Comment se fait hacker un site web WordPress ?

Il existe de nombreuses manières de hacker un site web WordPress, les pirates les connaissent mieux que tout le monde. Mais les connaissez-vous ? Savez-vous contre quoi vous devez vous protéger ?

Il est important de savoir comment un site peu se faire briser, dérobé, comment des intrus peuvent prendre votre place.

Voici quelques chiffres provenant de nos clients depuis 2010 :

  • 60% des personnes qui se font pirater un site n’ont aucune idée de comment cela est arrivé,
  • 25% des pirates ont utilisé une vulnérabilité dans un plugin ou un thème,
  • 6,5% sont entrés en trouvant votre mot de passe par brute-force,
  • 3% ont utilisé une faille venant du cœur de WordPress non à jour,
  • 1,5% se sont fait piraté à cause de leur hébergeur,
  • 0,6% des sites qui avaient encore d’anciens fichiers de WordPress dans leur installation,
  • 0,5% à cause des mauvais droits sur les fichiers (chmod),
  • 0,5 à cause du vol du mot de passe (sans brute-force)
  • 0,4% se partagent d’autres raisons comme l’ordinateur sans antivirus, réponse à un phishing, le serveur non à jour, le logiciel FTP désuet, etc

Ne pas savoir comment c’est arrivé

C’est malheureusement très courant, mais pour plus de la moitié des piratage de site WordPress – 61% –, on ne trouve pas la source du méfait. Il est parfois difficile de savoir comment c’est arrivé, quel est le point d’entrée, où sont les traces, qui a fait ça et pourquoi. Tout ce que les webmasters savent c’est qu’ils avaient un site non sécurisé.

Dans ces cas là, le travail à fournir pour tenter de connaitre la raison du piratage est tellement énorme qu’il est trop couteux pour qu’un client s’en soucie réellement.

Et si cela vous arrive, je ne peux que vous recommander d’éviter de perdre votre temps, ce qui est arrivé est regrettable, mais dépensez plutôt ce temps à la sécurisation plutôt qu’à de l’investigation inutile.

Brute-Force sur les mots de passe

Le brute-force est une façon de dérober des mots de passe, principalement ceux qui sont courts et/ou faibles comme un azerty ou date_de_naissance like.

Une faille dans WordPress

Parfois, cela arrive, WordPress contient une faille de sécurité. Le gros avantage c’est qu’on a connaissance de cette faille quand elle est déjà corrigée, rendant alors WordPress le CMS le plus sécurisé à nos yeux.

Maintenant, il ne tient qu’à vous de vous maintenir à jour, une fois de plus. Sans cette mise à jour, vous prenez un grand risque car la faille est alors divulguée, partagée et connue du monde entier, les pirates peuvent alors hacker un site web WordPress.

Les hébergeurs en cause

Il arrive que le piratage n’est pas de votre ressort, l’attaquant est passé à un niveau auquel vous n’avez pas accès : votre hébergeur. Vous vous devez alors de choisir un hébergeur connu pour être de bonne qualité niveau sécurité


QUELQUES TÉMOIGNAGES DE NOS CLIENTS

ÉVALUATION DU NIVEAU DE SÉCURITÉ & SOUMISSION EN LIGNE