SEO et sécurité d’un site
On ne le répétera jamais assez, si vous utilisez un CMS ou un script de forum, de boutique en ligne ou de je ne sais quoi encore, faites des mises à jour de votre code dès qu’une nouvelle version sort. Si vous ne le faites pas, cela peut avoir un impact sur votre référencement. Mais parfois, en voulant trop bien faire, on ouvre parfois les portes aux spammeurs avides de liens.. Petit tour d’horizon de ce que j’ai retenu de ma semaine sur ce thème de la sécurité des sites web.
Pourquoi faire des mises à jour de ses scripts ?
Un script non mis à jour peut comporter des failles de sécurité importantes. Et cela peut parfois aller très loin. En effet certaines failles peuvent permettre aux spammeurs de prendre le contrôle de certains éléments ou pages de votre site et d’y poser des liens peu flatteurs pour votre image, comme par exemple ces pubs envahissantes pour les petites pilules bleues miraculeuses…
Quand nous avions rencontré Matt Cutts à Paris, il nous avait dit que chaque jour un nombre incroyable de blogs sous WordPress se faisaient hacker car ils n’étaient pas à jour. Je ne me souviens plus du chiffre (et s’il nous en avait donné un) mais j’avais bien retenu ce point. D’ailleurs les black hat Seo le savent bien, poser un commentaire sur un blog WordPress non modéré et abandonné c’est facile. Prendre le contrôle d’un blog non mis à jour ce n’est pas si difficile. Dans les cas extrêmes de hack, vous risquez même de voir vos fichiers purement et simplement supprimés et perdre par la suite, tout votre référencement. Bref, il ne faut pas plaisanter avec la sécurité.
Spip et la mise à jour 2.1.8
Spip est certainement mon CMS préféré avec Thelia. La raison est simple : pas besoin d’être une chevronnée de la programmation pour utiliser ces 2 scripts. Ils fonctionnent avec des « boucles » et outre la simplicité de prise en main, la souplesse offerte est très agréable. Dernier point et pas des moindres, l’optimisation pour le référencement est ultra facile et malléable selon ses besoins.
Il y a 2 jours j’ai vu passer une alerte de mise à jour pour Spip. Cette mise à jour corrige une faille critique très importante et qui touche tous les sites sous Spip, quels que soient leurs réglages. Donc si vous avez des sites sous Spip, passez vite en 2.1.8, moi c’est fait 🙂
Combien de sites sous Spip ne vont pas être mis à jour et vont ainsi être vulnérables aux attaques? Il est dit sur le site officiel que cette faille peut permettre la destruction du site et de sa base de données, ce qui peut entraîner une perte de référencement irréversible. Alors si vous avez un site sous Spip bien positionné, vous risquez gros, de là à parler Negative SEO, il n’y a qu’un pas…
phpBB et le captcha d’inscription
J’ai depuis très longtemps un gros forum dédié aux parents d’enfant précoce. Il tourne sous le script phpBB. J’ai récemment eu une grosse vague de spam, difficile à endiguer et si du côté phpBB je suis à jour, c’est bien du côté de la mise à jour de Xrumer qu’il a suffit de se pencher pour comprendre la cause du problème (enfin, vu de mon côté).
En effet, la hausse de spam sur mon forum coïncide avec la nouvelle version de Xrumer. Pas besoin d’être devin pour comprendre que le spam vient de ce logiciel ultra puissant, capable de passer les captchas les plus difficiles. Du coup il n’est pas utile de se pencher sur les mods de protection anti-spam par captcha pour se débarrasser des spammeurs chimiques. La solution est finalement plus simple : imposer un champ totalement nouveau lors du processus d’inscription, où il faut que l’internaute entre un certain nombre de caractères alphanumériques par exemple.
Bonne nouvelle avec phpBB c’est hyper simple à mettre en place. Dans l’administration, on va dans l’onglet « Utilisateurs et groupes« , « Champs de profil personnalisés » et on crée un nouveau champ, non affiché dans le profil mais obligatoire à l’enregistrement. Les robots ne savent pas recopier un mot ou une réponse simple. Depuis la mise en place de ce système, je n’ai plus de spam sur mon forum (jusqu’à la prochaine fois on va dire).
