Voici un sujet qui fait frémir la plupart des blogueurs mais aussi la plupart des créateurs de sites : le piratage d’un site WordPress. Pourtant, lors de mes premiers pas avec WordPress, j’avais créé un premier blog, pas très prisé et pas très visité non plus, que j’avais « jugé bon » de ne pas sécuriser. Madre Mia ! Avec le recul et l’expérience acquise depuis, j’ai pris conscience que la sécurité web – et notamment celle des sites WordPress – était primordiale, même pour les « petits blogs » et je vais vous expliquer pourquoi…
D’où me vient cette prise de conscience sur la sécurité web ?
Cela faisait quelques temps que je cogitais sur la façon de mieux sécuriser les sites web que je livrais à mes clients jusqu’à ce que j’assiste à une conférence très intéressante et ô combien explicite sur l’importance de sécuriser son site WordPress. C’était une conférence donnée par un expert en matière de sécurité Web – Julio Potier – lors du WordCamp Bordeaux 2017…
Je ne sais pas si vous avez pris le temps de (re)voir cette vidéo, mais qu’en pensez-vous ? Bien entendu, Julio Potier nous donne des conseils que l’on connait tous plus ou moins, n’est-ce pas, mais les applique-t-on ? Pas toujours malheureusement, quelques fois par flegme, par négligence ou par manque de compétences… Et pourtant, il ne faut pas rigoler avec la sécurité web !
Ce qui m’a le plus interpellé dans cette conférence c’est le passage où Julio dit :
« le pirate s’infiltre dans votre site et reste discret pendant de longs mois, durant lesquels vous faites de nombreuses sauvegardes. Le jour où il se manifeste et que vous faites le nettoyage de votre site en remettant une ancienne backup : cela ne sert à rien puisque le pirate est déjà présent dans vos sauvegardes »
Aïe, je n’avais jamais songé à cette hypothèse, j’ai donc commencé à me pencher plus sérieusement sur la sécurité de mes sites WordPress, surtout à la suite d’une mésaventure que j’ai vécu au travers du blog de l’un de mes clients…
Le cas concret du piratage d’un site WordPress…
Un jour, un prospect me contacte pour une refonte de son blog WordPress ainsi que quelques heures d’accompagnement afin de mieux comprendre le fonctionnement de celui-ci. Nous commençons alors notre collaboration par un audit des problèmes que le client rencontrait.
Quand j’ai mis le nez dans son site, je me suis rendu compte que le créateur avait chippé un thème premium sur ThemeForest, l’avait soigneusement modifié pour faire croire que c’était lui le créateur, sans créer de Thème Enfant, rendant ainsi les mises à jour impossibles et ouvrant alors une porte pour les pirates éventuels…
Mais ceci n’était que la partie visible de l’iceberg :
- On ne pouvait pas mettre à jour son thème => failles probables pour un piratage
- Le créateur avait installé des tas de plugins qui étaient devenus obsolètes depuis (plus maintenus depuis plus de deux ans) => encore des failles
- Le créateur du site avait effectué des modifications de certains plugins => encore, encore des failles !
Ensuite, le propriétaire du blog m’explique qu’il avait été piraté quelques mois auparavant et qu’il avait déjà fait intervenir un freelance pour nettoyer son site…
Bon, OK, que dit Google Search Console ? Encore, une surprise : le blog n’était même pas raccordé à la Search Console ! Bref, je vous passe les détails, je fais un peu de nettoyage, je connecte le blog à la Search Console puis quelques jours s’écoulent jusqu’à ce que le client m’appelle pour me dire qu’un message apparaissait dans les résultats de Google :
Je n’avais jamais vu ce genre de message avant, je me pose alors tout un tas de questions :
- est-ce que le nettoyage du site avait bien été effectué ?
- est-ce que le fait d’avoir raccordé le blog à la Search Console a permis à Google de faire un état des lieux et de s’apercevoir que le site contenait des malwares ?
- est-ce que le site avait bien été nettoyé mais la faille n’avait pas été colmatée, permettant ainsi au pirate de revenir ?
Mais le plus bizarre dans l’histoire, c’est que rien ne paraissait suspect lors de la navigation manuelle sur ce fameux blog, seul Google voyait quelque chose : des tas de liens de spams, viagra et tout le tralala !
Je décide alors d’effectuer quelques recherches supplémentaires et de suivre les conseils de la Search Console comme changer tous les mots de passe, vérifier les administrateurs etc.
Et là, stupéfaction : un administrateur inconnu était présent dans la liste, avec comme pseudo un simple « point » (.) – ça ce n’est vraiment pas normal – et c’est exactement ce que Julio Potier avait décrit dans sa conférence !
Il fallait me rendre à l’évidence : le site de mon client était bel et bien contaminé mais mes connaissances en matière de sécurité web arrivaient à leur limite.
Lors d’un piratage : quelles solutions pour éponger les dégâts ?
