Quoi faire si votre site Web de WordPress a été piraté

WordPress est le moyen le plus utilisé au monde pour créer des sites Internet. Près de 30 % des sites Web utilisent le populaire CMS. Il n’est donc pas étonnant que la société derrière WordPress, Automattic, dispose d’un groupe de développeurs hautement qualifiés et expérimentés appelé « équipe de base WordPress ».

Vous pouvez installer différents styles ainsi que des plugins dans WordPress pour prolonger les capacités de votre site. Dans quelques circonstances inhabituelles, vos plugins ou thèmes peuvent présenter des lacunes en matière de sécurité que les pirates informatiques peuvent utiliser pour accéder à votre site. En fait, plus de 50% des agressions dans WordPress ont lieu avec des plugins.

Nous vous montrerons les panneaux à surveiller pour savoir si votre site Internet WordPress a été piraté. De plus, nous partagerons également quelques stratégies sur la façon de protéger votre site Web contre le piratage, sur les mesures à prendre en cas de piratage et sur les mesures que vous pouvez prendre pour vous protéger contre de futures attaques.

Considérant qu'une grande partie de l'action décrite dans cet article peut être mise en œuvre sans frais, nous vous recommandons de la prendre à cœur et de la mettre en œuvre dès aujourd'hui sur votre site Web WordPress.

5 signes que votre site WordPress a été piraté

Lorsque votre site WordPress sera piraté, vous le reconnaîtrez probablement immédiatement. Mais il y a toujours la possibilité que vous ne le trouviez pas avant longtemps. Donc, voici 5 signes fondamentaux pour savoir si votre site WordPress a été piraté.

1. Vous êtes incapable de vous connecter

Si vous ne parvenez pas à vous connecter à votre tableau de bord WordPress, cela signifie probablement que vous avez été piraté. Il peut y avoir de nombreuses raisons à cela, cependant cela se produit le plus souvent lorsque votre nom d'utilisateur est l'un des suivants:

  • admin
  • Admin
  • administrateur
  • test
  • root

Si vous tombez dans cette catégorie, changez immédiatement votre nom d'utilisateur - les comptes WordPress contenant ces noms d'utilisateurs sont régulièrement ciblés par les pirates.
 

2. Vous faites face à une chute soudaine du trafic

Si votre site Web fonctionnait bien, mais obtenait soudainement une chute brutale du trafic, il est possible que votre site WordPress ait été piraté. Les pirates malveillants peuvent développer une porte dérobée vers votre système de documents WordPress et remplacer le code par leurs propres scripts et documents.

Ce faisant, ils redirigent le trafic provenant de votre site Web vers divers autres lieux illicites, volent les informations privées des visiteurs entrants et causent des ravages en général.

En outre, lorsque Google découvre que votre site Web est devenu "contaminé" et qu’il se comporte mal, il place votre site dans des listes noires à partir du moteur de recherche Internet jusqu’à ce que votre site Web soit réparé.

Tous ces facteurs entraînent une diminution soudaine du trafic Web.
 

3. Votre page d'accueil a été vandalisée

Beaucoup de hackers préfèrent opérer en toute confidentialité, mais certains préfèrent se faire connaître lorsqu'ils piratent un site Web avec succès. Vous devez agir rapidement si votre page d'accueil a été ruinée - en particulier si vous pouvez voir clairement le nom du pirate informatique ou une sorte de déclaration indiquant que votre site Web a été piraté.

Cela se produit généralement lorsque des pirates informatiques veulent que votre site Web soit captif en échange d'argent ou d'autres demandes plus sérieuses.
 

4. Vous voyez des pop-ups ou d'autres publicités que vous n'avez pas mises

Si vous remarquez que votre site Web WordPress ralentit ou ne répond pas souvent, avec l'apparition soudaine de fenêtres contextuelles, de barres latérales ou de tout autre type d'annonce, votre site Web a probablement été piraté.

Généralement, ce type de piratage n'est pas commis par un pirate. Il s'agit généralement d'une attaque automatisée qui a pénétré dans votre système principal WordPress avec un thème faiblement protégé ou un plugin non sécurisé.

Ce qui rend ce type de piratage intelligent (et aussi dangereux) est que les annonces ne seront pas affichées pour les utilisateurs connectés ou ceux qui accèdent directement à votre site Web. Au lieu de cela, ils n'apparaîtront que pour ceux qui accèdent à votre site à partir de Google ou d'un autre site de référence.