Cette fois la mise à jour de mon script n’est pas en cause, c’est la mise à jour d’un logiciel de spam qui l’est :D. Mais quelles peuvent être les conséquences pour mon forum de laisser ces spams sur mon forum et ces faux membres possédant un lien spammy dans leur profil? On peut tout simplement perdre des places dans Google, subir une baisse de PR et / ou se prendre une pénalité, pour excès de liens sortants vers des sites douteux par exemple… sans parler de la fuite de vos visiteurs excédés par ces messages bidons postés sur le forum. Donc faites gaffe, même si cela ne consiste qu’en des inscriptions de nouveaux membres avec signature et liens de profils..
WordPress et ses thèmes gratuits
Parfois le mieux est l’ennemi du bien. J’avoue avoir du mal à comprendre ceux ou celles qui changent leur thème WordPress comme de chemise. A chaque fois je me dis que l’impact SEO peut être important et négatif et que c’est un risque à chaque changement. Au final, changer de thème gratuit peut finalement être un risque, mais pas pour les raisons auxquelles j’avais pensé au début.
Dans ce post, Siobhan Ambrose a testé les 10 premiers sites présents sur la requête « free wordpress themes » en téléchargeant aléatoirement des thèmes et en le testant avec le plugin Theme Authenticity Checker. Sur les 10 thèmes testés, 8 contenaient du code encodé en base64, qui très souvent contenait des liens cachés ou du code suspicieux, pouvant par exemple télécharger des codes sur un serveur distant. Bref, pour un spammeur, releaser un thème wordpress en y collant du code en base64 qui lui permet de poser des liens pas très propres, c’est finalement pas si difficile. Je vous recommande ainsi la plus grande prudence avec tous les thèmes wordpress gratuits trouvés sur le net 😉
J’ai testé mes templates et ouf!, aucun ne possède de code en base 64 qui pourrait me faire faire des liens vers Google ou Wikipedia, l’honneur est sauf 😀
En conclusion
Prudence est le maître mot. Je ne saurai trop recommander que de faire appel à ses spécialistes pour s’assurer que son site est bien sécurisé (comme par exemple Securi Toile). C’est d’autant plus vrai que cela n’arrive pas qu’aux autres.
ps : J’ai commencé à rédiger ce post samedi, dans le but de le programmer pour dimanche. Mais en raison d’une panne électrique samedi soir et d’un dimanche passé sur l’eau, je n’ai pas pu le terminer. Et cela m’aura permis de vérifier que l’impact de la sécurité est sensible en terme de référencement car un de mes clients a subi une injection SQL ce WE et nous n’avons eu comme seule possibilité pour faire disparaitre quelques résultats dans Google, de demander la suppression d’une page de l’index.. ce que nous n’aurions jamais fait en temps normal ! Et étant donné que c’était une page produit bien positionnée, je suppose qu’il y aura quelques petites conséquences…
Hervé
Voilà un bel article qui nous rappelle que la sécurité est trop souvent mésestimée.
Habitué à rédiger des articles sur les sites de communiqués de presse sous WP, je ne compte plus le nombre de fois ou, quand je me suis connecté à l’admin, un message d’alerte indiquant une mise à jour à effectuer s’affichait.
Sympa l’asctuce pour phpBB 😉
J’espère que ton article fera réagir les webmasters quant à l’utilité d’avoir son script à jour.
christophe
Très instructive la partie avec les captchas et le nouveau logiciel de spamming! Comptes-tu faire un test de ce dernier?
Sinon, je suis surpris de ne pas avoir vu le mot « backup »! Car on évite de très nombreux ennuis en faisant ce dernier régulièrement…
Marie
@Christophe, tu as raison, un backup est indispensable. J’ai omis de le préciser, merci pour la piqure de rappel ! (sinon non je ne vais pas tester Xrumer 😉 )
@Vincent : le hack client de ce WE a eu lieu sur un script maison :/
@Phil : jamais vous ne laisser des trucs qui pourraient cause des failles de sécurité ? Si c’est le cas, bravo !
