Pourquoi WordPress est attaqué?

par | Fév 18, 2017

Pourquoi y at-il autant d’attaques WordPress? Il semble que chaque mois, les attaques à grandes échelles contre la CMS WordPress font les gros titres. Devez-vous paniquer? En tant qu’experts WordPress nous sommes consultés pour reprendre des sites ayant subi des attaques!

Alors discutons-en.

Le phénomène WordPress

Si WordPress est si souvent attaqué, c’est simplement qu’elle est la première solution de contenu au monde. Elle s’est imposée comme une solution simple, intuitive et compétitive avec 60% de part de marché mondial. Chaque jour 500 nouveaux sites WordPress sont publiés.

Si vous regardez le piratage comme une entreprise à part entière, il est parfaitement logique que WordPress remporte la palme des attaques.

Vulnérabilité de l’API REST

Les attaques les plus récentes sont des tentatives d’exécution de commande à distance (RCE) contre l’API REST WordPress qui a été ajoutée et activée par défaut sur WordPress 4.7.0. Ceci a été évalué comme un risque sévère de sécurité en raison de la capacité d’injecter du code.

Certaines de ces attaques ont entraîné la dégradation de sites et le black listage du serveur et des adresses mails.
De nombreux experts estiment que ce n’est qu’une question de temps avant que les pirates ne cherchent une plus grande exploitation de cette vulnérabilité afin de monétiser leur travail par le biais de bannières publicitaires.

Dois-je utiliser WordPress ?

WordPress est extrêmement populaire pour beaucoup de raisons. La plus importante est que, comme système de gestion de contenu, il est le meilleur sur le marché. Il est disponible en 56 langues, bénéficie de plus de 40.000 plugins, qui tout en offrant quelques problèmes en matière de sécurité signifie également que vous avez un haut niveau de personnalisation disponible.

Si vous utilisez WordPress alors vous devriez continuer à le faire, mais assurez-vous d’inclure un certain niveau de protection pour votre site. Pour ceux qui choisissent une solution de contenu, il n’y a aucune raison de ne pas choisir WordPress. Encore une fois, vous avez juste besoin d’être conscient de votre sécurité Internet – ce que vous devriez être indépendamment de la plate-forme que vous utilisez.

Comment puis-je protéger mon site?

Première chose d’abord : mettre à jour vers WordPress 4.7.2 maintenant (à la date de ce poste, of course). Cela vous protégera de la dernière violation de sécurité. Une autre solution est d’avoir un plan de maintenance Web qui comprend généralement des mises à jour de sécurité et la maintenance du site Web telles que l’installation de plugins WordPress et des corrections de bugs (pensez à souscrire une offre de maintenance auprès de votre agence web).

Vous pouvez également désactiver les plugins qui exécutent PHP directement à partir des messages, car cela crée la vulnérabilité qui est exploitée. Certains pare-feu peuvent également fournir des couches supplémentaires de protection pour les sites WordPress s’ils utilisent des choses comme le durcissement virtuel.

Enfin, vous devez être très sélectif avec les plugins que vous allez utiliser. Ils devraient provenir de sites réputés et être examinés attentivement avant l’installation.

En bout de ligne, tout site peut être attaqué et même défiguré si l’attaquant possède suffisamment de connaissances, d’habilités et de puissance de calcul pour trouver une faille.

N’oubliez pas de demander à votre hébergeur sa stratégie de protection et sa politique de sauvegarde.

Vous avez des questions, appelez moi pour découvrir notre offre de protection WordPress.