Il faut dire que la sécurité web est un métier à part entière, bien différent de celui du créateur de site et de celui du webdesigner…
Donc, si vous voulez mon avis, la première des choses à faire lorsque votre site WordPress se fait pirater, c’est de contacter un professionnel de la sécurité web. Quelqu’un en qui vous pouvez avoir confiance et qui aura les compétences pour vous nettoyer le virus mais aussi pour « fermer la porte d’entrée », c’est à dire la faille…
Dès lors que vous voyez que quelque chose ne tourne pas rond et que la Search Console vous le confirme, voici la marche à suivre :
- vérifier la liste des administrateurs
- supprimer les comptes admin inutiles
- changer tous vos mots de passe
- mettre la main sur toutes vos anciennes sauvegardes et les garder précieusement dans un dossier sur votre ordinateur
- réunir tous vos logins et mots de passe (FTP, Admin, Search Console, Hébergeur etc.)
- contacter un professionnel et lui exposer votre problème (il aura besoin des éléments mentionnés en 4. et 5.)
Une fois que le malware a été identifié et que le professionnel vous rend votre site comme neuf, je vous conseille de surveiller la Search Console qui doit impérativement vous confirmer que votre site est clean et qui doit également supprimer le message « il semblerait que ce site ait été piraté » qui apparait dans les résultats de recherche.
Mais à vrai dire, tout cela aurait pu être évité et il existe des solutions pour prévenir ce genre de mésaventure…
Quelles solutions pour éviter le piratage d’un site WordPress ?
Pour éviter les piratages, vous devez mettre en place les « bonnes pratiques » dès la création de votre site WordPress mais aussi tout au long de sa vie :
- ne jamais utiliser ADMIN comme pseudo de compte,
- modifier l’URL de connexion,
- black-lister ceux qui essaient de se connecter de manière malveillante
- éviter les erreurs 404 à répétition : cela peut être des tentatives d’infiltration
- ne pas prêter son compte administrateur
- faire des sauvegardes régulières
- faire les mises à jour des thèmes, des plugins et du core dès leur sortie
- ne pas modifier un thème ou un plugin – créez plutôt un thème enfant
- attention au code que vous ajoutez dans le fichier functions.php de votre thème enfant, il pourrait contenir des failles de sécurité
- ne pas utiliser de vieux plugins qui ne sont plus supportés par les développeurs
- supprimer tous les thèmes et les plugins qui ne sont pas utilisés, même s’ils ne sont pas activés
Seulement, voilà, la liste pourrait être encore très longue et tout cela prend du temps, beaucoup de temps : imaginez un site WordPress avec une vingtaine de plugins qui envoient des mises à jour quotidiennement, les thèmes qui s’y rajoutent, le core de WordPress qui fait une mise à jour majeure deux ou trois fois par an… Sans oublier les risques que votre site se « casse » lors de certaines mises à jour… Quelle angoisse, quelle vigilance, quel travail !
Pourtant, il faudra bien que quelqu’un s’en occupe :
- soit le créateur du site,
- soit le propriétaire du site,
- soit un tiers.
Et c’est là où ça devient intéressant : pourquoi ne pas déléguer cette tâche ingrate de la maintenance à un tiers qui s’occuperait de tout ce qui n’est pas rigolo avec WordPress ? Je ne savais pas que cela existait jusqu’à ce que je rencontre une entreprise, sur le WordCamp Europe 2017, qui est spécialisée dans la maintenance de site WordPress : il s’agit de WP Assistance (https://www.wp-assistance.fr). C’est peut-être LA solution pour enfin « dormir sur ses deux oreilles »… En plus, c’est une boite française tenue par des acteurs investis au sein de la communauté WordPress : c’est plutôt rassurant.
Dans quels cas déléguer la maintenance à un tiers ?
- Si vous êtes un créateur de sites et que vous ne voulez pas vous surcharger de travail avec la maintenance des sites de vos clients,
- Si vous n’avez pas envie d’être un intermédiaire, vous pouvez directement envoyer vos clients vers un tiers,
- Si vous êtes propriétaire d’un site ou d’un blog WordPress, vous pouvez le confier à un tiers fiable (et non pas au premier freelance venu) afin de ne vous occuper que de la partie la plus sympa : la création de contenu et la promotion de votre activité.
Attention…
Je voudrais quand même insister sur un point très important : il n’y a pas que les sites WordPress qui se font pirater, non ! Le piratage informatique touche n’importe quel CMS mais la plus grosse faille dans WordPress, c’est l’humain, c’est nous… Si on ne fait pas les mises à jour, si on installe des thèmes ou des plugins douteux etc. tout cela va augmenter les risques de se faire pirater. Quelques fois, le but du piratage est d’insérer des liens de spams mais d’autres fois, cela peut-être plus grave : le pirate peut s’emparer de vos listes de contacts ou pire encore il peut subtiliser les données sensibles de vos clients si votre site est un e-commerce… Alors, il vaut mieux prévenir que guérir comme on dit !
Merci pour cet article très intéressant en complet. Je suis aussi très heureux d’avoir fait ta connaissance à l’occasion du WordCamp Europe 2017 et d’avoir eu l’occasion de te présenter notre service WP Assistance 😉
Merci Thierry ! En effet à chaque WordCamp on fait de belles rencontres et de belles découvertes aussi ! À bientôt, au prochain WCP !