@Philippe : oui j’ai honte, surtout que je me suis déjà fait hacker un WP pour la raison que tu évoques, dès que j’ai fini de répondre aux commentaires je vais remédier à cela 😉
@Alban : je ne vends pas de site, je ne saurai donc te répondre
@Sylvain : il doit falloir pas mal de temps pour gérer tout ça effectivement …
@Actupro : pour moi Joomla c’est limite un gros mot tellement je ne l’aime pas 😀
@Loiseau2nuit : faudra que tu me files un tuto pour une MAJ en 5 minutes de spip alors 😀 Pas que ça prenne vraiment du temps mais ta méthode semble plus rapide que la mienne 😉
@Jasmine : backup et mise à jour, pas de plugin non testé ou de thème non vérifié, voilà la clef de la sécurité 😉
@Laurent : je vais corriger cette coquille, merci !
@Crajkaro : la seule attaque que je connaisse sur la côte d’azur a lieu à partir du mois de juillet. On les appelle « les touristes » 😀
@Le Juge : je suis une psychoteuse professionnelle, désolée si c’est contagieux !
@Pierre : j’ai aussi des thèmes non utilisés qui sont vérolés …
@Florent : oui, le plugin TAC est vraiment très pratique, je l’ai installé sur tous mes blogs !
Vincent
En effet, c’est un des arguments les plus évoqués par les prestataires web lorsqu’on demande la différence entre une solution crée en interne et un CMS : la sécurité et les failles rapidement connues.
Par contre petit bémol : la mise à jour de sécurité entraine souvent une incompatibilité avec les plugins installés précédemment et/ou les plugins créés pour passer du CMS à une solution sur mesure.
Et pour les thèmes wordpress, il ne faut pas en changer comme de chemise, mais quand on pense que cela apporte un réél confort à l’utilisateur !
Phil
Les CMS présentent bien souvent de grosses failles de sécurité, en témoigne le derniers test « thèmes WoprdPress gratuits / 10 premières requêtes Google ».
De facto, nous réalisons uniquement des sites administrables sur-mesure et développons des modules PHP/MySQl clé-en-main.
Certes, les budgets sont plus importants (et encore…), mais les bénéfices en termes d’ergonomie et de sécurité sont au final bien plus importants.
Christophe BENOIT
Le CMS Joomla m’a causé pas mal de problèmes : en fait, tous les sites Joomla sur lequel je suis intervenu (et qui n’ont pas été mis en place par mes soins) se sont fait piraté. La faute à des extensions mal codées et pleines de trous de sécurité.
Philippe
Attention : je vais être taquin ;-p
Comment reconnaît-on les blogs des experts SEO ? Ils utilisent WP sans vraiment le maîtriser, et ils signent leurs articles du même nom : « admin ».
Blague à part, la sécurité d’un site est une nécessité du SEO qui est trop souvent négligée.
Le problème de ces CMS c’est qu’ils sont pratiquement incontrôlables.
WP c’est + de 200 000 lignes des codes…
après ce sont les plugins, les addons, les templates…
bref, de vrais nids à spams et des trous dans tous les coins qui sont souvent de la responsabilité des webmestres qui installent n’importe quoi.
Alban p.
Comment procédez vous avec vos clients ? Un abonnement annuel pour les MAJ de sécurité, ou bien du ponctuel (envoi d’un mail avec coût de la MAJ? et si le client ne souhaite pas procéder à la MAJ ?)
@christophe (blog faire part) Xrumer en est à sa version 7, ce n’est donc pas nouveau, disons qu’il s’est démocratisé ces 2 dernières années.
Gwa
Je confirme Eric est très bon.
Un des avantages de spip sur WordPress est qu’il est moins connu, donc moi ns utilisé et de ce fait moins hacké.
