C’est ce qui rend cette plateforme si attrayante. D’ailleurs, nous développons tous les sites de nos clients avec cet outil.
Sauf que cette plateforme attire aussi… les pirates. Ils visent les sites développés en WordPress en profitant de faiblesses du logiciel ou de ses plugiciels (plug-in), des modules qui servent à effectuer des tâches précises.
Visiteurs indésirables
Ainsi, un nombre grandissant de sites WordPress ont été attaqués par le virus «visitorTracker_isMob» depuis le début de septembre, selon Sucuri, une entreprise spécialisée en sécurité Internet (http://tinyurl.com/q93ypjm).
Voici comment ce virus fonctionne. Il repère un site qui utilise une version périmée ou plus vulnérable de WordPress, et tente ensuite de pénétrer le serveur qui l’héberge. S’il réussit, il utilise une faiblesse de cette version de WordPress pour prendre le contrôle du site. Il redirige alors les visiteurs du site vers une page Web infectée.
Le virus copie ensuite toutes les informations utiles sur l’ordinateur du visiteur. Il peut même prendre le contrôle de la messagerie électronique pour envoyer des courriels d’hameçonnage.
Cette activité finit par mener à la mise en quarantaine du site par les gestionnaires de noms de domaine. Le site devient alors inaccessible, et les adresses courriel, inutilisables.
À la fin de 2014, nn autre virus, «SoakSoak», a infecté plus de 100 000 sites WordPress. Google a dû mettre en quarantaine plus de 11 000 noms de domaine pour tenter de l’éradiquer. Le virus accédait au site par l’intermédiaire du plugiciel Slider Revolution, qui sert à créer un carrousel de photos. Depuis, les ingénieurs de WordPress ont corrigé le problème.
Soyez à jour
Comment protéger votre site WordPress ? D’abord, en vous assurant que la dernière mise à jour du logiciel a été installée. Selon le concepteur de WordPress, Automattic, près de 70 % des versions utilisées actuellement présentent des problèmes de sécurité tout simplement parce que les utilisateurs ont négligé d’installer les mises à jour.
Le concepteur de WordPress publie régulièrement des mises à jour gratuites pour pallier les vulnérabilités du logiciel, et ainsi, tenir en échec les pirates. Toutefois, contrairement aux logiciels Windows et Internet Explorer de Microsoft pour des raisons techniques, WordPress n’offre pas un mode d’installation automatique des mises à jour.
Il faut donc installer les mises à jour soi-même ou confier cette tâche à un tiers.
À mon avis, c’est à la firme qui a développé votre site Internet qu’il revient de vous prévenir de la nécessité d’installer une nouvelle version de WordPress ou d’un plugiciel. Cette mise à jour vous coûtera quelques dollars, mais vous éviterez ainsi que votre site soit piraté ou qu’un virus paralyse vos communications Internet.
Notez que vous pouvez être prévenu par le concepteur de WordPress de toute nouvelle mise à jour du logiciel ou d’un plugiciel. On vous informe même de son importance en ce qui concerne la sécurité de votre site.
Un serveur blindé
Avant de pouvoir atteindre votre site Internet, un pirate doit forcer les dispositifs de sécurité du serveur qui l’héberge. Il est donc important de vous assurer que votre site est hébergé par une entreprise de confiance.
Selon moi, pour des raisons financières, les petites firmes ne peuvent pas protéger leurs serveurs de façon aussi adéquate que les grandes sociétés qui hébergent un grand nombre de sites. Pour ces mêmes raisons, je n’hébergerais pas mon site sur le serveur de mon entreprise.
Par ailleurs, veillez à ce que la firme qui héberge votre site Internet fasse des copies de sécurité sur une base hebdomadaire, voire quotidienne (j’insiste : ne tenez rien pour acquis, car vous pourriez avoir de mauvaises surprises). De cette façon, vous pourrez recourir à la copie de sauvegarde si un pirate perce sa sécurité et compromet votre site. Sinon, bonne chance !
Dernier conseil : visitez votre site régulièrement pour vous assurer que tout fonctionne bien.
laroseg@maisondigilor.ca