Nous avons créé le scanner de sécurité WordPress gratuit IsItWP pour vous aider à analyser votre site web à la recherche de logiciels malveillants et de piratages connus. Il vérifie également le statut de votre domaine auprès des principaux moteurs de recherche.
Notre scanner de sécurité est alimenté par Sucuri. Ils offrent le meilleur pare-feu de sécurité WordPress. Nous utilisons leurs services sur notre site web et nous vous recommandons vivement de faire de même si vous tenez à la sécurité de votre site web.
L’importance de la sécurité de WordPress
WordPress étant le constructeur de sites web le plus populaire au monde, il n’est pas surprenant que les sites WordPress soient les cibles préférées des pirates et des spammeurs.
Malheureusement, de nombreux propriétaires de sites web prennent la sécurité de WordPress à la légère en supposant que les pirates ne s’attaquent qu’aux sites web populaires. Cependant, la réalité est que les pirates aiment les fruits faciles à attraper – les sites web qui ne suivent pas les meilleures pratiques en matière de sécurité WordPress.
En d’autres termes, si vous ne prenez pas les mesures de sécurité appropriées pour WordPress, vous permettez aux malfaiteurs de saboter votre réputation durement gagnée, votre classement dans les moteurs de recherche et votre activité en ligne.
Voulez-vous savoir si votre site est protégé contre les logiciels malveillants ? Tout ce que vous avez à faire est de scanner votre site web avec notre scanner de sécurité WordPress gratuit.
Voyons comment fonctionne notre scanner de sécurité WordPress gratuit.
Comment fonctionne le scanner de sécurité WordPress ?
L’utilisation de notre scanner de sécurité WordPress gratuit est la meilleure façon de vérifier que votre site web ne contient pas de logiciels malveillants ou d’erreurs connues.
Voici comment fonctionne notre scanner de sécurité :
1. Soumettez votre URL à notre scanner de sécurité WordPress
Pour scanner votre site web, il vous suffit d’entrer l’URL de votre site dans notre scanner de sécurité WordPress et de cliquer sur le bouton Scanner le site web.
2. Notre outil scanne votre site web
Une fois que l’URL est soumise, ce scanner de vulnérabilité WordPress robuste vérifiera le site Web pour toute menace potentielle de vulnérabilité.
3. Vous obtenez le résultat complet de l’analyse
Une fois l’analyse de vulnérabilité terminée, vous obtiendrez un rapport détaillé sur les menaces de logiciels malveillants éventuellement détectées, l’état de la liste d’attente du site Web et d’autres détails relatifs à la sécurité de votre site.
Comment protéger votre site contre les logiciels malveillants
L’utilisation d’un pare-feu est la meilleure façon de protéger votre site WordPress contre les logiciels malveillants.
Un plugin de pare-feu WordPress agit comme un bouclier entre votre site web et le trafic entrant. Il surveille l’ensemble du trafic de votre site web et bloque tout visiteur suspect afin d’atténuer les menaces de sécurité avant même qu’elles n’atteignent votre site. En bloquant les visites suspectes, un plugin de pare-feu vous aide à contrôler la charge de votre serveur et à vous assurer que votre site web a un bon temps de fonctionnement.
Un plugin de pare-feu vous permet également d’accélérer votre site web et d’améliorer les performances de WordPress.
Il existe deux types de plugins de pare-feu WordPress :
Pare-feu WordPress au niveau DNS
Un pare-feu au niveau DNS est fortement recommandé par rapport à un pare-feu au niveau de l’application parce qu’il surveille tout le trafic de votre site en l’acheminant via des serveurs proxy dans le nuage. Après avoir surveillé votre trafic, le plugin n’autorise que les utilisateurs réels à accéder à votre site.
Pare-feu au niveau de l’application
Avec un pare-feu au niveau de l’application, vous examinez le trafic après qu’il ait atteint votre serveur, mais avant le chargement de la plupart des scripts WordPress. Comparé à un pare-feu de niveau DNS, un pare-feu applicatif n’est pas aussi efficace lorsqu’il s’agit de réduire la charge du serveur.