Elyes
J’ignorais que ça pouvais aller aussi loin. Je me rends donc compte de l’importance d’un CMS mis à jour aussi pour les failles de sécurité que pour son référencement qui peut être bousillé en quelques secondes. Merci à toi pour ces conseils.
Aurélien
Je ne pensais pas qu’il existait un risque de sécurité si important à la non mise à jour fréquente des CMS, je suis assez bluffé sur ce point. Merci beaucoup pour tous ces conseils, je serais bien plus vigilant désormais !
Sylvain
Très très bon ce rappel. J’avais lu l’article de Siobhan et m’étais d’ailleurs empressé de l’envoyer à l’un de mes clients qui adore jouer avec les thèmes.
Ceci soulève d’ailleurs le point de la maintenance d’une base wordpress pour un client.
On voit souvent des offres à 200 euros pour installer le tout. Quid le la sécurité la dedans ? Rien, nada, whalou. Et après, les propriétaires s’étonnent d’avoir des problèmes.
De notre coté, on n’installe que des thèmes vérifiés, mais rien que ça, c’est très consommateur de temps. On assure aussi le suivi annuel pour les mises à jour. Mais bien sûr, ce n’est pas pour 200 euros… Cella dépend du thème, des plugins, etc.
Sachant qu’on sauvegarde tout avant d’effectuer chaque mise à jour. On ne compte plus ceux qui ont tout perdu sur une MAJ ratée.
Lionel
Bonjour Marie,
Ce billet est très intéressant mais je doute qu’il existe des solutions sans faille. Ceci étant, tu as bien raison de signaler l’importance des mises à jour. Les basiques doivent être respectés.
amicalement
actupro
La seule fois ou je me suis fait pirater c’est à cause d’un vieux phpMyvisites oublié dans un coin. Au programme : génération massive de liens douteux dans certains articles et pénalisation par google. Retour à la normal côté google au bout de 3 mois. Heureusement c’était un site perso.
Sinon je n’utilise aucun des grands CMS connus mais plutot yacs.fr que je trouve encore plus simple que spip ou joomla (mais Marie le sait déjà ). A ce jour uniquement 2 failles répertoriées et corrigées en moins de 24h.
Sebastien
C’est toujours bien de rappeler d’être prudent. Après, je pense qu’il ne faut pas être parano et chercher à faire un site quasi impossible à hacker. Comme on dit, les vigiles ne servent pas à empêcher les vols, mais à convaincre les voleurs qu’il est plus simple de voler chez le concurrent…
jeremybroutin
Merci pour ce billet sur un point non négligeable 🙂
Pour wordpress, on m’a très souvent répété de me méfier des innombrables plugins et de ne se fier qu’à ceux déjà testés par d’autres bloggeurs compétents.
Loiseau2nuit
Je vois d’ici les mauvaises langues nous cracher dessus et pourtant… Sachez que SPIP offre une fonctionalités que peu de gens connaissent ou veulent apprendre par peur du complexe, c’est la mise à jour simplifiée (et automatisable !)
En effet, comme tout bon CMS devrait l’être, SPIP est développé par l’intermédiaire d’un serveur gestionnaire de version. Ici c’est du subversion.
Ce que ca implique ? c’est que SPIP et ses plugins sont très facilement récupérables en une seule ligne de commande sur votre serveur et que les mises à jour en sont d’autant simplifiées.
Perso à la sortie de la 2.1.8 j’avais 9 sites à mettre à jour, ca m’a pris 5 minutes, le plus long étant de se connecter en SSH sur la machine qui les hébergeait. Le pire dans tout ça est que si demain je le veux, tous mes sites se mettront tout seul à jour par le biais d’une tâche CRON (les admins sys connaissent bien 😀 )
Et curieusement PAS UN SEUL de mes sites n’a souffert de cette mise à jour (ni aucune des précédentes d’ailleurs) alors que chez WP une upgrade majeur provoque trop souvent un flot de tweets rageurs … Moi je dis ça je dis rien hein 😉
Jasmine
Bonjour, il est super cet article, en plus je parlais des mises à jour pas plus tard qu’hier avec une connaissance. Mon blog est sous WP et il a déjà été victime d’un virus qui s’est infiltré, c’était affreux 🙁
Nicolas
Je pense faire partit de ces gens qui ne font pas très attention à cela…
Pour le moment cela ne m’a pas trop porté préjudice mais ça pourrait…
bref, merci pour cette piqûre de rappel, mon WP va passer en dernière version 🙂
Laurent
Merci tout particulièrement pour l’info sur les thèmes WP gratuits… Je n’utilise que ça et n’avais jamais pensé à vérifier, je le fais dès ce soir !
