Même la plus petite des vulnérabilités de votre site WordPress peut être facilement exploitée par des pirates et utilisée pour détourner l'intégralité de votre site Web. Cela peut causer de graves dommages par le vol de données, l'envoi de spam ou même la dégradation de pages. Cela ne veut pas dire non plus que vous risquez de voir votre site mis sur liste noire par Google s'il est déterminé que votre site est gravement compromis.

C'est pourquoi garder votre site à l'abri des pirates et empêcher toute vulnérabilité de téléchargement de fichiers devrait être au premier plan de votre esprit. Prenez des mesures telles que vérifier si votre site est compromis afin d'améliorer la sécurité globale de votre site.

Dans cet article, nous allons plonger dans quelques-uns des meilleurs conseils sur la façon de prévenir encore plus une vulnérabilité de téléchargement de fichier sur la sécurité de votre site WordPress.

Qu'est-ce qu'une vulnérabilité de téléchargement de fichier ?

Qu'est-ce qu'une vulnérabilité de téléchargement de fichier ?

Les vulnérabilités de téléchargement de fichiers dans leur ensemble sont l'un des risques de sécurité les plus courants auxquels les sites WordPress sont confrontés aujourd'hui.

Les principales formes de vulnérabilités de téléchargement sont locales et distantes. Vulnérabilités locales sont les cas où une application présente une vulnérabilité de sécurité qui permet aux utilisateurs mal intentionnés de télécharger et d'exécuter des fichiers malveillants. Pendant ce temps, vulnérabilités à distance sont lorsque l'entrée utilisateur d'une application est utilisée pour récupérer des fichiers distants sur Internet, puis stocker ce fichier localement.

Un exemple de vulnérabilité de téléchargement de fichier local serait la récente vulnérabilité Contact Form 7, qui a été découverte fin 2020. Contact 7 est un plugin WordPress très populaire qui donne aux utilisateurs la possibilité d'ajouter plusieurs formulaires de contact différents sur un site ou un blog.

Cependant, une vulnérabilité de téléchargement de fichier local a été découverte, permettant aux pirates de télécharger des fichiers malveillants dans la version 5.3.1 et toutes les anciennes versions de Form 7, en supposant que le plug-in ait activé le téléchargement de fichier. Heureusement, tous les sites WordPress exécutant la dernière version sont (jusqu'à présent) protégés contre la vulnérabilité From 7).

Un exemple de vulnérabilité de téléchargement de fichier à distance était le Vulnérabilité TimThumb, qui a présenté un problème majeur de 2011 à 2014. TimThumb est un script PHP couramment utilisé pour redimensionner les images sur les sites WordPress. La vulnérabilité permettait aux cybercriminels de télécharger des fichiers PHP sur des sites Web ou des blogs à l'aide du plug-in, ce qui leur permettait ensuite de créer des vignettes sur les sites. Chaque fois que le fichier de vignettes était demandé, le code PHP illicite pouvait être exécuté.

Les vulnérabilités de téléchargement de fichiers locaux et distants constituent une menace majeure pour votre site, car elles peuvent donner aux pirates la possibilité de télécharger des logiciels malveillants, de prendre le contrôle de votre blog ou de votre site, de télécharger du spam ou de défigurer complètement votre site Web. Non seulement ces types d'attaques peuvent ruiner la réputation de votre entreprise, mais elles peuvent également causer d'immenses dommages financiers. Si l'on considère que le coût moyen d'une cyberattaque contre une petite ou moyenne entreprise est de plus de 2,35 millions de dollarsil ne devrait pas être beaucoup plus convaincant de prendre des mesures pour prévenir les menaces de cybersécurité telles que les vulnérabilités de téléchargement de fichiers distants ou locaux.

Dans cet esprit, voici trois choses que vous pouvez faire pour empêcher les vulnérabilités de téléchargement de fichiers afin de protéger plus efficacement votre site.

1. Exécutez toujours la dernière version de WordPress

Exécutez la dernière version de WordPress

L'une des principales raisons pour lesquelles les propriétaires de sites rencontrent des problèmes avec des pirates ou des cyberattaques générales est qu'ils utilisent une ancienne version de WordPress. En mettant à jour votre WordPress vers la dernière version chaque fois que possible, vous pouvez rendre la pénétration de votre site beaucoup plus difficile pour les pirates.

Garder votre site WordPress à jour est une excellente règle générale pour améliorer tous les aspects de votre site, comme la vitesse. Une seconde supplémentaire de temps de chargement, par exemple, peut entraîner une baisse de 7 % des conversions, de 11 % des pages vues et de 16 % de la satisfaction client.

En vérité, ne pas mettre à jour votre site WordPress vers la dernière version ne fera que nuire à vos chances de réussir et de prévenir les cyberattaques.

Chaque fois qu'une nouvelle mise à jour de WordPress est publiée, les failles sont corrigées et la sécurité globale est améliorée. Cependant, l'exécution d'une ancienne version de WordPress signifie que vous utilisez une version à laquelle les pirates se sont habitués.

Les cyberattaques peuvent se produire parce que leurs responsables prennent le temps de sonder les sites pour détecter les faiblesses. Malheureusement, toutes ces faiblesses ne sont pas dues aux plugins que vous avez installés sur votre site. Certaines de ces faiblesses sont complètement hors de votre contrôle, c'est pourquoi WordPress sort constamment de nouvelles versions. Ces versions tiennent compte des faiblesses qui échappent à votre contrôle et les corrigent afin que vous n'ayez pas à vous soucier de l'intégrité de votre site.