Un pare-feu de niveau DNS est exceptionnellement doué pour discerner le trafic authentique des requêtes vulnérables. Pour ce faire, il apprend à partir de milliers de sites web, compare les tendances, empêche les mauvaises adresses IP connues et bloque le trafic vers des pages que vos utilisateurs ne demanderaient normalement jamais.
Sucuri est le meilleur fournisseur de sécurité WordPress qui offre un pare-feu au niveau DNS pour empêcher les tentatives de piratage, la force brute, les attaques par déni de service distribué (DDoS) et les exploits de blocage zéro. Sucuri améliore également les performances de votre site web en réduisant la charge du serveur grâce à l’optimisation de la mise en cache, l’accélération du site web et le CDN Anycast (tous inclus).
Nous utilisons Sucuri pour nos sites web, y compris IsItWP. Notre scanner de sécurité est également alimenté par Sucuri.
Voici les points forts de cet outil :
- Renforcement de la sécurité intégré
- Journal des activités de sécurité
- Surveillance de la liste de blocage
- Surveillance de l’intégrité des fichiers
- Analyse à distance des logiciels malveillants
- Notifications de sécurité
- Actions de sécurité post-piratage
Avec la plupart des scanners en ligne, vous pouvez obtenir des faux négatifs et positifs parce qu’ils utilisent des méthodes obsolètes que les pirates ont dépassées. Notre scanner de vulnérabilité WordPress alimenté par Sucuri est toujours à jour et effectue un balayage en profondeur de votre site pour trouver des activités suspectes.
Commencez dès maintenant avec Sucuri !
Ou lisez notre avis complet sur Sucuri.
Comment réparer un site Web infecté par un logiciel malveillant
Votre site WordPress est-il infecté par un logiciel malveillant ?
Nos sites web ayant été piratés par le passé, nous savons à quel point cela peut être stressant. Suivez notre guide étape par étape ci-dessous pour savoir comment réparer votre site WordPress infecté par un logiciel malveillant.
Étape 0 : Engagez un professionnel de la sécurité pour réparer les logiciels malveillants
Si vous n’êtes pas doué pour la technique, faire appel à un professionnel de la sécurité est le meilleur moyen de réparer les logiciels malveillants sur votre site. En confiant le nettoyage de votre site à un expert, vous aurez l’esprit tranquille et n’aurez pas à vous occuper de questions techniques qui ne vous conviennent pas.
Les experts en sécurité réputés facturent généralement entre 100 et 250 dollars de l’heure, ce qui est exorbitant pour les petits propriétaires de sites web.
Pour les lecteurs d’IsItWP, nos amis de Sucuri proposent un nettoyage des logiciels malveillants et des piratages pour 199 $, ce qui inclut également leur pare-feu et leur service de surveillance pour une année entière.
Nous connaissons personnellement l’équipe de Sucuri et nous ne les recommanderions pas si nous ne leur faisions pas confiance pour nos propres sites web.
Bien que nous vous recommandions vivement de faire appel à un expert pour réparer les logiciels malveillants, si vous préférez réparer votre site Web vous-même, suivez les étapes ci-dessous.
Étape 1 : Identifier le piratage
Faire face à un site web piraté peut être stressant. Il existe différents types d’attaques, comme les injections SQL, les attaques par force brute, les scripts intersites (XSS), les spams de mots clés SEO, etc.
Avant de commencer, notez tout ce que vous pouvez faire pour identifier le piratage et résoudre le problème.
Voici une bonne liste de contrôle à parcourir :
- Pouvez-vous vous connecter à votre tableau de bord WordPress ?
- Y a-t-il des redirections qui détournent les visiteurs de votre site ?
- Pouvez-vous trouver des backlinks nuisibles sur votre site ?
- Google marque-t-il votre site web comme non sécurisé ?
- Votre installation WordPress est-elle obsolète ?
