Éviter d’être piraté, est-ce possible?

La sécurité est une partie importante à considérer lorsqu’on met en ligne un site web. Se faire pirater est la dernière chose qu’on souhaite. Est-ce que WordPress est sécuritaire? Peut-on réellement éliminer les risques?

Éviter d’être piraté, est-ce réellement possible?

En fait, éliminer totalement le risque est impossible. Quiconque vous dira l’inverse fait fausse route. Il y a beaucoup trop de variables dans l’équation pour affirmer que les risques peuvent être ramenés à zéro. Par contre, il existe de nombreux moyens qui permettent de les réduire considérablement.

Pour plusieurs, la menace peut sembler faible alors qu’elle n’a jamais été aussi forte. Il y a 20 ans, les pirates s’attaquaient à des institutions comme les agences gouvernementales et les grandes entreprises dans le but de les faire mal paraître. De nos jours, un site peut être piraté depuis des mois avant de s’en rendre compte.

Quelles sont les motivations derrière le piratage de sites web?

Contrairement à la croyance populaire, le fait d’être un travailleur autonome ou une multinationale a très peu d’incidence sur les chances d’être piraté. Les raisons de pirater un site sont multiples et c’est ce qui fait qu’à la base, TOUT LE MONDE EST UNE CIBLE!

Le vol d’information est souvent à la base du piratage des grandes entreprises. Par contre, le vol de ressources fait maintenant en sorte que nous pouvons tous être victimes. Mais qu’est-ce que le vol de ressources?

C’est le fait d’utiliser vos ressources (hébergement web, serveur de courriels, etc.) à votre insu afin de poser des gestes illégaux. L’exemple le plus simple serait de pirater votre site web afin d’utiliser ce dernier pour envoyer du SPAM. En réalité, ça n’a aucune influence sur votre quotidien… jusqu’à ce que votre serveur soit banni et interdit d’envoyer des courriels à cause des activités exécutées par ces intrus. Encore pire: votre hébergement pourrait être révoqué ou la police pourrait vous rendre une visite.

À cela s’ajoute également le fait d’utiliser votre site pour faire du « SEO Spam » (ou spamdexing) qui consiste à venir modifier la structure de la page de votre site afin de faire des références vers d’autres sites. Le tout a pour effet de tenter d’augmenter le rang d’une page d’un autre site dans les moteurs de recherches via votre site web. Votre site web sera alors discrédité et le rang de vos pages dans les moteurs de recherches diminuera drastiquement. Le tout, évidemment, peut être fait sans aucune modification visuelle sur votre site.

Comment réduire les risques d’être piraté?

Paradoxalement, la solution est à la fois simple et complexe. Les étapes à suivre sont simples, mais leur application l’est moins puisque vous n’aurez peut-être pas tous les accès nécessaires pour parvenir à vos fins selon le type d’hébergement que vous utilisez.

1. Soyez à jour
   Que ce soit pour WordPress, votre thème ou vos extensions, tout doit être à jour. Cela s’applique également à votre hébergement en ce qui concerne PHP, MySQL, Apache/Nginx et tous les autres outils serveurs qui sont installés.
2. Utilisez des mots de passes complexes et différents
   Fini le temps où on avait le même mot de passe qu’on réutilisait partout. Vous pouvez utiliser une solution comme 1Password ou LastPass pour gérer vos nombreux mots de passe.
3. Réduisez les accès au maximum
   Si un utilisateur n’a pas besoin d’être administrateur, donnez-lui un accès moindre. Si un utilisateur n’a pas besoin d’accès, révoquez-le. Assurez-vous également que ces utilisateurs suivent la règle #2.
4. Utilisez un certificat SSL
   L’encryption de données entre vous et le serveur peut éviter bien des problèmes. Surtout que Google a forcé le passage à HTTPS et pénalise les sites ne l’ayant pas fait depuis plusieurs années!
5. Supprimez ce qui n’est pas activé
   Si des thèmes ou extensions sont installés, mais non activés, ceci représente un risque inutile. Retirez tout ce qui n’est pas utilisé.
6. Ajustez les permissions de vos fichiers
   Vos fichiers devraient posséder des droits à 644 tandis que les répertoires devraient être à 755.
7. Installez une extension de sécurité
   Des extensions de sécurité comme iThemes Security, SecuPress ou WordFence peuvent non seulement prévenir les problèmes, mais également détecter les anomalies.
8. Protégez-vous avec un pare-feu (firewall)
   L’utilisation d’un service comme CloudFlare, un WAF (Web Application Firewall) ou autre type de pare-feu comme Fail2Ban permet de réduire les risques d’intrusion et diminuer l’impact des attaques en servant d’intermédiaire entre votre serveur et vos visiteurs.

Évidemment, quand on parle de réduction des risques d’être compromis, faire des backups (copies de sauvegarde) ne réduira en rien les chances d’être attaqué. Par contre, vous serez heureux d’avoir des copies de sécurité de votre site si l’impensable devait se produire et que vous deviez remettre votre site en fonction.

La prévoyance, ça rapporte

Même s’il n’est pas possible d’éliminer complètement le risque, le fait de suivre les meilleures pratiques en termes de sécurité vous aidera à diminuer les vecteurs d’attaque des pirates. Les coûts peuvent monter rapidement pour corriger un site web ou un hébergement web qui sont piratés.

Oui, il y a les coûts de la décontamination de site piraté, mais il faut penser également aux coûts de gestion de crise (lorsque des données de clients ont été volées), l’atteinte à la réputation et la mauvaise presse que ça peut apporter. Croyez-nous : il est préférable de prévenir plutôt que de guérir!