Cela peut rendre pratiquement impossible de savoir que votre site a été piraté. De plus, les annonces mèneront vos visiteurs à des sites de spam, ce qui peut non seulement nuire à votre site et à son trafic, mais également à votre réputation.
 

5. Il y a une activité inhabituelle dans les journaux de votre serveur

L'examen des journaux de votre serveur est une méthode extrêmement efficace pour savoir si votre site a été piraté.

Vos journaux se trouvent dans votre cPanel, auquel vous pouvez accéder en vous connectant à votre Espace client. Dans cPanel, sous Statistiques, vous trouverez 2 types différents:

  1. Journaux d'accessibilité : ils vous indiqueront qui a accédé à votre WordPress et à partir de quelle adresse IP.
  2. Journaux des erreurs : ils vous montreront quelles erreurs se sont produites chaque fois que vos fichiers système WordPress ont été modifiés.

En utilisant les informations fournies par les journaux de votre serveur, vous pouvez voir si votre site WordPress a été piraté ou non. Et comme ils conservent également une trace de toutes les adresses IP utilisées pour accéder à votre site Web, vous pouvez mettre en liste noire ou bloquer toute adresse IP inconnue ne provenant pas de votre emplacement.

Quelles mesures devriez-vous prendre?

Votre site WordPress peut être piraté si vous ne prenez pas au sérieux l'amélioration de la sécurité de votre site. Et même s’il est piraté, c’est toujours une bonne idée d’empêcher que cela ne se reproduise.

Nous discuterons ensuite des mesures à prendre avant que votre site Web WordPress ne soit piraté et après sa récupération.

Actions à entreprendre avant que votre site WordPress ne soit piraté

Tout d’abord, examinons les mesures de précaution à prendre pour empêcher les pirates de pénétrer dans votre site WordPress.
 

1. Mettez à jour votre WordPress à la version la plus récente

Selon WordPress, seuls 64,9% des sites disposent de la dernière version de WordPress, ce qui signifie que 36,1% des sites n'en ont pas. Compte tenu du nombre impressionnant de sites Web WordPress (sur des millions), un nombre considérable d’entre eux sont exposés à un risque de sécurité majeur.

La raison principale pour laquelle de nombreux sites Web utilisant encore les versions précédentes est due au système de mise à niveau compliqué de WordPress. À l'instar de nombreux autres éditeurs de logiciels, WordPress publie en permanence des mises à jour mineures et significatives de son infrastructure.

S'ils publient une mise à jour mineure, telle que la version 4.9.9, le logiciel se mettra à jour instantanément. Toutefois, s'ils publient une mise à jour majeure, telle que WordPress 5.0., vous devrez mettre à jour vous-même le logiciel en vous connectant au tableau de bord WordPress.

Ignorant ou oubliant ce fait, de nombreuses personnes arrêtent de mettre à jour WordPress, ce qui les expose à de nombreux risques de sécurité que chaque nouvelle mise à jour corrige souvent, telles que de nouveaux correctifs de bogues et des correctifs de sécurité.
 

2. Créez toujours des sauvegardes

Tandis que beaucoup de gens réalisent l’importance de la sauvegarde de leurs sites Web, la triste vérité est que la majorité d’entre eux ne le font pas.

Peu importe le nombre d'étapes que vous prenez, il est toujours possible que votre site Web WordPress soit piraté. Et une fois que votre site Web est infecté par des pirates informatiques qui introduisent leurs propres codes et fichiers malveillants, il est possible que votre site Web ne puisse pas revenir à la normale.

Dans ce cas, une sauvegarde à jour de votre site est absolument nécessaire. Vous pouvez utiliser une variété de plugins WordPress bien connus, tels que BackupBuddy et Jetpack, qui proposent différents modes de paiement, en fonction de vos besoins.
 

3. Configurez les principaux plugins de sécurité WordPress

WordPress est extrêmement sûr et sécurisé, cependant de nombreux extensions et thèmes pouvant être installés ne le sont pas. Ceux-ci fournissent la passerelle parfaite vers votre site Web que les pirates recherchent.

Il est donc essentiel d’analyser régulièrement vos sites Web WordPress à la recherche de logiciels malveillants et d’autres formes de code malveillants. Il est également tout aussi important de surveiller activement votre site Web pour détecter les éventuels dangers.

C’est là qu’un plugin de sécurité WordPress entre en jeu.

Maintenant, l'un des meilleurs plugins à cet effet est Sucuri. Il offre des fonctions de sécurité fantastiques, telles que l’analyse planifiée des programmes malveillants, le suivi IP en temps réel, la détection du spam, etc. Sucuri a également différents plans auxquels vous pouvez vous inscrire, avec pas plus de 200 $ par an pour vous aider à démarrer.