- Avez-vous récemment installé un nouveau plugin qui n’est pas maintenu ?
- Avez-vous récemment installé un thème WordPress nulled ?
Les logiciels obsolètes peuvent entraîner des failles de sécurité sur votre site. Toute faille détectée dans WordPress est rapidement corrigée par les développeurs, puis une nouvelle version du logiciel est publiée. Assurez-vous donc toujours que vous utilisez la dernière version de WordPress.
En outre, vous ne devriez utiliser que des thèmes et des plugins de confiance sur votre site. Le téléchargement et l’installation de logiciels nulled ou piratés peuvent entraîner des attaques de logiciels malveillants. Il vaut mieux rester à l’écart de ces thèmes et plugins vulnérables, cela n’en vaut pas la peine.
Maintenant que vous avez une liste de contrôle en main, la prochaine chose à faire est de les corriger un par un, afin de vous assurer que vous ne passez à côté d’aucune menace.
Il est conseillé de modifier votre mot de passe avant et après le nettoyage de votre site.
Étape 2 : Vérifier auprès de votre hébergeur
Si vous utilisez un hébergement partagé et que vous avez constaté que votre site est infecté, il est probable que d’autres sites aient également été touchés par des logiciels malveillants. Contactez votre hébergeur et demandez-lui s’il est en mesure d’apporter une solution rapide. Les hébergeurs tels que SiteGround et HostGator sont très compétents en la matière. Ils seront en mesure de fournir plus de détails sur le piratage, en particulier si d’autres sites ont également été touchés.
Nous vous conseillons de lire notre avis complet sur SiteGround et HostGator pour en savoir plus sur ces sociétés d’hébergement.
Étape 3 : Restauration à partir d’une sauvegarde
Si vous avez déjà mis en place une sauvegarde pour votre site WordPress, vous pouvez rapidement revenir à la normale. Nous avons un guide complet sur la façon de restaurer votre site WordPress à partir d’une sauvegarde que vous pouvez suivre.
Si vous n’avez pas fait de sauvegarde vous-même, ce guide vous aidera à vérifier auprès de votre hébergeur et à explorer d’autres méthodes pour voir si une sauvegarde a été automatiquement gérée pour vous.
L’inconvénient de restaurer une ancienne sauvegarde est que vous risquez de perdre le contenu le plus récent qui n’a pas été sauvegardé.
Nous vous recommandons de programmer des sauvegardes automatiques de votre site à l’aide d’un plugin comme Duplicator.
Après avoir restauré la sauvegarde de votre site web, vous devrez identifier la raison de la menace et y remédier afin d’éviter qu’elle ne se reproduise.
Étape 4 : Analyser et corriger
Ensuite, supprimez tous les thèmes et plugins inactifs de votre site qui pourraient être vulnérables. Le plus souvent, c’est là que les pirates cachent leurs portes dérobées.
Une porte dérobée est une méthode permettant de contourner l’authentification normale et d’obtenir la capacité d’accéder à distance au serveur web tout en restant indétecté. Ainsi, les pirates peuvent à nouveau accéder à votre site même après que vous ayez trouvé et supprimé le plugin exploité.
Après avoir supprimé tous les thèmes inactifs, vous devrez installer deux plugins pour une inspection plus approfondie : Sucuri WordPress Auditing et Theme Authenticity Checker (TAC).
Sucuri Scanner: Ce scanner de sécurité WordPress vous indique l’état d’intégrité de tous vos fichiers principaux WordPress, ce qui vous permet d’identifier où se cache le piratage. Les endroits les plus courants sont les répertoires des thèmes et des plugins, le répertoire des téléchargements, wp-config.php, le répertoire wp-includes et le fichier .htaccess.
Theme Authenticity Checker: le plugin Theme Authenticity Checker vous permet d’analyser les fichiers de votre thème à la recherche de tout code potentiellement suspect. Si des codes potentiellement malveillants sont trouvés dans un thème installé, le plugin vous indiquera le correctif, le numéro de ligne et affichera le code suspect. Il est ainsi facile de prendre des mesures préventives par soi-même. Ce plugin est très utile pour vérifier si vos thèmes installés contiennent des scripts codés.
