Il y a quelques jours, je travaillais sur le référencement d’un site, plus précisément, sur l’optimisation d’une page. En vérifiant la page depuis un outil qui simule ce que voit Google, je tombe sur un site de pharmacie espagnole qui vend des roulements de moto Husqvarna ?
Je vérifie, si j’affiche la page dans un navigateur, la page s’affiche correctement, aucun souci. Par contre si je la regarde avec les yeux de Google, je vois la page d’un autre site ?
C’est ça, le hack moderne. Personne ne voit rien, ne se doute de rien, et pourtant…
Et c’est pour ça que je vous en parle.
Le drapeau de pirate, c’est fini
Il y a encore peu de temps, quand un site se faisait pirater, ça se voyait. Une page blanche avec un message de revendication, un crane sur fond noir ou un drapeau de pirates qui flottait. C’était brutal et il fallait intervenir en urgence, mais au moins on ne pouvait pas passer à coté !
Aujourd’hui, les attaques sont invisibles par conception.
Le script qui s’est introduit sur le site de mon client ne cherchait pas à faire du bruit. Il cherchait à se faire oublier. Il servait un contenu différent selon qui visitait la page : la vraie page pour les humains, et le contenu d’un autre site pour les robots de Google. Et cela sur une seule page du site ! Ça peut tourner pendant des semaines, des mois, sans que personne ne s’en aperçoive !
Pendant ce temps, Google indexe du contenu qui ne vous appartient pas. Votre référencement se dégrade, un autre site le siphonne discrètement.
Qui fait ça, et pourquoi ?
Je vais vous rassurer sur un point : Dans la quasi totalité des cas, personne ne vous vise personnellement.
Ce sont des scripts automatisés qui parcourent le web en permanence. Ils testent des milliers de sites par jour, cherchent des failles connues, dans les vieilles versions généralement. Quand ils trouvent une porte entrouverte, ils entrent, injectent leur code, et passent au suivant.
Il y a quelques années, j’avais mis en place une alerte sonore sur un site, à chaque tentative d’intrusion. J’ai dû la désactiver dans la journée. Je partageais mes bureaux avec une autre entreprise et l’alerte n’arrêtait pas de sonner.
Ce flux est constant.
Ce que les hackers cherchent vraiment
Le but n’est pas de vous nuire ou de réaliser un exploit, mais d’utiliser votre site. Un domaine qui existe depuis plusieurs années, bien référencé, avec des clients qui lui font confiance : c’est une ressource précieuse pour quelqu’un qui veut booster le référencement de son propre site.
Et les conséquences peuvent être lourdes :
- Votre référencement part vers le site du pirate
- L’argent que vous avez investi dans votre référencement s’évapore
- Votre serveur se retrouve à envoyer des milliers de spams à votre insu
- Votre nom de domaine fini par être blacklisté et vos mails sont refusés par les destinataires
Sur un autre site, l’année dernière, le script ne visait pas le référencement. Il s’était caché au fond des fichiers du site et utilisait la fonction mail du serveur pour envoyer du spam discrètement.
Un hack qui m’avait déjà étonné par sa discrétion.
Mon serveur, c’est comme un immeuble
Je gère l’hébergement de la plupart des sites dont je m’occupe, sur un serveur cloud. J’ai l’habitude de le comparer à un immeuble dont je loue les appartements.
Si quelqu’un s’introduit dans un appartement, il peut contaminer l’étage.
Et c’est exactement ce qui m’est arrivé il y a quelques années. Un site qui n’avait pas été mis à jour depuis presque 10 années s’est fait hacké et l’infection s’est propagée à tous les autres sites hébergés sur le même étage. Une journée de crise, des heures de nettoyage et beaucoup de stress évitable. C’est depuis cet événement que j’ai changé de règle :
Mise à jour technique annuelle obligatoire pour tout le monde !
Pas de mise à jour annuelle = pas d’hébergement sur mon serveur. C’est d’ailleurs ainsi que depuis l’année dernière, j’ai intégré une mise à jour technique complète directement dans mes offres d’hébergement. Ce n’est pas une option, c’est une condition.
