Avec 37 % des sites au monde, WordPress est sans conteste le CMS le plus utilisé par les propriétaires et gestionnaires de sites web (source Kinsta).

Malgré ce succès phénoménal, WordPress, comme tout logiciel, comporte des failles de sécurité.

En plus, un des avantages de ce CMS est qu’il propose de nombreux plugins et thèmes. Certains sont même gratuits et/ou sans support client.

Et parmi les développeurs de ces outils, comme partout, il y a malheureusement des personnes malveillantes.

C’est pourquoi certains de ces programmes comportent des risques non-négligeables.

Alors, comment identifier un programme additionnel douteux ?

C’est la question que j’ai posée à Harold Kilpatrick chez PR Consulting.

Que vous soyez un entrepreneur en quête de visibilité sur le web ou tout simplement un gestionnaire de sites passionné, je pense que cet article vous apportera toutes les réponses nécessaires.

En bonus, vous saurez si l’ajout d’un VPN est vraiment nécessaire pour optimiser la sécurité de votre domaine.

Pourquoi vous méfier de certains thèmes et plugins WordPress gratuits ?

Pourquoi vous méfier de certains thèmes et plugins WordPress gratuits ?

Cela ne devrait plus surprendre aucun internaute, la cybercriminalité est un phénomène qui prend de plus en plus d’ampleur.

En plus, la crise sanitaire liée au Coronavirus a favorisé une amplification des tentatives de piratage (source Le Figaro).

Si certains hackers privilégient les réseaux sociaux pour cibler leurs victimes, d’autres “profitent” de certaines failles de sécurité liées au fonctionnement d’un site web. Et cela concerne tout type, taille d’entreprise.

La variété des plugins et thèmes disponibles sur WordPress est à juste titre peut être perçue comme un atout…

Mais vous devez être conscient que c’est aussi un inconvénient !

Certains programmes additionnels via WordPress ont des comportements douteux. Sans en faire une généralité, il s’agit souvent de composants proposés gratuitement.

Et si par mégarde, vous sélectionnez l’un d’eux voici ce que vous risquez :

  • Le vol de données renseignées par les internautes,
  • L’espionnage en temps réel,
  • L’inaccessibilité temporaire ou permanente d’un site ou service en ligne…

Je n’ai pas besoin de vous expliquer longtemps les effets négatifs sur votre réputation.

En plus, avec les contraintes imposées par le RGPD, vous risquez aussi une amende.

Donc le choix d’un plugin ou d’un thème doit se faire avec la plus grande précaution.

Pour cela, voici quelques règles à suivre afin d’identifier un thème ou plugin WordPress à risque.

Comment savoir si vous utilisez un thème ou plugin malveillant ?

Comment savoir si vous utilisez un thème ou plugin malveillant ?

Vous savez certainement comment choisir une extension avec soin.

Mais comment savoir si malgré cela, vous utilisez un thème ou plugin WordPress malveillant.

Plusieurs signes bizarres vont faire leur apparition sur le site Web de votre entreprise.

Voici 3 symptômes parmi les plus courants que vous allez observer sur votre site en ligne.

1. L’affichage d’un écran blanc

L’affichage d’un écran blanc a été constaté à de multiples reprises par l’un de vos visiteurs (ou vous-même) ?

L’installation d’un programme additionnel malveillant peut être la cause de ce phénomène. Évidemment, cette situation ne permet pas d’affirmer l’infection d’un plugin ou thème. Toutefois, celle-ci confirme un problème associé à votre CMS.

En d’autres mots, ne négligez jamais l’apparition de ces “white screens” !

2. L’intégration de liens non souhaités

Vous constatez la présence de liens qui se sont insérés comme par magie. Ces lignes pointent vers des sites qui vendent du Viagra ?

Très souvent, la présence involontaire de liens et redirections vers d’autres sites douteux peut confirmer l’installation d’un programme douteux.

Si ce phénomène ne concerne qu’une page spécifique, n’hésitez pas à désactiver son accessibilité afin de limiter les risques de piratage et compromettre la popularité de votre domaine.

3. L’activité anormale relevée sur votre fichier .htaccess

Enfin, le détournement de fichiers .htaccess est une autre situation associée à l’installation d’un plugin ou thème WordPress malveillant.

Une nouvelle fois, l’ajout de multiples redirections dans votre .htaccess est à vérifier avec soin.

Mon conseil : évidemment, il existe de nombreux autres cas frauduleux. Dès que vous voyez un comportement inhabituel, il est de votre devoir d’en chercher la cause et y remédier rapidement.

Comment identifier un thème ou plugin WordPress douteux ?

Comment identifier un thème ou plugin WordPress douteux ?

Avec plus de 56 900 plugins et thèmes proposés sur l’annuaire de WordPress, il serait difficile d’énumérer chacun de ces programmes afin de confirmer ou non leur fiabilité.

Cependant, certaines solutions existent pour repérer la plupart des plugins et thèmes indésirables.

En voici 4 parmi les plus populaires efficaces.

1. Analyser votre thème avec Theme Authenticity Checker (TAC)

Vous avez sélectionné votre thème de prédilection.

Pensez à l’analyser sous l’angle de la sécurité.

Pour cela, TAC est un plugin populaire qui scanne les lignes de code de vos thèmes.

En quelques clics, vous recevez le résultat du scan : “Theme ok !” ou “Encrypted Code Found”. Ca ne peut pas être plus clair.