Étape 5 : Vérifier les autorisations de l’utilisateur
Jetez un coup d’œil à la section Utilisateurs de votre panneau d’administration WordPress pour vous assurer que seuls vous et vos membres de confiance avez un accès administrateur à votre site. Si vous trouvez des utilisateurs suspects, vous devrez les supprimer de votre site.
Étape 6 : Modifier vos clés d’utilisateur
Si quelqu’un a volé votre nom d’utilisateur et votre mot de passe, il restera connecté à votre site à moins que vous ne désactiviez les cookies. Pour désactiver les cookies et révoquer l’accès non autorisé à votre site, vous devrez régénérer un ensemble de clés de sécurité qui crypte votre mot de passe et l’ajouter à votre fichier wp-config.php.
En savoir plus sur les clés de sécurité de WordPress.
Étape 7 : Réinitialiser tous vos mots de passe
Maintenant que nous avons presque terminé la correction des fichiers infectés sur le site, la dernière étape consiste à réinitialiser tous vos mots de passe, y compris ceux de WordPress, de cPanel, de FTP et de MySQL.
Si vous gérez un site web multi-utilisateurs, vous pouvez forcer la réinitialisation des mots de passe de tous les utilisateurs de WordPress.
La meilleure pratique consiste à former votre équipe à l’utilisation de mots de passe forts. Lorsque vous définissez un mot de passe, WordPress vous indique si vous utilisez des mots de passe faibles.
Vous pouvez en savoir plus à ce sujet dans notre guide sur la façon de choisir un mot de passe sécurisé.
Étape 8 : Renforcer votre site WordPress
Il existe certaines mesures que vous pouvez ajouter à votre site web pour renforcer la sécurité et rendre l’accès à votre site incroyablement difficile pour les pirates.
En général, lorsque les pirates voient que ces mesures sont en place, ils font quelques tentatives et passent ensuite à une cible plus facile. Voici les mesures que vous pouvez prendre :
- Installez un certificat SSL: Vous pouvez obtenir un certificat SSL auprès de votre hébergeur. Par exemple, Bluehost offre un certificat SSL gratuit avec tous ses plans d’hébergement web. Si ce n’est pas le cas, vous pouvez utiliser un plugin comme Really Simple SSL pour l’installer sur votre site.
- Sécurisez votre page de connexion: Vous pouvez ajouter un mot de passe à votre page de connexion. Grâce à cette fonctionnalité, seuls les membres de votre équipe disposant du mot de passe peuvent accéder à la page de connexion.
- Sécurisez les formulaires Web : Les formulaires non sécurisés sont une cible facile pour les pirates. Il leur suffit d’entrer un code malveillant dans les champs de votre formulaire. Nous recommandons WPForms, c’est le premier générateur de formulaires WordPress qui intègre la sécurité.
- Définissez les permissions des rôles des utilisateurs : Si vous avez plusieurs utilisateurs travaillant sur votre site WordPress, vous pouvez limiter les permissions qu’ils ont en fonction de leur rôle. Les rôles les plus puissants avec des autorisations d’accès sont super administrateur et administrateur. Nous recommandons d’avoir le moins d’administrateurs possible.
- Déconnexion automatique des utilisateurs inactifs : Une autre astuce utilisée par les pirates consiste à détourner les sessions de navigation et à voler les cookies. Cela leur permet d’accéder à votre site par l’intermédiaire d’un compte d’utilisateur actif sans que vous le sachiez. Il existe des plugins qui vous permettent de déconnecter automatiquement les utilisateurs inactifs au bout d’un certain temps.
- Utilisez l’authentification à 2 facteurs : Cela ajoute un processus de vérification en deux étapes à votre connexion, au cours duquel vous devez fournir un code d’accès unique qui vous est envoyé en temps réel par SMS, par courriel ou par une application d’authentification.
