Mon site peut-il se faire pirater ?

Vous avez créé votre site WordPress, vous êtes content du résultat mais cela vous a pris beaucoup d’énergie, peut-être beaucoup de temps, alors vous vous dites : « La sécurité, on verra plus tard ! ». Vous pensez que votre site ne craint rien ? Faisons un petit tour des idées reçues.

Merci à Michael Gout de WP Smoothie pour nos échanges et sa relecture !

Mon site n’intéresse pas les pirates : Faux

Dans le monde obscur des pirates, il y a ceux qui déposent des virus : le site ne fonctionne plus ! Et il y a aussi les pirates qui remplacent le contenu que vous avez murement réfléchi et peaufiné par du contenu « inapproprié », « réservé aux adultes ». Parfois, vous aurez « juste » des problèmes, parfois une rançon est demandée et, une fois payée, on retrouve son contenu, ou pas…

Vous vous dites : ce n’est pas pour moi, mon site n’intéresse personne. C’est faux : sur les groupes d’entraide lié à la sécurité, on voit régulièrement des histoires comme celle d’un artisan qui a créé son site, un site vitrine pour présenter son travail. Et puis, un jour, il va sur son site et se retrouve avec des images « inappropriées » … et là, c’est la galère ! En moyenne dans le monde, 1 site web se fait pirater chaque seconde. Pas très rassurant tout ça…

Imaginez si c’est un site destiné aux enfants ou bien si c’est un site marchand avec toutes les données des clients que vous aurez peut-être perdues… Si la situation dure un moment, Google va vous mettre sur la liste des sites à éviter : adieu les bons résultats de référencement naturel ! En cas d’infection, le site peut être blacklisté par Google et perdre ainsi toute visibilité : un visiteur verra une page rouge avec écrit quelque chose comme « Attention, ce site est probablement infecté par un virus ». Le contenu devint quasiment invisible et tout votre travail pour gagner des places en référencement est perdu !

Comment est-ce possible ? A l’heure de l’intelligence artificielle, un visiteur sur deux sur internet est un robot, c’est-à-dire un programme informatique :  un humain est derrière puisqu’il l’a écrit et lancé mais ensuite le robot agit seul. La plupart de ces programmes sont bienveillants ou inoffensif, mais certains sont dangereux. Ils visent les sites internet comportant telle ou telle faille de sécurité connue, et ils peuvent avoir des fonctions différentes : injecter du code, créer des pages…

Par conséquent, la première chose à faire en informatique, c’est d’avoir des logiciels mis à jour ! Que ce soit pour son ordinateur, son téléphone, ou son site, c’est essentiel pour limiter la vulnérabilité de nos appareils.

Si vous avez un site WordPress, ce système est plus attaquable que les autres. Pourquoi ? WordPress est un code open-source, c’est-à-dire que tout le monde peut aller voir le code. L’avantage, c’est que c’est gratuit, c’est polyvalent, c’est évoluable très facilement et vous n’êtes pas lié à une plateforme. L’inconvénient, c’est que c’est plus vulnérable. Alors que faire ? mettre en place des sauvegardes pour avoir en réserve une version du site à restaurer au cas où, installer des systèmes de protections qui vont réduire notablement les risques et bien-sûr faire les mises à jour au fur et à mesure. ATTENTION : si vous n’avez pas fait de mises à jour pendant un certain temps, mettre à jour peut parfois poser des problèmes donc voyez avec un professionnel comment procéder.

Pour les autres systèmes, les risques sont moins grands mais pas nuls non plus : à voir avec votre solution, si elle intègre au moins une sauvegarde.

C’est trop technique : Vrai et faux

Prendre l’habitude d’avoir des mots de passe efficaces et différents selon les sites et de faire les mises à jour de ses logiciels, ce n’est pas très difficile, c’est juste une habitude à mettre en place.

Si vous avez la main sur votre site, faites donc un peu de ménage pour supprimer les thèmes inactifs et les modules inutiles. ATTENTION : ne supprimez pas le thème parent si vous avez un thème enfant. Ce système est une très bonne pratique car il permet de mettre à jour le thème sans risque pour les personnalisations effectuées. Ne supprimez pas tout et n’importe quoi, seulement ce qui est inutile car ce serait dommage d’attraper un virus à travers une partie du code qui ne vous sert à rien !

Pour un site WordPress, quelques modules bien choisis à ajouter et mettre en place de bonnes pratiques permettront de limiter drastiquement les risques. Là, c’est plus technique sans être très compliqué. Pourquoi ne pas suivre une petite formation « WordPress sécurité » : cela peut parfois suffire pour mettre en place les modules appropriés, connaitre les bonnes pratiques et vous permettre ensuite de gérer vous-même les mises à jour.

Une autre solution sans risque et sans angoisse, c’est de sous-traiter la maintenance technique à un prestataire spécialisé.

Mon site est en https, c’est un premier pas : Vrai

Le « https » est un protocole sécurisé qui garantit le cryptage des données échangées. A ses débuts, il était réservé aux pages de transaction financière en ligne. Il a maintenant été généralisé et il est utilisé dans tout type de site.