J’en profite pour signaler une petite coquille :
« Au final, changer de thème gratuit peut finalement être un risque, mais par pour les raisons auxquelles j’avais pensé au début. »
CrajKaro
Ouf Marie, j’ai cru que tu avais rédigé ce post car il se murmurait déjà sur la c^^ote d’azur qu’on venait de subir notre seconde attaque hier soir 🙁
le Juge
Arf encore un article qui va me faire flipper, va falloir que je checke les codes de mon theme WP ainsi que 2 ou 3 autres histoire de pas faire de grosses betises… pfff du travail en plus tout ca!
Pierre
Une piqure de rappel qui ne fait pas de mal, j’ai vérifié des thèmes que j’avais installés mais pas utilisés avec TAC et les 3/4 ont des codes cachés 🙁
Sinon pareil pour phpBB, attaque en masse derrière proxy(tor pour la plus part) mais ils essayent de se connecter à tous les utilisateurs de mon forum.
Florent
Merci beaucoup pour « Theme Authenticity Checker » que je ne connaissais pas. Ca m’a permis de voir que le thème (gratuit of course) que j’utilise pour un blog perso était pourri jusqu’à l’os… Heureusement que mon blog pro en utilise un qui tient la route.
En tout cas, c’est une très bonne idée d’article, car là, ça touche vraiment tous les lecteurs de ton blogs…
Fred
J’ai rencontré ce problème également sur un forum phpbb, je me suis pris en quelques heures une vague massive de 2000 inscriptions de petites pilules bleues et autres. J’ai du changer mon système de captcha. Désormais je suis très vigilant sur les maj.
Mattt
Effectivement, changer de theme worpress tous les 4 matins n’est pas bon pour le référencement. Et pour peu que le systeme des urls soit mal géré dans les template, c’est la cata !
Philippe
Merci pour ce rappelle à la prudence et surtout avec les thèmes gratuits de wordpress
CrajKaro
Je fais aussi un post it sur la sécurité de votre PC 😉
Vient de subir une attaque à mes dépend car mon logiciel FTP était trop vieux …
Donc,il faut sécuriser son site, mais également son ordi perso et logiciels liés !
Valentin
Hey !
En effet, WordPress est largement utilisé, d’où les attaques. Mais n’oublions pas qu’il existe de nombreux plugins pour aider à la sécurité. Tout le monde n’est pas expert en sécurité, programmation etc. et ne peut donc modifier ses propres fichiers.
Sur le blog, et en partenariat avec mon ami de BoiteaWeb, nous essayons de présenter des extensions sécurisé et pour cela nous avons lancé le centre de Sécurité WordPress qui liste les extensions (uniquement celles présentées) valides ou non. (geekeries.fr/securite)
J’ai également présenté une liste des 11 solutions possibles pour se protéger du spam sur WordPress )
Si vous souhaitez essayer quelque chose de fonctionnel pour sécuriser votre blog, vous pouvez utiliser l’extension « Better WP Security » (dossier disponible sur le blog) qui est l’une des meilleurs extensions de sécurisation, puisqu’elle prévient des attaques d’injection SQL et autre.
Steph
Article très intéressant qui va finir de me convaincre de mettre à jour tous mes sites tournant sous WordPress et d’essayer de l’utiliser le moins possible à l’avenir. Lorsqu’on programme un petit peu il est facile de se faire son propre CMS sachant que la plupart du temps on utilise tellement peu de fonctionnalités de ces CMS très puissant.
