Avec plus de 30 000 sites hackés chaque jour, comment adopter les bons réflexes pour limiter les dégâts ?
Les deux failles de sécurité WordPress les plus médiatisées ces derniers mois, celles des plugins Mailpoet et Revolution Slider, ont provoqué de nombreuses réactions.
La popularité de ces outils, de certains thèmes et plus généralement de WordPress en fait des cibles privilégiées des hackers.
En réalité, ce n’est pas tant le CMS lui-même qui est visé, mais les milliers de plugins et thèmes qui lui sont greffés.
Nous vous avons déjà parlé de plusieurs conseils de sécurité WordPress que vous pouvez déjà mettre en œuvre.
Intéressons-nous maintenant aux leçons à tirer des vulnérabilités les plus fréquentes :
- Faites attention aux thèmes gratuits.
S’il est très tentant de rechercher un thème WordPress gratuit sur Google pour ne pas débourser les 30-60 dollars que vous coûtera un thème premium, mieux vaut rester raisonnable.
De nombreux thèmes gratuits sont infectés ou abandonnés par leurs auteurs, ce qui signifie qu’ils ne sont pas mis à jour en cas de faille majeure de sécurité.
- Plus difficile à tenir : ne pas acheter de thème incluant des plugins premium.
Les thèmes les plus vendus sur Themeforest, par exemple, incluent souvent des plugins comme Revolution ou Layer Slider. Le problème est que pour des raisons économiques, ces plugins « bundlés » ne peuvent pas vous offrir de mises à jour complètes ou de support.
Le résultat : en quelques semaines (voire moins), vous vous retrouvez avec une version vulnérable du plugin. Ajoutez donc les 15 ou 20 dollars nécessaires pour obtenir la version complète d’un outil qui vous est particulièrement utile…
- Soyez prudents lorsque vous achetez un bundle, de manière générale.
Les bundles sont ces ensembles d’outils ou de thèmes que vous pouvez acheter sur différentes places de marché. Envato, par exemple, propose régulièrement d’acheter pour 25 dollars l’équivalent de 500 dollars de produits (thèmes WordPress, plugins, images, vidéos).
Le problème est que ce type de bundle casse bien le prix des thèmes qui y sont inclus, mais que vous n’avez pas le droit au support ou aux mises à jour des thèmes.
Non seulement votre sécurité est compromise, mais si le thème connaît des bugs pénibles, vous devrez le repayer dans son intégralité pour pouvoir continuer à l’utiliser.
En revanche, vous pouvez vous tourner vers les bundles d’auteurs. L’offre d’Elegant Themes en est un bon exemple.
- Effectuez toutes les mises à jour de vos plugins, thèmes, et du noyau WordPress bien entendu.
- Tenez-vous informés et procédez à des scans réguliers de votre site.
Vous souhaitez aller plus loin ? Les solutions et plugins suivants vous aident à renforcer la sécurité de votre installation WordPress :
- Sucuri est l’une des solutions les plus connues et les plus robustes de sécurité WordPress. Leurs tarifs sont abordables et leur compte Twitter très actif.
- iThemes Security (anciennement WP Security) est un plugin disponible en version gratuite ou payante. Nous vous conseillons la version pro, car ses fonctionnalités renforcent considérablement la sécurité de votre installation.
- Wordfence Security est un plugin également disponible en version gratuite ou payante. A noter aussi la possibilité de s’abonner gratuitement à des alertes par email autour de la sécurité de WordPress.
- Theme Authenticity Checker et Exploit Scanner vous permettent d’analyser votre thème. Exploit Scanner va plus loin en parcourant aussi votre base de données.
Et vous, quelles précautions prenez-vous pour protéger votre site WordPress ?
Crédit photo : Brian Klug