2. Mettre à jour les plugins et les thèmes

Mettre à jour les plugins et les thèmes

Comme pour la mise à jour de WordPress vers la dernière version, vous devrez vous assurer que tous les plugins ou thèmes sont également mis à jour. Les plugins obsolètes peuvent souvent être utilisés comme méthode pour les vulnérabilités de téléchargement de fichiers locaux. Cela est particulièrement vrai pour les formulaires de contact, les commentaires et autres plugins qui permettent les soumissions frontales.

Les développeurs de plugins et de thèmes passent beaucoup de temps à sonder leur propre travail pour déterminer s'il y a des problèmes de sécurité. Et s'ils en trouvent un, ils corrigeront le problème avec une mise à jour. En gardant tous les plugins et thèmes associés à votre site sécurisés, vous pouvez réduire considérablement le risque de vulnérabilités de téléchargement de fichiers.

Dans une étude des 1 386 plugins WordPress les plus populaires, il a été constaté que 104 mises à jour reçues moins d'une semaine avant l'étude et 244 ont reçu des mises à jour moins d'un mois avant. Les développeurs s'efforcent toujours d'améliorer leurs plugins, alors profitez de ces mises à jour.

Une action supplémentaire que vous pouvez entreprendre au-delà de la simple mise à jour des plugins et des thèmes existants sur votre site consiste à vérifier les journaux d'audit pour voir qui a accédé à votre site. Si vous remarquez une faille de sécurité, cela est l'une des stratégies les plus efficaces pour vous aider à identifier les plugins ciblés par un pirate informatique afin de sécuriser davantage votre site. À partir de là, vous pouvez soit supprimer entièrement le plugin, soit voir s'il existe une mise à jour qui peut résoudre le problème avant qu'il ne s'aggrave.

En ce qui concerne les thèmes, leur mise à jour peut également protéger votre sécurité globale. Un avantage supplémentaire est que vous n'avez même pas à vous soucier de perdre la personnalisation avec une mise à jour pour la plupart des thèmes. L'un des moyens les plus simples et pourtant les plus efficaces de protéger votre site contre les pirates consiste simplement à maintenir tous les aspects de votre site aussi à jour que possible.

3. Installez un plugin de sécurité WordPress supérieur

Installez un plugin de sécurité WordPress supérieur

Les plugins sont un domaine de vulnérabilité particulier pour les sites WordPress. Saviez-vous que un site Web sur cent sont très probablement infectés par des logiciels malveillants au cours d'une semaine donnée ? L'une des principales raisons à cela est le manque de plugins sécurisés.

Les plugins de sécurité WordPress agissent comme un pare-feu qui protège les autres plugins de votre site Web et prévient les risques de violation de données. Par example, WordFence qui comprend un pare-feu intégré pour empêcher le trafic malveillant d'atteindre votre site. Il peut y avoir un certain nombre de vulnérabilités potentielles dans les plugins que vous utilisez, mais si les pirates ne peuvent pas franchir la barrière de sécurité, ils ne pourront jamais exploiter ces failles.

Certains plugins offrent des avantages tels que des scanners ou des nettoyeurs qui peuvent détecter et prévenir les problèmes avant qu'ils ne deviennent sérieux. Un bon exemple est MalCare, qui offre un puissant scanner de site qui ne ralentira pas votre site. Ces types de plugins de sécurité automatisent complètement le processus de numérisation et de nettoyage. Ainsi, vous pouvez vous asseoir et vous concentrer sur la gestion de votre site, plutôt que de passer votre temps à vous inquiéter des pirates. Assurez-vous également d'ajouter des plugins pour les appareils mobiles que vous utilisez pour vous aider à faire fonctionner votre site WordPress. Ceci est très négligé par de nombreux propriétaires de sites novices en particulier. Une nouvelle attaque d'appareils mobiles est lancé toutes les 39 secondesqui souligne l'urgence de protéger également tous les appareils mobiles personnels ou professionnels que vous utilisez.

Pour les ordinateurs de bureau et les appareils mobiles, veillez simplement à ne pas installer de plug-ins de mauvaise qualité, obsolètes ou dotés de fonctionnalités en double. Par exemple, plusieurs plugins SEO pourraient faire bien plus de mal que de bien. En effet, chaque fois que vous avez un nouveau plugin, vous envoyez de nouvelles requêtes de base de données et des requêtes HTTPS, ce qui peut affecter la vitesse et les performances de votre site. Soyez donc très sélectif quant aux plugins spécifiques que vous choisissez de télécharger. Assurez-vous que chaque nouveau plugin résout un problème spécifique qu'un plugin existant que vous avez ne résout pas.

Les sites WordPress sont assez sécurisés en l'état, mais un plugin de sécurité peut être le tampon supplémentaire dont vous avez besoin pour faire passer cette sécurité au niveau supérieur. Après tout, il n'y a pas trop de sécurité, tant que cela n'affecte pas les performances et l'expérience utilisateur de votre site Web. Plus particulièrement, les plugins de téléchargement de fichiers sont particulièrement faibles, mais un plugin de sécurité puissant peut compenser cette faille avant que le problème ne puisse être exploité.


Il y aura toujours des pirates sur Internet. Les cyberattaques sont quelque chose qui devra toujours être contré, mais garder votre site WordPress à jour peut réduire ces attaques. Heureusement, vous pouvez améliorer la sécurité de certains aspects de votre site, comme l'ajout de plugins WooCommerce qui peuvent sécuriser les systèmes de paiement que votre site exécute. Les téléchargements de fichiers sont une source particulière de vulnérabilité, mais l'utilisation des conseils ci-dessus peut corriger certaines des failles potentielles.