Protéger votre site Web contre les programmes malveillants

Un programme malveillant (ou logiciel malveillant) est un logiciel conçu intentionnellement dans le but d’endommager un ordinateur, un serveur, un client ou un réseau. Ce guide explique ce que les propriétaires de sites Web peuvent faire pour se protéger des programmes malveillants.

Un programme malveillant (ou logiciel malveillant) est un logiciel conçu intentionnellement dans le but d’endommager un ordinateur, un serveur, un client ou un réseau. Les programmes malveillants se présentent sous diverses formes, parmi lesquelles des virus et vers informatiques, des chevaux de Troie, des rançongiciels, des logiciels espions, des logiciels publicitaires et bien d’autres encore.

Les logiciels de ce genre sont souvent utilisés par des personnes malintentionnées pour voler des informations personnelles, financières ou commerciales. Ils peuvent viser des personnes physiques pour obtenir des informations telles que des numéros ou des informations d’identification personnelle, des données de carte bancaire ou de crédit et des mots de passe.

Les programmes malveillants proviennent généralement de diverses sources :

• Failles de sécurité ou vulnérabilités au niveau de systèmes d’exploitation, d’applications ou d’extensions.
• Copies gratuites d’extensions et de thèmes qui sont normalement payants.
• Utilisateurs disposant de privilèges trop élevés : un utilisateur de votre site qui s’est vu attribuer un rôle d’administrateur complet alors qu’un niveau de privilèges inférieur, comme Éditeur ou Auteur, serait plus approprié pour les tâches qu’il doit effectuer.
• Code disposant de privilèges trop élevés : un logiciel qui s’est vu accorder plus de privilèges ou de droits d’accès que nécessaire pour sa fonctionnalité prévue.

Les sites WordPress.com utilisant nos plans Gratuit, Personnel et Premium sont protégés contre les programmes malveillants. Notre pare-feu de pointe et d’autres mesures de sécurité protègent votre site.

Le risque lié aux programmes malveillants apparaît sur les plans de niveau supérieur, car ces sites peuvent exécuter du code personnalisé (y compris des extensions et des thèmes tiers) pouvant introduire des vulnérabilités. Nous vous protégeons contre cela avec les fonctionnalités de sécurité de Jetpack (telles que les sauvegardes et les analyses de sécurité), mais cela ne suffit pas à garantir que votre site est à 100 % à l’abri des programmes malveillants ou d’autres problèmes de sécurité.

Pour protéger votre site contre les programmes malveillants, tenez compte des conseils suivants :

• Installez uniquement des extensions, des thèmes et du code provenant de sources sûres et fiables comme les répertoires d’extensions et de thèmes WordPress.com, WordPress.org ou directement à partir du site Web d’un développeur reconnu.
• Découvrez nos conseils pour choisir des extensions ici.
• Si l’origine d’une extension ou d’un thème n’est pas claire, ne l’installez pas sur votre site.
• Si une extension ou un thème a de mauvais avis (ou n’a aucun avis), prenez des précautions avant de l’installer sur votre site.
• Si vous trouvez un site qui propose des versions « gratuites » d’extensions et de thèmes premium ou payants, ne les téléchargez pas et ne les installez pas. Ces sites font souvent office d’appât pour vous inciter à installer une version d’une extension ou d’un thème qui a été modifiée de façon à inclure un programme malveillant.
• Assurez-vous de mettre à jour régulièrement vos extensions et votre thème (et d’activer les mises à jour automatiques si elles sont prises en charge) afin de toujours utiliser la version la plus sécurisée.

Chez les autres hébergeurs WordPress, le propriétaire du site est généralement responsable de la configuration des recherches de programmes malveillants et des analyses de sécurité, par le biais d’une extension tierce. Chez WordPress.com, nous gérons cet aspect pour vous (comme l’explique la section suivante). Par conséquent, certaines extensions de sécurité ne peuvent pas être installées sur WordPress.com car elles interfèrent avec les processus intégrés qui protègent déjà votre site Web.

Cette section du guide s’applique aux sites utilisant les plans WordPress.com Business et Commerce, ainsi que l’ancien plan Pro. Si vous avez un plan Business, assurez-vous de l’activer. Les sites utilisant les plans Gratuit, Personnel et Premium doivent mettre à niveau leur plan pour avoir accès à cette fonctionnalité.

Votre site est automatiquement sauvegardé une fois par jour. Parallèlement à ce processus, nous analysons automatiquement votre site quotidiennement afin de rechercher des programmes malveillants et autres failles de sécurité via Jetpack Scan, notre outil de sécurité activé sur tous les sites WordPress.com.

Nous avons des équipes dédiées qui surveillent activement ces analyses et aident à résoudre les problèmes. Ces résolutions comprennent la suppression du code malveillant, la suppression des extensions ou thèmes dangereux et, lorsque cela est possible, le remplacement des extensions compromises par une version sûre. Nous tentons également de limiter les problèmes de sécurité majeurs avec des extensions et thèmes tiers populaires afin que les exploits connus ne puissent pas être utilisés même si le logiciel n’a pas été mis à jour.

Pour afficher l’historique d’analyse présentant un enregistrement de toutes les menaces précédemment actives sur votre site, procédez comme suit :

1. Consultez le tableau de bord de votre site.
2. Accédez à Jetpack → Analyse.
3. Faites défiler les menaces de sécurité ; vous pouvez développer une entrée pour afficher plus de détails sur la menace :

Si nous détectons un programme malveillant sur votre site Web, nous agissons rapidement pour supprimer les fichiers ou répertoires infectés. Cela peut engendrer des changements au niveau de l’apparence ou du fonctionnement de votre site, si bien que nous vous en informerons par e-mail le cas échéant. Si une menace liée à un programme malveillant provient d’une extension ou d’un thème tiers sur votre site, nous vous recommandons de signaler le problème au développeur de l’extension ou du thème, qui pourra fournir une version mise à jour sans code malveillant.

Gardez à l’esprit que l’hébergement intentionnel d’un programme malveillant constitue une violation de nos conditions d’utilisation.