Mon conseil : malheureusement, TAC n’a pas été mis à jour depuis plusieurs années. Je vous conseille de ne l’utiliser que lors du choix d’un nouveau thème ou en cas de doute. En dehors de ces cas, désinstallez cette extension de votre site sous WordPress.

2. Sécurisez votre site avec Sucuri Security

Sucuri Security peut être comparé à une application anti-virus.

Disponible depuis un abonnement mensuel ou annuel, ce plugin propose également un pare-feu performant. Pourquoi s’en priver ?

Mon conseil : Sucuri est à la fois un must et en même très vivement conseillée.

3. Détectez les malwares avec le plugin “Anti-Malware”

Anti-Malware analyse et supprime chaque élément malveillant installée sur votre CMS.

Particulièrement accessible, ce plugin ne nécessite aucune connaissance spécifique pour traquer d’éventuels données indésirables.

4. Préservez votre sécurité en utilisant un VPN

Certes, les VPN ne sont pas des plugins disponibles via WordPress comme les 3 solutions précédentes.

Toutefois, l’efficacité d’un VPN est indiscutable.

Une fois installé, vous naviguez sur Internet en utilisant un cryptage privé et des adresses IP différentes.

En effet, un réseau privé virtuel peut modifier votre adresse IP. Ce processus garantit une sécurité optimale face aux tentatives de piratage. En effet, la majorité des tentatives de hacking font référence à l’identification d’une adresse IP. E modifiant ces informations, vous profiterez d’une “transparence” non-négligeable afin de limiter drastiquement les risques de piratage.

L’avantage est que lorsque vous accédez à votre console d’administration, vous bénéficiez d’une connexion totalement privée entre votre ordinateur et votre serveur.

En tant que néophyte, l’utilisation d’un VPN peut sembler complexe aux premiers abords. Néanmoins, ces outils digitaux n’imposent aucune connaissance spécifique. Il suffit d’installer l’application fournie par votre fournisseur avant de vous identifier et sélectionner le serveur de votre choix. Suite à ces étapes, les données relatives à votre connexion seront automatiquement modifiées.

Pour en profiter, souscrivez à une offre VPN depuis le site Web d’un fournisseur reconnu. Le tarif mensuel varie d’une plateforme à l’autre.

Pour vous aider dans votre choix, je vous renvoie vers l’article de BlogPasCher qui liste 5 VPN parmi les plus connus. Vous pouvez aussi consulter directement les résultats dans votre navigateur web favori !

Audrey : Merci Harold pour toutes ces précisions. je rajoute aussi l’extension Exploit Scanner pour repérer les lignes de codes douteuses dans l’ensemble des extensions installées sur votre site. Là encore, l’extension n’ayant pas été maintenue depuis plusieurs années, il n’est pas question de la laisser installée une fois que vous l’avez utilisée.

Identifier des thèmes ou plugins WordPress douteux : pour conclure

Les plugins et thèmes douteux méritent amplement l’intérêt des entrepreneurs.

En plus de l’annuaire WordPress officiel, il existe des milliers de sites Web qui proposent des thèmes et des plugins WordPress gratuits.

Le problème est que vous ne pouvez pas toujours leur faire confiance.

En effet, vous n’êtes pas l’abri qu’ils veulent :

  • Obtenir un backlink depuis votre site sans vous le demandez,
  • Accéder au contenu publié sur votre blog d’entreprise,
  • Insérer des liens de spam qui ont en plus avoir des conséquences négatives sur votre SEO,
  • Ajouter leurs publicités et autres bannières,
  • Enfin tout simplement faire tomber votre site Web…

Après avoir téléchargé un plugin ou un thème, la première chose à faire est de rechercher les virus, les chevaux de Troie et autres malveillances que vous ne voulez pas voir sur votre site Web.

Les recommandations présentées ci-dessus devraient vous permettre dans la plupart des cas d’identifier ces programmes malveillants en toute simplicité.

Pour aller plus loin, je vous livre 11 conseils indispensables pour sécuriser votre site Web sous WordPress.

Quelques questions/réponses pertinentes

Certains plugins WordPress populaires peuvent-ils être dangereux pour la sécurité de mon site ?

La majorité des plugins avec une bonne popularité sur le web n’évoque aucun risque autour de la sécurité. Toutefois, de nombreux pirates proposent de fausses mises à jour associés à ces programmes en dehors de l’annuaire WordPress. Veillez donc à ne jamais cliquer sur ces liens douteux et privilégiez toujours d’accéder à l’annuaire depuis votre console d’administration.

Faut-il considérer que chaque thème ou plugin WordPress payant est fiable ?

Absolument pas. Si de nombreux thèmes et plugins WordPress douteux sont gratuits, d’autres programmes à la fiabilité discutable sont payants. N’hésitez pas à consulter les avis d’autres utilisateurs avant de valider votre commande et/ou toute installation.

Comment évaluer la fiabilité d’un thème ou d’une extension WP en termes de sécurité ?

Tout d’abord, évitez de télécharger quoique ce soit sans regarder les avis des internautes ou en parler autour de vous. Ensuite, notez toujours sous la forme d’un main courante, la date et l’heure de tout ce que vous installez. Une fois l’installation terminée, la première chose à faire est de rechercher les virus, le code malveillant… Des extensions existent pour ça. Enfin, dès que des comportements bizarres apparaissent sur le site Web de votre entreprise, lancez une investigation.

Avez-vous déjà connu des mésaventures en installant une extension trop rapidement ?