10 conseils pour sécuriser son site sous WordPress 10. Ne pas installer de plugins ou thèmes piratés

La tentation est grande pour les blogueurs ou PME désargentés de télécharger gratuitement un thème ou plugin, théoriquement payant, mais mis à disposition sur un site malintentionné.

Attention, si les pirates mettent à disposition ces thèmes ou plugins vendus généralement quelques dizaines d'euros seulement, c'est pour y intégrer un malware. 

Un malware déclenché à distance

le danger pour un site transformé en botnet par un code malicieux, c'est aussi
Le danger pour un site transformé en botnet par un code malicieux, c'est aussi de voir son nom de domaine blacklisté par Google. © Capture / JDN

Il est très simple d'ajouter un bout de code dans un fichier php, bout de code chiffré donc difficile à interpréter pour un béotien. Pendant plusieurs semaines, plusieurs mois, rien à signaler, jusqu'au jour où le code malicieux va se déclencher.

Sur ordre des serveurs pirates, celui-ci risque de transformer votre serveur en porte drapeau pour une cause islamiste, ou transformer votre serveur en zombie. Il servira alors de relai à de vastes attaques en déni de service (DDOS) ciblant d'autres sites. Le risque est alors de voir son domaine blacklisté par Google. En fin d'année 2014, le malware SoakSoak a ainsi atteint plus de 100 000 sites WordPress, et Google a blacklisté 11 000 domaines pour stopper l'infection.

PME / Wordpress