Jusqu’à maintenant votre site fonctionnait très bien, sans problème, mais d’un coup, celui-ci se met à afficher des publicités à vos visiteurs. Vous n’avez pas de contrat avec une régie de publicité, vous souhaitiez proposer à vos visiteurs un site sans publicité et donc vous n’avez pas sollicité ce type d’affichage sur votre site web
D'où proviennent ces publicités ?
Il y a deux grandes hypothèses pouvant expliquer l’apparition de ces publicités.
La première est l’installation d’un thème ou d’un plugin infecté. Selon où vous ou votre développeur web va chercher ses plugins et thèmes, il se peut qu’une source contienne du code pouvant provoquer l’affichage de publicités sur votre site web.
Une intrusion dans votre site web, par une faille de sécurité ou un mauvais paramétrage de la sécurité de votre site : plusieurs « portes d’entrées » existent pour accéder à un site web si celui-ci n’est pas suffisamment sécurisé.
Que faire pour résoudre ce problème ?
Dans le premier cas, celui où vous ou quelqu’un d’autre aurait, nous l’espérons, involontairement, introduit sur votre site un thème ou un plugin infecté, le plus efficace est de restaurer une sauvegarde complète antérieure de votre site. Cela permettra d’effacer directement les fichiers et données de base utilisés malhonnêtement.
Si vous ne souhaitez pas restaurer votre site, ou si vous ne disposez pas d’une sauvegarde (ou trop ancienne), il existe également la possibilité de « nettoyer » votre site web : supprimer (par FTP(s) notamment) le plugin ou le thème infecté, identifier des éléments de base de données à supprimer… mais attention, nous déconseillons cette méthode (sauf s’il n’y a pas le choix) : il est en effet difficile et long de s’assurer d’avoir bien supprimé toute trace d’éléments indésirables dans votre site web. Nous vous recommandons de contacter un expert pour ce type d’action qui, en plus, pourra vous proposer un audit de votre site web pour en identifier les potentielles failles.
Rappel : il est important d’aller chercher et télécharger chaque élément de son site web depuis des sources fiables, légales, contrôlées et reconnues : le site web officiel pour télécharger WordPress https://wordpress.org/download/, les dépôts officiels des thèmes https://wordpress.org/themes/ et des plugins https://wordpress.org/plugins/.
Dans le second cas, il faut à la fois réaliser l’opération proposé dans le premier cas : restaurer son site web, mais il vous faudra surtout et impérativement trouver l’origine de la faille qui a permis à ces publicités de s’installer.
Voici quelques pistes à explorer ou à sécuriser :
- Avoir un hébergement sécurisé : si vous décidez de confier votre hébergement à un prestataire, assurez-vous qu’il soit qualifié pour répondre à toutes les contraintes de sécurité dont doit disposer un hébergement. Il faudra qu’il s’assure que toutes les mesures ont été prises et que le serveur soit toujours à jour. Idem pour la base de données : les accès doivent être finement réglés pour ne pas prendre le risque d’un accès non autorisé avec des conséquences parfois dramatiques (vol de données, destruction de base…)
- Être à jour au niveau de WordPress : comme votre hébergement, votre installation de WordPress doit être à jour, ainsi que ses différents plugins et thèmes
- Contrôler les accès : limiter le nombre de comptes utilisateurs et n’accorder que les droits nécessaires, vérifier que vos mots de passes ne soient pas trop simples et si besoin changez-les
- Avoir une stratégie de sauvegarde robuste : plusieurs sauvegardes sont recommandées
- Contrôler l’origine des éléments de votre site : vous avez peut-être gardé en favoris sur quel site vous avez téléchargé tel plugin ou tel thème… vous pourriez alors tomber sur l’origine de votre problème. N’hésitez pas, si vous le pouvez, à contrôler le code ou à faire appel sur les forums WordPress à des experts qui pourront vous donner leur avis sur un plugin ou un thème particulier. Privilégiez les éléments bien notés (avec de vrais avis), téléchargés beaucoup de fois et qui sont régulièrement mis à jour.
- Analyser son ordinateur : vous pouvez avoir toute la sécurité nécessaire sur votre site web, si votre ordinateur est infecté par un virus, vous pouvez donner l’accès à l’administration de votre site web sans même vous en rendre compte
- Au niveau de votre hébergement, faire un inventaire des services activés et leur utilité : utilisez-vous FTP au lieu d’SFTP ? Est-ce une bonne idée d’ouvrir l’accès à une session en SSH ?…
- Observer le bon réglage des autorisations des dossiers de votre site web : WordPress doit pouvoir lire et écrire dans des dossiers de votre serveur, mais il est dangereux d’accorder trop d’autorisations. Si vous avez un problème entre WordPress et l’accès lecture / écriture d’un dossier, renseignez-vous avant pour donner LA bonne permission, sans l’ouvrir trop large ou à tout le monde
- Sécuriser les fichiers et dossiers sensibles de WordPress : wp-admin, wp-includes, wp-config.php. De nombreux tutoriels existent pour vous aider à faire cela.
- Augmenter la sécurisation de votre WordPress : en interdisant la modification de fichiers, en changeant l’accès à l’administration et en personnalisant le nom du compte administrateur, en installant un plugin reconnu de sécurité pour vous aider dans ces paramétrages…
- Construire une stratégie de journalisation des événements : afin de savoir ce qu’il se passe sur votre serveur ou votre WordPress : accès non autorisé, savoir qui s’est connecté, quand…
- Contrôler régulièrement la bonne santé de son installation WordPress : serveur à jour ? WordPress à jour ? Plugin et thème à jour ? Aucun élément ajouté « silencieusement » depuis le dernier contrôle ? Sauvegardes et contrôles d’intégrité de celles-ci ? Dossiers, fichiers et base de données sans élément indésirables ? Analyse des logs ? … il convient de faire une checklist complète à réutiliser régulièrement.
Si vous constatez un manque à propos de l’un de ces points, il vous faudra prendre les mesures adéquates pour ne pas de nouveau risquer de rencontrer des problèmes.