Le Tabnabbing dans WordPress : Comprendre et se protéger

Salut à toi, gardien du web ! 🦸‍♂️🦸‍♀️ Aujourd’hui, nous allons parler d’un ennemi sournois appelé le tabnabbing. Qu’est-ce que c’est ça ? Bouge pas je vais t’expliquer et te guider étape par étape pour comprendre ce qu’est le tabnabbing et comment protéger efficacement ton site WordPress. Avec mes conseils, tu pourras sécuriser ton site et améliorer son référencement sur Google.

Sommaire
[xt design web] tabnabbing wordpress

Qu'est-ce que le Tabnabbing ?

Le tabnabbing est une technique de phishing où un hacker modifie le contenu d’un onglet ouvert pour t’inciter à divulguer tes informations personnelles. En gros, l’onglet se transforme en faux site pendant que tu as le regard ailleurs. Mais ne t’inquiète pas, voici comment le repérer et l’arrêter.

Étape 1 : Utilise le HTTPS

Pourquoi ?

Le HTTPS crypte les données échangées entre ton site et les utilisateurs, rendant plus difficile l’interception des informations.

Comment faire ?

  • Obtiens un certificat SSL : De nombreux hébergeurs comme o2switch offrent des certificats SSL gratuits via Let’s Encrypt.
  • Modifie le fichier wp-config.php
    1. Connecte-toi à ton serveur via FTP (FileZilla) ou le gestionnaire de fichiers de ton hébergeur.
    2. Ouvre le fichier wp-config.php situé à la racine de ton installation WordPress.
    3. Ajoute les lignes suivantes avant la ligne /* That’s all, stop editing! Happy publishing. */ :
            /** FORCE L ADMINISTRATION EN HPPS **/

define('FORCE_SSL_ADMIN', true);

if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false)
    $_SERVER['HTTPS']='on';

        
  • Modifie les URL dans le tableau de bord WordPress
    1. Connecte-toi à tontableau de bord WordPress.
    2. Va dans Réglages > Général.
    3. Change les URL WordPress et Site en remplaçant http:// par https://.
  • Redirige le trafic HTTP vers HTTPS
    1. Ouvre ou crée un fichier .htaccess à la racine de ton installation WordPress.
    2. Ajoute le code suivant pour rediriger tout le trafic HTTP vers HTTPS :
            <IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.votredomaine.com/$1 [R,L]
</IfModule>

        

Remplace www.votredomaine.com par ton propre nom de domaine.

  • Met à jour les liens internes
  1. Utilisez un outil de recherche et de remplacement dans la base de données pour changer tous les liens internes de http:// à https://.
    • Tu peux utiliser un plugin tel que Better Search Replace ou effectuer cette opération.
  • Vérifie la configuration
    1. Vérifie que toutes les pages de ton site utilisent bien le protocole HTTPS.
    2. Teste ton site avec un outil comme Why No Padlock pour t’assurer qu’il n’y a pas de contenu mixte (HTTP sur HTTPS).

Maintenant, passons à la mise en place de boucliers de sécurité sur ton site. 🔒 

Hébergez votre site chez o2switch

Faites comme XT DESIGN WEB, choisissez o2switch. Un hébergeur engagé écologiquement avec ~94 % d’énergie décarbonée. Des performances au rendez-vous et un support exceptionnel.

Ton code promo de 15% de remise sur la première année d’abonnement de l’offre unique, ici 👉

Visuels o2switch badge mascotte

Étape 2 : Mettre en place des en-têtes de sécurité

Pourquoi ?

Les en-têtes de sécurité ajoutent une couche de protection en contrôlant ce que le navigateur peut charger.

Comment faire ?

Les en-têtes de sécurité ajoutent une couche de protection en contrôlant ce que le navigateur peut charger.

  • Content-Security-Policy (CSP) :
    1. Ajoute ce code dans le fichier .htaccess de ton site :
            <IfModule mod_headers.c>
  Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://trustedscripts.example.com; object-src 'none';"
</IfModule>

        

Modifie selon les besoins spécifiques de ton site. 

