Comment se protéger contre le piratage de index.php sur WordPress ?

Le fichier index.php d'un site WordPress contient des fonctions essentielles au fonctionnement du CMS et est donc une cible de choix pour les hackers. Heureusement, il existe des mesures efficaces pour protéger ce fichier et votre site.

Comprendre l'attaque

Pour protéger efficacement votre fichier index.php, il est essentiel de bien comprendre la manière dont il peut être piraté. Les attaques se font généralement selon deux méthodes principales. La première consiste pour le hacker à parvenir à uploader un fichier index.php modifié. Celui-ci contient le code malveillant, généralement du PHP ou du JavaScript. Ce code injecté permet ensuite d'exécuter diverses actions nuisibles comme voler des données d'utilisateurs, injecter du spam, installer des malwares ou détourner une partie du trafic de votre site. La seconde méthode consiste à modifier directement le fichier index.php existant sur votre serveur, à distance et sans intervention de votre part. Le hacker parvient alors à ajouter son code malveillant dans le fichier et à l'exécuter comme précédemment. Vous pouvez lire cet article pour en savoir plus.

En parallèle : Comment bénéficier de la formation WordPress ?

Appliquer les mises à jour

Appliquez immédiatement toutes les mises à jour disponibles pour optimiser la protection de votre site internet. En effet, la plupart des failles de sécurité exploitées par les hackers pour modifier ou injecter du code malveillant dans ce fichier essentiel sont comblées dans les nouvelles versions de WordPress, des thèmes et des plugins que vous utilisez. Les mises à jour permettent donc de corriger un grand nombre de ces vulnérabilités. Elles rendent plus difficile voire impossible l'attaque contre votre index.php. Il est donc vivement recommandé de toujours garder WordPress, vos thèmes et plugins à jour avec les dernières versions disponibles. 

Protéger le fichier index.php

En plus d'appliquer les mises à jour, il est vivement recommandé de prendre des mesures spécifiques pour protéger directement le fichier index.php contre les tentatives d'injection ou de modification malveillante. Vous devez restreindre les droits d'accès au fichier en le configurant en lecture seule (droits 444 ou 440 sous Linux). Ainsi, même si un hacker parvient à uploader une version modifiée, il ne pourra pas la remplacer. Désactivez également l'édition via FTP dans votre interface d'administration WordPress afin d'empêcher toute modification à distance du fichier par ce biais. L'utilisation d'un plugin de sécurité réputé comme Wordfence ou iThemes Security est également recommandée. 

Avez-vous vu cela : Comment exploiter une plateforme efficace pour sa stratégie de netlinking ?

Sauvegarder régulièrement votre site

Outre l'application des mises à jour et la protection renforcée du fichier index.php, l'une des mesures les plus efficaces pour se prémunir contre un piratage consécutif à l'injection de code malveillant dans ce fichier essentiel consiste à effectuer régulièrement des sauvegardes complètes de votre site WordPress. Elles vous éviteront d'avoir à refaire laborieusement des heures de modifications manuelles. Effectuez régulièrement :

  • Une sauvegarde complète de votre base de données MySQL
  • Un archive de tous les fichiers et dossiers de votre site web, y compris évidemment du fichier index.php
  • Une archive de tous vos contenus multimédias (images, vidéos, documents téléchargés)

De telles sauvegardes complètes devraient idéalement être programmées automatiquement au moins une fois par semaine.