Un quart d’heure par an, ou une demi-journée de galère
Une mise à jour annuelle sur un site simple, quand elle est faite régulièrement, prend moins d’une demi-heure. Cela comprend la mise à jour technique de WordPress, des plugins, du thème, de l’hébergement. On vérifie que tout est ok, et hop, on est sereins pour une année.
En cas de hack avéré, c’est une journée entière en général, le temps de tout nettoyer, d’identifier ce qui a été touché, s’assurer qu’il n’y a pas de backdoor laissée par le pirate pour revenir plus tard discrètement, et remettre tout en sécurité.
Et encore, c’est si on le détecte rapidement. Si le code malveillant tourne depuis un moment sans qu’on s’en aperçoive, les dégâts peuvent être autrement plus sérieux.
Et puis c’est un peu comme un cambriolage, il y une part de traumatisme psychologique. Quelqu’un est entré. On ne sait pas exactement à quoi il a touché, ce qu’il a vu, s’il a ouvert une porte quelque part pour pouvoir revenir. Ce sentiment est vraiment désagréable.
WordPress est sécurisé, à condition de le maintenir
WordPress en lui-même est un CMS simple, solide et sa communauté est active, réactive. WordPress évolue constamment. C’est le CMS le plus utilisé au monde, très loin devant les autres, plus de 60% des sites utilisant un CMS sont fait avec WordPress !
Je me rappelle il y a quelques années, une faille de sécurité importante, permettant d’accéder à l’administration avait été découverte. Une faille on ne peut plus sérieuse. Elle a été corrigée en un quart d’heure par la communauté. Je n’ai jamais vu ça ailleurs, une communauté aussi réactive et efficace.
Mais les mises à jour n’arrivent pas par magie il faut mettre à jour WordPress. Les failles corrigées par les nouvelles versions sont connues, documentées et exploitée par des ceux qui codent des scripts malveillant avant de les envoyer se balader sur le web à la recherche de site non mis à jour. Que les choses soient claires :
La meilleure façon de garantir la sécurité de votre site sous WordPress est de le maintenir à jour !.
Ensuite les mises à jour sont très fréquentes sous WordPress, il ne s’agit pas de toutes les faire non plus. Côté régularité, disons qu’une mise à jour par an est suffisante pour garantir sa sécurité. C’est pour cela que je l’ai inclus dans mon offre d’hébergement, lors du renouvellement annuel des services web, on fait un mise à jour technique. Comme ça ça se fait sans que personne n’ai à y penser..
Il peut y avoir besoin d’effectuer une mise à jour d’urgence en cas de faille importante découverte, comme celle citée ci-dessus, mais c’est arrivé que 2 fois en 20 ans, alors il n’est pas utile de se stresser pour ça.
Une fois de plus : maintenez votre site techniquement à jour
On est tous d’accord sur le principe, mais concrètement, on a tous des choses plus importantes à faire, et les mois passent..
Je le redis une dernière fois : la meilleurs manière de garantir la sécurité de votre site est de le maintenir à jour !
Pour ma part, je surveille les sites dont je m’occupe et je prends en charge la mise à jour technique annuelle. Mes clients n’ont pas à s’en préoccuper. Je l’ai intégré à mon offre d’hébergement d’ailleurs, ainsi, ça se fait sans que personne n’ai à y penser, et tout le monde peut dormir tranquille !
Si vous gérez votre site vous-même, ou si vous avez un prestataire qui ne vous parle jamais de maintenance : c’est le moment de poser la question. Quand a été faite la dernière mise à jour technique ? Qui surveille si un fichier a été modifié à votre insu ?
Ce n’est pas du jargon technique. C’est juste de l’entretien courant, comme une vidange sur une voiture. Ça prend peu de temps et ça évite bien des mauvaises surprises.
Une question sur la sécurité ou la maintenance de votre site ? Parlons-en.
