Afin de protéger votre site WordPress contre les logiciels malveillants, il est nécessaire d’identifier la provenance de ces attaques et les risques les plus fréquents de piratage. Le plugin de sécurité de WordPress, appelé Wordfence, a récemment recensé les sources des attaques les plus récurrentes sur les sites WordPress, auprès de 4 millions d’utilisateurs.
Quels sont les 5 logiciels malveillants WordPress les plus courants?
Les attaques par “traversée du répertoire”
En 2020, le plugin de sécurité Wordfence recense que 43 % des tentatives malveillantes (1,8 milliard d’attaques malveillantes), sont des tentatives d’accès aux données sensibles présentes dans les fichiers wp-config.php et des tentatives d’inclusion de fichiers locaux (LFI).
Les injections SQL
En deuxième position, avec 21% des attaques contre les sites WordPress, on trouve les logiciels malveillants qui permettent des injections SQL (Structured Query Language ou Langage de requête structurée en français). Il s’agit d’une exploitation des failles de sécurité d’une application interagissant avec une base de données.
Les téléchargements de fichiers malveillants
Sur la troisième place du podium avec 11 % des tentatives d’exploitation, on trouve le téléchargement de fichiers malveillants, qui vont réaliser l’exécution de code à distance, afin de prendre le contrôle de votre site internet.
Le Cross-Site Scripting (XSS)
Les attaques XSS ont pour but d’injecter un script ou code malveillant dans votre site web pour récupérer des cookies ou des données de sessions. Dans le but de sécuriser votre site internet, il est important filtrer les entrées utilisateurs et d’ajouter les en-têtes de sécurité HTTP
Les vulnérabilités de contournement d’authentification
Le reste des attaques cherchent principalement à exploiter les vulnérabilités de contournement d’authentification avec des tentatives de connexion par Brute-force.
Comment se protéger contre les différents types de logiciels malveillants sur WordPress ?
Il existe de nombreux moyens pour protéger votre site internet contre ces différents types d’attaques et de menaces. Dans un premier temps, il est fortement recommandé d’utiliser des plugins et des thèmes qui ont une bonne réputation. Il est aussi important de les mettre à jour régulièrement. Cela permet de limiter l’exposition de votre site à des failles de sécurité.
Il est également essentiel de mettre en place une authentification à deux facteurs (2FA) avec l’application Google Authenticator. En effet, il s’agit d’un moyen très efficace pour contrer les tentatives de connexion automatisées.
Des 5 plugins de sécurité les plus efficaces
Vous pouvez aussi utiliser des plugins pour protéger votre site web. Ces derniers peuvent assurer une surveillance active de la sécurité, faire un examen des fichiers, activer un pare-feu ou encore vous notifier en cas de détection d’une menace.
Parmi les plugins de sécurité, on peut nommer :
- Jetpack : ce plugin propose entre autres une protection anti-spam et des analyses de sécurité, il est également très intéressant à utiliser, car il comporte aussi des modules pour les réseaux sociaux;
- SecuPress : ce plugin existe en version gratuite avec un système qui bloque les adresses IP frauduleuses, et en version payante avec la possibilité de recevoir des alertes de sécurité et de nombreuses fonctions premium;
- Sucuri Security : surveille notamment l’intégrité des fichiers et protection DDoS avancée;
- Wordfence Security: Wordfence contient un pare-feu de point de terminaison et un scanner de logiciels malveillants conçus spécifiquement pour protéger WordPress.
- Bulletproof security: Sécurité de WordPress, recherche de logiciels malveillants, pare-feu, sécurité de la connexion, sauvegarde de la base de données et protection anti-spam.
Les équipes de La Clinique WordPress sont là pour vous accompagner dans la construction de votre site WordPress afin de faciliter son utilisation et de le protéger efficacement contre les logiciels malveillants et le vol d’informations personnelles.