Elénore Lefevre
J’ai 2 questions. Qu’est-ce qu’est une injection SQL? 😀 Et comment les spams peut affecter la sécurité d’un site web? Merci!
benoit
Autre éléments importants, essayer autant que possible d’enlever les diverses « footprints » des CMS histoire de ne pas être répéré trop facilement !
Blog Mode Eva Koshka
voilà le problème de l’open source… malgré tous ses avantages, il facilite le travail des hackers de tout poil 🙂
jringard
Salut Marie,
Comment faire pour verifier le thème avec du code encodé en base64?
Merci
Consultant expert en sécurité web
Bravo marie,
J’ajouterais que même à jour, vous n’êtes pas à l’abri d’un piratage.
Il peut y avoir des failles dans des éléments tels que des composants, des plugins ou modules de l’application que vous utilisez comme par exemple wordpress, spip, joomla ou des bouts de codes que vous avez modifié.
Les applications développées maison sont aussi concernées par ces problèmes de sécurité, qui ne l’oublions pas sont avant tout des bugs créés par l’humain.
Merci l’humain.
Marie
@Jringard : si tu détectes du code en base64 sur ton blog avec le plugin TAC dont on a parlé plus haut, regarde la fin du post http://wpmu.org/why-you-should-never-search-for-free-wordpress-themes-in-google-or-anywhere-else/ pour savoir comment le décoder 😉
Damien
Merci pour cet article fort intéressant.
Moi qui prend rarement des clients, je n’avais pas pensé à cet aspect de mise à jour.
En effet, je développe souvent mes solutions personnelles, mes propres scripts.
Comment faites-vous quand vous installez un wordpress ? Vous faites un forfait de mise à jour ?
Je ne suis pas convaincu de la baisse de trafic et de positionnement avec un changement de thème. Si la structure reste la même, pourquoi le site devrait-il chuter ?
J’ai récemment effectué un changement complet de mon design, résultat : que du positif !
yoann
@Damien : suivant la manière dont est codé le thème, les différents éléments (contenus, menus, etc) n’apparaissent pas au même endroit dans le code.
C’est cette différence de positions des éléments qui peut plomber un réf ou au contraire aider à remonter…
Maximilien
Je ne pensais pas que l’oubli de mises à jour de son thèmes et plugins pouvaient poser autant de problèmes… pour les thèmes gratuits, est il si risqué d’en utiliser ? Même pour des thèmes gratuits réalisés par des professionnels tels que Woothemes ?
Maxime
Ah !! j’avais JAMAIS pensé aux backdoors dans les templates wordpress !!!
C’est pourtant évident, mais j’ai même pas percuté.
Du coup j’ai foncé regarder mon code.. Ils sont fourbes ces pirates !
Blog Mode Eva Koshka
C’est moi ou il y a eu une grosses attaques de hackers sur des sites créés sous wordpress ces dernieres semaines?
John
Merci pour l’article, j’avoue n’avoir jamais pensé au code d’un template… Il vaut mieux être prudent.
J’ai encore jamais testé SPIP il va falloir que je regarde ça de plus près, trop fidèle à joomla et wordpress…
Vinalys
Je ne connaissais pas Theme Authenticity Checker et j’ai été sidéré de voir que mon thème comportait du code encodé en base 64!! Merci de me l’avoir fait découvrir, je fais le ménage dans mes thèmes illico…
Pop top addict
@ Vinalys : +1 ! Vraiment top cet outl
sci
Bonjour,
Qui aurait un conseil pour passer d’un site SPIP 1.9.2 à 2.1.8.
Faut-il utiliser des mises à jour successives ?
Antoine
Salut,
très intéressant cet article, et pour en remettre une couche j’ajouterai qu’aucun système n’est infaillible ni un CMS ni une solution propre. C’est pourquoi beaucoup d’agences se tournent vers les cms qui sont beaucoup plus rentable.
A lire chez Antoine@Matériel élagage – > Que faire dans son jardin en septembre