WordPress est sans doute le système de gestion de contenu et la plateforme de blogs les plus populaires du Web, et ce pour une bonne raison. Le système est gratuit, facile à utiliser et offre une multitude de fonctionnalités qui coûteraient autrement des milliers de dollars aux propriétaires d’entreprises en frais de développement.

Mais si quelque chose semble trop beau pour être vrai, c’est généralement le cas. Si la plateforme WordPress représente toujours une option de développement web utile pour les petites entreprises, il est essentiel que vous vous familiarisiez avec certaines des faiblesses du système afin d’éviter ses dangers cachés en matière de sécurité.

WordPress met fréquemment à jour sa plate-forme pour répondre aux menaces connues, mais n’est pas en mesure de contrôler toutes les menaces possibles. Voici un aperçu des trois plus grandes faiblesses de sécurité de la plateforme dont vous devez être conscient :

1. WordPress est sensible aux attaques et au piratage d’URL.
La plateforme WordPress exécute des scripts côté serveur dans le langage de développement Web PHP, en utilisant des commandes envoyées via ce que l’on appelle des paramètres URL pour contrôler le comportement des bases de données MySQL qui stockent les données de votre site.

Si tout cela vous semble assez technique, ne vous inquiétez pas. Vous n’avez pas besoin de comprendre le codage web pour protéger votre site. Ce que vous devez savoir, c’est que ce type de structure de site Web est vulnérable à un certain type d’attaque. Les pirates peuvent utiliser des paramètres URL malveillants pour révéler le contenu sensible de la base de données, un processus connu sous le nom d'”attaques par injection SQL”. Une fois que les pirates disposent de ces informations, ils peuvent détourner votre site et remplacer votre contenu par du spam ou des logiciels malveillants.

Pour protéger votre site web WordPress contre une telle attaque, pensez à modifier le fichier .htaccess de votre site, qui est un fichier de configuration vous permettant de contrôler le comportement de votre serveur d’hébergement. Vous pouvez empêcher les demandes de paramètres d’URL des pirates d’aboutir en incluant le code trouvé ici.

Notez que ce code est destiné aux propriétaires de WordPress qui utilisent un hébergement web basé sur Apache. Si vous ne savez pas quel type d’hébergement vous utilisez ou si vous avez besoin d’aide pour modifier le fichier .htaccess de votre site, contactez l’équipe d’assistance de votre hébergeur ou un développeur web privé.

2. Les thèmes gratuits de WordPress contiennent souvent des failles de sécurité.
L’un des principaux avantages de WordPress est que vous pouvez l’installer gratuitement, utiliser des plugins gratuits pour ajouter des fonctions et télécharger des fichiers de thème gratuits pour donner à votre site un aspect attrayant. Malheureusement, des développeurs peu scrupuleux ont introduit dans les fichiers de thèmes téléchargeables des liens de spam indétectables et des fichiers malveillants qui infectent le site une fois le thème installé.

Pour assurer la sécurité de votre site Web, téléchargez des fichiers uniquement à partir de sources que vous connaissez et auxquelles vous faites confiance. Les thèmes payants présentent moins de risques pour la sécurité que les thèmes gratuits. Mais si vous voulez des thèmes gratuits, vous pouvez les analyser à la recherche de logiciels malveillants avant de les télécharger afin de détecter toute attaque qui aurait déjà eu lieu à l’aide du programme antivirus installé sur votre ordinateur.

3. Le processus de connexion par défaut de WordPress peut être facilement piraté.
Toutes les connexions au tableau de bord de WordPress se trouvent à la même adresse à travers les URL, ce qui signifie que presque toutes les pages de connexion de WordPress peuvent être trouvées ici. En outre, les paramètres par défaut de WordPress ne permettent pas de sécuriser les connexions. Cela signifie qu’un site fonctionnant sur la plateforme WordPress peut être exposé à des attaques par “force brute”, dans lesquelles des programmes robots essaient différentes combinaisons de connexion dans l’espoir qu’une combinaison chanceuse permettra d’accéder au site.

Pour avoir une idée de l’ampleur de ces attaques, sachez que les sites hébergés par le célèbre site de blogs Copyblogger subissent entre 50 000 et 180 000 tentatives de connexion non autorisées chaque jour.

Pour protéger votre site Web, installez le plugin Limit Login Attempts. En outre, vous pouvez travailler avec votre fournisseur d’hébergement Web pour bloquer les adresses IP qui effectuent plusieurs tentatives de connexion infructueuses.

Ces précautions peuvent sembler lourdes à mettre en œuvre, mais si vous êtes victime d’une tentative de piratage réussie, vous perdrez beaucoup plus de temps et d’efforts à essayer de réparer votre site.