Étapes à suivre après le piratage de votre site WordPress

Si votre site WordPress a été piraté, ne vous inquiétez pas. Suivez les étapes ci-dessous pour le ramener à la normale.

1. Obtenez la sauvegarde de votre site Web

La première étape à suivre après le piratage de votre site consiste à rechercher les éventuelles sauvegardes de votre site Web. Si votre sauvegarde a été stockée sur le même serveur que votre site, il est fort probable que la sauvegarde n’y soit plus ou ait été corrompue. C'est pourquoi ce n'est jamais une bonne idée de stocker la sauvegarde de votre site au même endroit que votre site WordPress.

Il y a trois endroits probables où vous pouvez avoir une sauvegarde de votre site Web WordPress:

  • Dans votre service de sauvegarde WordPress - Si vous avez installé un plug-in de sauvegarde WordPress, il est possible que la sauvegarde de votre site soit sauvegardée sur son propre service cloud ou sur un autre comme Google Drive ou Dropbox.
  • Dans votre propre compte dans le cloud - Si vous parvenez à sauvegarder manuellement votre site Web, veillez à vérifier sur votre Google Drive, Dropbox ou d'autres services de cloud pour une copie cachée quelque part.
  • Avec votre fournisseur d’hébergement - Si vous n’avez pas acheté de plug-in de sauvegarde WordPress ni sauvegardé votre site Web, votre dernier pari est de contacter votre fournisseur d’hébergement afin qu’il dispose d’une sauvegarde récente de votre site sur son propre serveur.

Si vous parvenez à trouver une sauvegarde décente, vous êtes prêt à partir. Simplement restaurer votre site Web à la main, via le panneau de configuration du plug-in de sauvegarde ou en demandant à votre hébergeur de le faire.
 

2. Supprimez tous vos plugins et styles inutilisés/obsolètes

Comme mentionné précédemment, les thèmes et les plugins sont l’un des points d’accès les plus faciles pour les pirates sur votre site Web. Plus vous possédez de plugins inutiles et inutilisés, plus votre site Web est vulnérable aux attaques imprudentes.

Par conséquent, dès que vous restaurez votre sauvegarde, vous devez:

  1. Parcourez la liste de vos thèmes et plugins et effacez ceux qui n'ont pas été utilisés depuis longtemps, en particulier ceux qui ont été désactivés.
  2. Méfiez-vous des plugins et des thèmes qui n'ont pas été mis à jour depuis longtemps. Plus un thème ou un plugin est long sans une mise à jour, plus il risque de laisser votre backend WordPress vulnérable.
  3. Vérifiez si votre site utilise un thème gratuit ou non. Si vous en utilisez un gratuit, envisagez de passer à la version payante ou à un autre thème payant, car ils offrent une meilleure sécurité pour votre site Web.

Beaucoup de gens supposent qu'une fois qu'ils ont désactivé un plugin ou un style, cela ne peut pas nuire à leur backend WordPress. C'est complètement faux. Le plugin, même s'il est désactivé, est toujours installé sur votre serveur et occupe de l'espace, ce qui implique que les pirates informatiques peuvent toujours y accéder.

Enfin, lorsque vous avez supprimé tous les thèmes et plug-ins inutiles, mettez à jour ceux que vous préparez à conserver leurs versions les plus récentes.
 

3. Mettez à jour tous vos mots de passe et noms d'utilisateur

Une dernière chose à faire est de mettre à jour votre nom d'utilisateur et votre mot de passe WordPress. Depuis que votre site Web WordPress a été piraté récemment, procéder de la sorte est le meilleur moyen de vous protéger des attaques futures.

Voici ce que vous pouvez faire pour renforcer vos informations de connexion WordPress:

  • Changez votre mot de passe de connexion WordPress toutes les quelques semaines.
  • Arrêtez d’utiliser le nom d’utilisateur par défaut comme « admin » ou « root ». Au lieu de cela, utilisez un nom d'utilisateur unique.
  • Générez un mot de passe fort avec des outils, tels que LastPass et stockez-y votre mot de passe pour une sécurité optimale.

Ces idées s'appliquent non seulement à vos informations de connexion WordPress, mais elles peuvent également être utilisées si vous souhaitez mettre à jour votre compte d'hébergement ou le mot de passe de votre compte FTP.