  • X-Frame-Options :
    1. Ajoute ceci dans .htaccess pour empêcher ton site d’être chargé dans un iframe :
            <IfModule mod_headers.c>
  Header always set X-Frame-Options "SAMEORIGIN"
</IfModule>

        
  • X-Content-Type-Options :
    1. Ajoute ceci pour empêcher le navigateur de deviner le type de contenu :
            <IfModule mod_headers.c>
  Header set X-Content-Type-Options "nosniff"
</IfModule>

        

Prochaine étape : installer des détecteurs de scripts. 🛡️

[xt design web] tabnabbing hackers

Étape 3 : Validation et filtrage des données

Pourquoi ?

Filtrer et valider les données soumises par les utilisateurs permet de bloquer les tentatives d’injection de scripts frauduleux.

Comment faire ?

  1. Installe un plugin de sécurité :
    • Wordfence Security :
      • Va dans Plugins > Ajouter un nouveau.
      • Recherche Wordfence Security, installe et active le plugin.
      • Configure-le pour scanner régulièrement ton site et bloquer les menaces.
  2. Configurer le plugin :
    • Dans le tableau de bord de Wordfence, active le pare-feu et les options de scan avancées.

Bien joué ! Maintenant, assurons-nous que ton site est toujours à jour. 💾

Étape 4 : Mettre à jour et sécuriser les plugins et thèmes

Pourquoi ?

Les mises à jour corrigent souvent des failles de sécurité.

Comment faire ?

  1. Vérifie les mises à jour :
    • o Va dans ton Tableau de bord > Mises à jour.
    • o Mets à jour tous les plugins et thèmes WordPress à la dernière version.
  2. Active les mises à jour automatiques :
    • o Pour les plugins, va dans Plugins > Tous les plugins.
    • o Clique sur Activer les mises à jour automatiques pour chaque plugin.

Il est temps de sensibiliser tes utilisateurs aux risques de sécurité. 🛠️

Besoin d'une assistance WordPress ?

Étape 5 : Sensibiliser les utilisateurs

Pourquoi ?

Informer tes utilisateurs des risques les aide à être vigilants et à éviter les pièges. Cela s’appelle de la réassurance et rassure tes visiteurs.

Comment faire ?

  1. Ajouter une page de sensibilisation :
    • Crée une nouvelle page dans WordPress intitulée Sécurité en Ligne.
    • Ajoute du contenu expliquant les risques du tabnabbing et comment vérifier les URL avant de saisir des informations sensibles.
  2. Tu peux envoyer des newsletters de sécurité :
    • Utilise un plugin comme MailPoet pour envoyer régulièrement des conseils de sécurité à tes visiteurs.

Bravo, super-héros ! Voici quelques plugins supplémentaires pour t’aider dans ta mission. 📬

Plugins recommandés pour renforcer la sécurité de WordPress

  • SolidWP : Propose de nombreuses façons de sécuriser ton site contre les menaces courantes.
  • Wordfence Security : Offre un pare-feu, un scanner de malwares et des outils de protection contre les attaques.
  • Sucuri Security : Fournit une surveillance de la sécurité, une vérification des malwares et une protection contre les attaques DDoS.

En conclusion

  • Le Tabnabbing est une technique de phishing utilisant les onglets du navigateur.
  • Utiliser HTTPS et configurer des en-têtes de sécurité est essentiel.
  • Maintenir tes plugins et thèmes à jour pour éviter les vulnérabilités.
  • Sensibiliser tes visiteurs aux risques du tabnabbing peut les protéger.

En suivant ces étapes, tu deviendras le super-héros de la sécurité WordPress, prêt à protéger ton site contre les hackers ! N’hésite pas à partager tes expériences et à demander des conseils supplémentaires si besoin. En sécurisant ton site, tu améliores également ton référencement sur Google et assures une expérience utilisateur optimale.

à propos de l'auteur

Partagez-moi

Vous avez trouvé cet article intéressant, partagez-le sur vos réseaux !

Poursuivre votre lecture

Aller au contenu principal