WordPress est (toujours) le système de gestion de contenu leader sur Internet, et environ 40 % des sites web sont basés sur ce système, qu'il s'agisse de petits sites web, de sites de vente ou de grands portails de contenu. Son omniprésence en fait une cible privilégiée pour les cyberattaques et le piratage. Les pirates profitent du fait que les propriétaires de sites web ne respectent pas les règles de sécurité de base de WordPress et ne choisissent pas un hébergement web sécurisé et de haute qualité.
Ces derniers jours, de nombreux sites WordPress à travers le monde ont été piratés. Le piratage en question utilisait l'injection de code JavaScript pour rediriger les utilisateurs vers des sites frauduleux ou des sites distribuant des codes malveillants, dans le but de générer du trafic artificiel et de promouvoir de faux sites web.
Des fichiers tels que jquery.min.js et jquery-migrate.min.js ont été injectés avec un code crypté qui s'activait à chaque fois qu'une page du site était chargée, permettant aux attaquants de créer des redirections vers des sites malveillants. Dans certains cas, les utilisateurs étaient redirigés vers une page d'accueil avec un CAPTCHA qui, lorsqu'on cliquait dessus, faisait apparaître des publicités sur l'ordinateur, donnant l'impression qu'elles provenaient du système d'exploitation plutôt que du navigateur.
Les pirates ont exploité les vulnérabilités des plugins et des modèles obsolètes sur les sites WordPress, infectant ainsi des milliers de sites web.
Pour renforcer la sécurité de votre site WordPress, veillez à mettre à jour le système dès qu'une mise à jour est disponible, ainsi que les plugins et les modèles. Si vous disposez d'anciens plugins qui n'ont pas été mis à jour depuis plus d'un an, il est recommandé de les supprimer et de choisir un autre plugin (ou de vous passer complètement du plugin). En outre, il est très important de choisir un service d'hébergement web qui met l'accent sur la sécurité, car il s'agit de votre première ligne de défense. Un hébergement web sécurisé surveille les sites web sur ses serveurs à l'aide d'outils avancés qui ne sont pas accessibles aux propriétaires de sites web ordinaires, empêche les attaques, effectue des sauvegardes et nettoie les virus avant qu'ils n'infectent votre site web WordPress.