- Limiter les tentatives de connexion : Dans une attaque par force brute, les pirates envoient des robots sur votre site pour essayer des milliers de combinaisons de connexion jusqu’à ce qu’ils obtiennent la bonne. Si vous limitez les tentatives de connexion, ils devront s’arrêter après 3 tentatives. Vous pouvez activer cette fonction à l’aide de plugins de sécurité tels que Sucuri et MalCare.
Cela permettra de résoudre la plupart des problèmes de sécurité sur votre site.
Quelle que soit la taille de votre site WordPress, la sécurité ne doit jamais être négligée. Vous trouverez ci-dessous quelques recommandations pour sécuriser votre site WordPress.
- Passez à un hébergeur WordPress sécurisé: le choix d’un hébergeur WordPress sécurisé est votre première ligne de défense pour rendre votre site WordPress impénétrable.
- Mettez en placeune solution de sauvegarde pour WordPress: La sauvegarde la plus coûteuse est celle que vous n’avez jamais faite. Investissez dans un plugin de sauvegarde WordPress, afin de pouvoir compter sur vos sauvegardes même dans les pires scénarios, comme le piratage de votre site ou l’infection de vos fichiers.
- Mettezen place un pare-feu pour votre site web et un système de surveillance: Nous utilisons et recommandons Sucuri pour fournir une sécurité à toute épreuve à tous vos sites WordPress et bloquer les attaques avant qu’elles n’atteignent notre serveur. Veillez également à activer les alertes par courrier électronique afin d’être averti en cas de problème.
- Suivez les pratiques recommandées en matière de sécurité WordPress: Suivez ce guide ultime de sécurité WordPress pour mettre en œuvre les pratiques recommandées en matière de sécurité sur votre site WordPress.
FAQ sur la sécurité des sites web
Quelle est la différence entre un scanner WordPress et un scanner de vulnérabilité WordPress ?
Un scanner WordPress est un outil qui analyse un site web WordPress à la recherche de problèmes généraux tels que des liens brisés, des plugins et des thèmes obsolètes et des mots de passe faibles. Il recherche les vulnérabilités courantes qui pourraient être exploitées par des pirates. L’objectif d’un scanner WordPress est de trouver les faiblesses qui pourraient être utilisées par les pirates pour s’introduire dans votre site.
Un scanner de vulnérabilités WordPress est un outil plus ciblé qui recherche spécifiquement les vulnérabilités connues dans les plugins WordPress, les thèmes et le logiciel principal de WordPress. Ces vulnérabilités peuvent être connues du public ou découvertes par des chercheurs en sécurité, et elles peuvent être utilisées par des pirates pour obtenir un accès non autorisé à un site web, voler des données ou effectuer d’autres actions malveillantes.
Où trouver un scanner WordPress ?
Vous pouvez trouver le meilleur scanner WordPress sur IsItWP ou chez Sucuri.
Quel outil puis-je utiliser pour vérifier si un site est construit avec WordPress ?
Allez sur IsItWP.com pour savoir si un site web est construit avec WordPress. Vous pouvez obtenir des informations sur leur hébergement WordPress, leur thème WordPress, leurs plugins WordPress, et plus encore.
Quel outil pouvez-vous utiliser pour savoir quels sont les plugins installés sur une installation WordPress ?
Connectez-vous à votre tableau de bord WordPress et allez dans l’onglet ” Plugins”. Vous y verrez tous les plugins installés sur votre site. Vous pouvez voir ceux qui sont actifs et ceux qui ne le sont pas encore.
Si vous souhaitez vérifier quels thèmes et plugins sont utilisés par un site tiers, utilisez IsItWP.com.
Quel est le nom du site web qui fournit un scanner WordPress gratuit ?
IsItWP.com propose un scanner WordPress gratuit. Vous n’avez jamais besoin de vous inscrire ou de payer pour l’utiliser.
C’est tout ce que nous avons pour vous. Vous pouvez également jeter un coup d’œil aux meilleurs plugins de sécurité WordPress.
