Comment prévenir les attaques du blog WordPress lié à votre boutique PrestaShop ?

De plus en plus de e-commerçants utilisent un blog WordPress couplé à leur boutique Prestashop. WordPress est un CMS majoritairement utilisé pour la gestion d’articles et de contenus textes, mais sa popularité en fait la cible des hackers. Associer sur le même serveur sa boutique PrestaShop avec un blog WordPress demande la prise de précautions, afin de prévenir les attaques pouvant causer de forts préjudices au site e-commerce. Nous souhaitons ici récapituler les origines de ces attaques et les actions à faire pour y remédier.

Les origines d’un hacking sur WordPress

  • Les plugins WordPress

L’origine d’une attaque est souvent due à une faille de la plateforme. Mais il est important de comprendre que le cœur de WordPress est rarement responsable des actes de hacking. La majorité des portes d’entrée qu’utilisent les hackers proviennent des thèmes ou des divers plugins installés sur le WordPress qui participent à en améliorer les fonctionnalités (newsletter, slider, page builder, galeries photos et vidéos…). Avant d’installer un plugin, vérifiez si le plugin est régulièrement maintenu, la date de sa dernière mise à jour, le nombre de téléchargements et commentaires des utilisateurs.

plugins-wordpress

  • Une solution d’hébergement non surveillée et sécurisée

Pour mieux comprendre ce qu’est l’hébergement, imaginez qu’il désigne les fondations d’un édifice : elles doivent être solides pour que l’édifice soit pérenne. Un hébergement non configuré et sécurisé par un service dédié à la surveillance des sites web crée alors une « zone à risque ». Un hébergement mutualisé est économique car il indique que le serveur sur lequel est hébergé votre site est partagé avec d’autres. Mais si cette mutualisation des ressources n’est associée à aucun service d’infogérance, alors elle peut créer des risques de piratage qui pourraient survenir de manière indirecte. Un hébergement dédié (votre site dispose entièrement du serveur) et/ou un service d’infogérance évitent ces risques.

Les actions à faire pour remédier au piratage de WordPress

Vous pouvez comparer votre site WordPress à un château. La première action à accomplir pour se prévenir de l’ennemi est de consolider les portes, lever le pont-levis et placer des postes de guet sur les hautes tours.

  • Consolider les portes : les mises à jour

Faire de régulières sauvegardes de votre site et effectuer chaque nouvelle mise à jour disponible de WordPress et de vos plugins.

Les mises à jour du WordPress amènent systématiquement des améliorations et des corrections sur les composants. Lorsque vous vous connectez sur le tableau de bord et que vous voyez la bannière « Mise à jour disponible », cliquez dessus et mettez votre site à jour. C’est aussi simple que ça.
La mise à jour est bien sûr tout aussi importante pour tous les plugins installés. Il est donc nécessaire de vérifier régulièrement votre tableau de bord WordPress, qui indique en un coup d’oeil grâce au picto rouge, le nombre de plugins à mettre à jour si besoin.

mise-a-jour-wordpress-et-plugin

  • Lever le pont-levis : vérifier les différents accès aux données

Choisir un mot de passe efficace et vérifier les droits de modification de vos fichiers.

Avez-vous de bons mots de passe pour protéger vos différents outils web ? FTP, gestionnaire d’hébergement, back office PrestaShop, base de données… ces plateformes sont comme des ponts qui permettent d’accéder au cœur du système. Il est donc important de vérifier l’accès à ces ponts. Un bon mot de passe doit contenir au moins 8 caractères composés de lettres, chiffres, majuscules, minuscules et caractères spéciaux.
Vérifiez les droits d’écriture de vos dossiers accessibles via FTP. Par mégarde vos fichiers peuvent ouvrir tous les droits (lecture, modification, exécution). Dans cette configuration avec des portes toutes ouvertes, on parle de configuration en 777. Mieux vaut adopter pour une configuration en 755, moins permissive.

  • Des postes de guet : utiliser un service d’infogérance

Commander les services d’un prestataire dédié à la surveillance d’un serveur

L’idéal est de faire appel à une solution d’hébergement sécurisée et dédiée au site internet à laquelle est associée un service d’infogérance. Ce terme désigne les interventions humaines et un ensemble d’actions qui visent une optimisation de la gestion de votre serveur. Cette compétence est utilisée par un prestataire spécialisée qui met en place les règles et effectue des audits de sécurité, réalise des sauvegardes quotidiennes de toutes la base de données et du monitoring : surveillance du fonctionnement serveur et contre toutes intrusions.

Que faire suite à une attaque de votre blog WordPress ?

Les sites qui ne disposent pas d’un service d’infogérance sont bien évidemment exposés à des attaques, par des manques de protection préalable. Si malgré les conseils susmentionnés, votre site WordPress est piraté, commencez par changer tous les mots de passe de vos outils web : FTP, gestionnaire hébergement, back office PrestaShop, base de données, et ce pour tous les comptes existants.
Pour les personnes les plus familiarisées avec la gestion FTP, dupliquez et transférez le contenu de vos dossiers (tous les fichiers de votre site) sur votre ordinateur, puis classez les fichiers par date de modification. Vous pourrez détecter les fichiers qui ont été modifiés le jour du hacking, ou des fichiers nommés de manière inhabituels.
Ces premières actions permettront d’éviter d’isoler les fichiers contaminés. Ensuite, nous vous conseillons de contacter un prestataire dédié à la maintenance qui saura restaurer votre site internet. Pour exemple, nous proposons les 2 services pré-cités, au travers de nos offres d’hébergement infogérés www.772424.com et de notre service de maintenance corrective pour WordPress.

Depuis 2001, l'agence Profileo s’est spécialisée dans le e-commerce. Elle est présente dans 3 grandes villes de France (Paris, Aix-en-Provence / Marseille, Nice) et compte 40 personnes dont 24 développeurs formés par PrestaShop. 1ère agence partenaire Or PrestaShop dès 2009 et désormais Platinum, Profileo est une agence 100% PrestaShop, qui accompagne les e-commerçants à travers 4 offres dédiées pour répondre à l'ensemble des besoins relatifs à la création d'une boutique en ligne.

Poster un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *