qui consistent à essayer de multiples combinaisons de mots de passe, peuvent être efficacement contrées avec des plugins WordPress. Ces plugins limitent le nombre de tentatives de connexion échouées et bloquent temporairement l'accès à l’interface de connexion après plusieurs essais infructueux, ce qui décourage les attaques.

Mettez en place la double authentification (2FA)

La double authentification (2FA) est une mesure de sécurité supplémentaire qui demande une seconde preuve d'identité après la saisie du mot de passe. Pour WordPress, il existe des plugins qui permettent de mettre en place cette fonctionnalité, renforçant ainsi la sécurité de l'accès au tableau de bord. Cette mesure est particulièrement utile pour protéger les comptes administrateurs contre le piratage.

La sécurité de WordPress ne repose pas uniquement sur des outils technologiques, mais aussi sur des pratiques humaines rigoureuses. Des mots de passe complexes, une vigilance accrue face aux liens suspects, des mises à jour régulières, et l'application de mesures de sécurité spécifiques à WordPress sont essentiels pour protéger votre site. La première faille de sécurité reste humaine, mais en adoptant de bonnes pratiques, vous pouvez considérablement réduire les risques et assurer la sécurité de votre site WordPress.

Valentin Grenier Développeur WordPress - Studio Val

Spécialisé dans le développement WordPress depuis 6 ans, je vous accompagne dans la création, la refonte et la maintenance de votre site WordPress.