D’après une étude réalisée par Sucuri intitulée Website Hacked Trend Report 2018, 90% des CMS les plus infectés sont des sites WordPress. En 2016 déjà, WordPress était le CMS le plus vulnérable. En 2018, les cyber-attaques ont quasiment triplés ! Imperva, la société spécialisée dans la cybersécurité a recensé cette même année jusqu’à 542 vulnérabilités associées au CMS WordPress. Fragilité des pluggins et des thèmes, mauvaise configuration, maintenance négligée, mises à jour irrégulières… Julien Gadanho nous explique en détail pourquoi beaucoup de sites WordPress sont victimes de piratage. Découvrez son interview sans plus attendre !
Je m’appelle Julien Gadanho, j’ai 20 ans et je suis un hacker white-hat, mon but est d’aider les gens. Je suis aussi un référenceur black-hat, mon but est de tromper Google. J’aime beaucoup l’automatisation et je développe mes propres outils. J’ai par exemple développé Synapsis.Link pour gérer ses campagnes de netlinking (campagnes ayant pour but d’améliorer son référencement en faisant des liens vers votre site) ou encore Redacteur.Site qui a pour objectif de gérer une équipe de rédacteurs sur ses projets. Pour SecureMyData, j’ai aussi mes outils mais ils ne sont pas publics pour le moment.
WordPress a une base qui est vraiment très solide. La plupart des sites sous WordPress qui se font pirater sont hackés par des « robots ». Des scripts développés par des hackers dans le but de pirater un maximum de sites web. WordPress est une cible de choix pour les pirates car ce CMS est présent sur 70 % du web. Les points d’entrées des hackers sont en réalité les plugins, les thèmes et les mot de passe faibles. Pas directement WordPress.
Je résume tout ça dans une vidéo que j’ai publié sur YouTube.
Pour moi, la seule chose qui compte réelement est de choisir un thème qui est maintenu. Ça sera la même chose sur un plugin. Si le développeur a laissé mourir son projet, aucune mise à jour de sécurité ne sera faite. Par expérience, il y a moins de vulnérabilités sur les thèmes que sur les plugins.
Par contre, « craquer » un thème WordPress pour y avoir accès gratuitement est une mauvaise idée. La personne qui partage ça gratuitement sera tentée d’y placer une backdoor pour accéder à votre serveur. Et même si ça n’est pas le cas, vous ne bénéficierez pas des mises à jours de sécurité en craquant un thème ou un plugin.
J’ai déjà fait pas mal de recommandations sur les plugins lors de la question précédente. Ma recommandation principale serait d’utiliser un minimum de plugin. Chaque plugin ajouté à votre WordPress créera un point d’attaque supplémentaire. Si vous avez 20 plugins sur votre site, statistiquement, vous vous ferez hacker tôt ou tard.
Hormis les recommandations faites précédemment, c’est une bonne chose d’installer une double authentification sur son WordPress pour soulager le serveur. Deux fichiers vont être constamment attaqués : wp-login.php et xmlrpc.php. Le but est de vous « bruteforcer » : c’est à dire de tester tout un tas de combinaisons de votre mot de passe jusqu’à trouver le bon.
J’ai partagé un installateur de double authentification sur le blog de Digidmood. Je vous recommande fortement de l’installer, votre serveur sera soulagé et votre sécurité sera augmentée.
Je propose des audits de sécurité : le but est de chercher les failles, de faire un rapport puis de les corriger. Les audits de sécurité sont, selon moi, inutiles sur WordPress. Un audit livré à une date précise ne sera sûrement plus valable quelques jours plus tard. Dès que votre thème ou un de vos plugins fera une mise à jour, l’audit ne sera plus valable.
C’est pourquoi je recommande plutôt une surveillance à un client voulant faire un audit de sécurité sur WordPress. Je scanne le serveur tous les jours pour vérifier que tout va bien. L’audit est plus adapté à du développement sur mesure.
Sinon, je propose aussi de la désinfection de sites quand un client se rend compte de l’importance de la sécurité… mais trop tard ! Si vous avez un soucis de site WordPress piraté (ou autre CMS), j’ai mis en place ce site.