Une autre méthode pour protéger votre site Web contre de nouvelles attaques consiste à dissimuler le site de répertoire 'wp-admin' et à limiter le nombre de tentatives de connexion pouvant être effectuées pour accéder à votre tableau de bord WordPress. Ces deux opérations peuvent être effectuées à l'aide des plug-ins « WPS Hide Login » et « WPS Limit Login Attempts ».

3 conseils utiles que vous pouvez utiliser pour sécuriser votre site WordPress contre d’autres attaques

Comme dit le proverbe, mieux vaut prévenir que guérir. Le développement de votre site Web nécessite beaucoup de temps, d'argent et d'énergie. Une attaque facile par un pirate informatique destructeur peut l’abattre immédiatement. Afin d’éviter que cela ne se produise, voici quelques idées que vous pouvez utiliser pour renforcer la protection de votre site WordPress.

Conseil 1: Activez l'authentification à deux facteurs

Vous devez activer l'authentification à deux facteurs pour chaque personne qui a eu accès à votre serveur (vous-même inclus). L’authentification à deux facteurs garantit que même si vos informations de connexion WordPress ont été divulguées par accident, aucun pirate informatique n’a la possibilité d’entrer dans votre tableau de bord sans alerter de leur présence.
 

Conseil 2: investissez dans une option de pare-feu et un certificat SSL

Un logiciel de pare-feu empêchera tout trafic réseau suspect d'entrer dans votre site Web WordPress. Et même si un trafic dangereux pénètre dans votre site, un certificat SSL sécurisera les détails délicats de votre site Web, afin que personne ne puisse y accéder. Et dans cette méthode, votre site Web sera protégé des deux côtés. Si vous souhaitez une option de sécurité plus cohérente, nous vous recommandons SiteLock. SiteLock offre tout ce dont votre serveur pourrait avoir besoin, de la protection par pare-feu à un scanner anti-malware puissant.

Pour obtenir un certificat SSL et un pare-feu pour votre site, vous devez vous inscrire à certains des forfaits premium (c'est-à-dire coûteux) au sein de vos plugins de sécurité WordPress. Et si vous ne le souhaitez pas, vous pouvez toujours consulter notre vaste sélection de​​ certificats SSL.
 

Conseil 3 : Choisissez votre fournisseur d'hébergement à fond

Assurez-vous d’héberger votre site Web avec un fournisseur d’hébergement sérieux. Après tout, ils seront responsables de la sécurité de votre site Web sur leurs serveurs.

La triste réalité est que beaucoup de fournisseurs d'hébergement cessent de travailler pour fournir le haut niveau de sécurité nécessaire au maintien de la sécurité de votre site. Selon WPWhiteSecurity, 41% des sites Web ont été piratés en raison d'une faille de sécurité sur la plate-forme où le site Web était hébergé.

C'est pourquoi vous devez effectuer votre étude de recherche et sélectionner un fournisseur d'hébergement qui a la réputation d'être sécurisé et qui va au-delà pour sécuriser votre site Web sur ses serveurs. Par exemple, Nuagerie s’engage toujours pour la sécurité de ses clients en maintenant son système non seulement à jour, mais également en permanence sous la surveillance des meilleurs spécialistes de la sécurité Internet. Assurez-vous de visiter notre page d’hébergement Web si vous souhaitez découvrir davantage de nos fonctionnalités primées.

Vous pouvez être sûr que les chances que votre site soit piraté diminuent considérablement une fois que vous avez pris ces mesures de sécurité et suivi les idées et les méthodes décrites dans ce message. Et même s’il est piraté, vous pouvez enfin avoir l’assurance que, quelle que soit la force de l’attaque de votre site Web, vous aurez toujours la possibilité de le restaurer.


Si vous avez encore des questions ou des préoccupations concernant la sécurité du site Web WordPress, veuillez nous contacter en ouvrant une demande ou notre fonction de clavardage en tout temps.

  • 0 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Consultez aussi

Quoi faire si votre site web est blacklisté

Si un outil antivirus en ligne détecte des logiciels malveillants sur votre site Web, il...

Comment de petits sites peuvent être piratés

Si vous pensez que votre site ne sera pas piraté, car il est trop petit pour être...

Comment se protéger contre les attaques par force brute

Il semble comme chaque jour, il y a des annonces qui parlent sur la facilité...

Avertissement non sécurisé dans Google Chrome

À partir de juillet 2018, le navigateur Web Google Chrome affichera un avertissement...

Mon compte a été piraté! Information important

Un compte piraté (ou hacké) est un compte qui a été compromis ou...