Pour savoir si son site est en https, il faut que l’adresse du site débute par https:// (attention au s) et il faut aussi avoir le cadenas vert à chaque page du site. Ce cadenas vert dans la barre de saisie des URLs du navigateur indique que le processus fonctionne correctement.

C’est bien sûr insuffisant en termes de sécurité mais c’est indispensable. D’ailleurs pour vous motiver davantage, Google prend cela en compte dans ses algorithmes pour le référencement – l’art d’apparaitre le plus haut possible dans les résultats de recherche. C’est donc bon pour la sécurité et bon pour la visibilité !

Je fais des sauvegardes donc pas de soucis : vrai et faux

Faire des sauvegardes, c’est vraiment important. Parfois, cela peut sauver. Pour cela, il faut mettre en place un système de sauvegarde automatique car si on doit le faire manuellement, on ne le fait pas assez régulièrement. La sauvegarde doit être stockée ailleurs que sur le serveur au cas où le serveur serait infecté par vos fichiers ou par ceux d’un site qui partage votre serveur.

Donc faire des sauvegardes c’est bien mais … parfois on n’a plus la main sur le site, il va falloir passer par le serveur. C’est bien plus technique. Dans ce cas, il vaut mieux passer par un spécialiste.

Et parfois, faire des sauvegardes ne suffit pas. Il existe des virus qui sont programmés pour dormir plusieurs mois et qui se réveillent ensuite. Les sauvegardes sont donc en général infectées aussi… Pour bien faire, il faudrait avoir une sauvegarde en plus, semestrielle.

D’ailleurs on conseille souvent d’avoir deux sauvegardes externes, en plus de celle de l’hébergeur. En effet, celle de l’hébergeur est souvent incomplète et ne contient que des sauvegardes proches, de l’ordre de quelques jours. Elle ne pourra être utile si un problème ne se manifeste que 6 mois après l’infection… L’idéal est donc d’avoir des sauvegardes proches et lointaines, et en différents endroits.

Un site vitrine, c’est moins risqué qu’un site e-commerce : plutôt vrai

En réalité, le risque est le même dans les 2 cas mais les conséquences sont radicalement différentes. Soyons pessimiste et imaginons le cas d’un site totalement inutilisable et irrécupérable. Quels sont les conséquences pour l’entreprise ?

Dans le cas d’un site vitrine, c’est-à-dire un site qui ne fait que présenter l’entreprise, ses produits/services, ses équipes… l’entreprise perd son site et ses données, d’où une perte financière pour reconstruire le site et une altération de son image puisqu’elle devra prévenir tous ceux qui avaient laissé des données personnelles au travers du formulaire ou de la newsletter.

En revanche, pour un site marchand, si le sérieux est écorné, les clients risquent de se faire rares, d’où un impact direct sur le chiffre d’affaire à court terme. Et puis les clients, comment les recontacter si la base de données est irrécupérable ? Si le site est blacklisté un certain temps par Google, il faudra du temps pour repartir sur des bases saines et retrouver sa position. Mais alors que reste-t-il à l’entreprise ? Pas grand-chose… Dans le cas d’un site marchand, la sécurité n’est pas un plus, c’est une base, cela doit faire partie de l’investissement de départ.

D’ailleurs, un site e-commerce peut s’avérer plus complexe à dépanner car il y a une configuration complexe à refaire, si la base de données a été endommagée. Il y aura plein d’informations à retrouver et à restaurer dans cette base de données, comme les clients, les commandes, les factures, si ces données n’ont pas été exportées avant.

Alors que faire ?

D’abord, comme me l’a dit Michael Gout, avoir en tête que les sites internet, c’est comme les voitures, ça s’entretient : entretenir sa voiture permet de limiter les risques de gros problèmes ! Il a développé cette image dans ce post si vous souhaitez en savoir plus.

En informatique, personne ne peut garantir le zéro problème. Même les grosses entreprises ou agences de sécurité peuvent être attaquées. On essaye simplement de minimiser les risques. Et vous l’avez compris, pour limiter ces problèmes, il faut : 

Dans le cas d’un site vitrine simple :

• Choisir un bon hébergeur
• Mettre en place une sauvegarde automatique
• Mettre en place des protections de sécurité grâce à des modules WordPress, par exemple
• Utiliser des mots de passe efficaces
• Faire très régulièrement les mises à jour
• Vous pouvez aussi payer les services de maintenance de votre site à un prestataire pour qu’il s’occupe de tous ces aspects techniques

Dans le cas d’un site plus complexe ou site e-commerce :

• Ne pas faire l’économie d’un système de sécurité sérieux

Et si, malgré tout, vous avez des soucis, un site du gouvernement peut vous conseiller et vous aiguiller vers des professionnels : cybermalveillance.gouv.fr

Merci encore à Michael Gout de WP Smoothie pour son expertise !

Pour continuer votre lecture, le dossier complet pour développer tout le potentiel de votre site.