Sécuriser WordPress, est-ce impératif? La question ne se pose même plus!
Nous savons tous que des attaques sont menées sur les sites web, partout dans le monde, chaque seconde. Votre site web en fait bien partie et il est susceptible d’être la cible d’un pirate mal intentionné.
Nous allons vous parler aujourd’hui de sécurité de votre site web s’il tourne sur WordPress, afin d’éviter au maximum de tomber dans des pièges qui pourraient vous coûter assez cher.
Cependant, et nous préférons vous le dire tout de suite : nous ne prétendons pas vous dire qu’avec notre article vous allez sécuriser votre site à 100%!
Nous allons par contre partager avec vous une vingtaine d’actions à effectuer sur votre site web, afin de vous mettre à l’abri d’attaques malveillantes. Personne n’est à l’abri, et tout le monde devrait nécessairement savoir comment sécuriser WordPress correctement.
Avant de sécuriser WordPress, pensez à sécuriser votre ordinateur!
Bien que votre site soit installé sur un serveur, loin de votre ordinateur, ce dernier peut facilement servir de porte d’entrée à votre WordPress. Comment?
Eh bien, vous vous connectez depuis votre navigateur web favori pour accéder à l’administration de votre site web. Si quelqu’un arrive à installer à votre insu un “keylogger” (un petit malware mouchard qui enregistre tout ce que vous tapotez sur votre clavier), vous devinez la suite!
Si vous avez aussi l’habitude d’enregistrer tous vos identifiants sur votre navigateur (tout le monde fait ça!), il suffira pour votre attaquant d’accéder à votre navigateur pour y pomper tout ce qu’il veut comme mots de passe… dont ceux de votre site web. Donc, sécuriser WordPress est tributaire de la sécurité de votre ordinateur.
Le choix d’un hébergeur sécurisé est très crucial pour sécuriser WordPress
Au fait, tout (ou presque) repose sur l’hébergeur quand il s’agit de sécuriser WordPress sur votre installation de site web.
Un bon prestataire d’hébergement web s’assurera de filtrer toute attaque malveillante, en amont. En effet, vous avez beau sécuriser votre site web WordPress au maximum, si une faille existe au niveau de votre hébergeur, votre site en souffrira.
Ainsi, n’hésitez pas à vérifier auprès de votre prestataire les points suivants :
- Les serveurs disposent-ils d’un pare-feu et d’un antivirus?
- Des sauvegardes régulières sont-elles effectuées ?
- Un support technique performant existe-t-il ?
Les données stockées sur ou transitent par un site web sont souvent très sensibles et leur fuite peut être nuisible à plus d’un niveau. Un hébergeur web digne de ce nom doit dont être en mesure de sécuriser WordPress et veiller à l’intégrité de son contenu.
Sauvegardez vos bases de données régulièrement
Si l’hébergeur s’occupe de faire des sauvegarde générales de votre site régulièrement, vous devez aussi effectuer vos propres sauvegardes, vous-mêmes.
Pour ce faire, des plugins spécifiques sont disponibles et ils vous permettront de faire des copies intégrales de vos bases de données soit sur votre serveur, soit sur des emplacements web distants. Il y en a même qui peuvent vous envoyer ces sauvegardes par email.
En voici quelques-unes : (nous nous contentons de donner des noms, sans rentrer dans plus de détails) :
- UpdraftPlus
- BackWPup – WordPress Backup Plugin
- Jetpack
Modifiez le préfixe de vos bases de données
WordPress, lors de sa première installation, propose des préfixes de bases de données par défaut, commençant par wp_. N’hésitez pas à changer ces préfixes par d’autres plus personnalisés.
Il se peut qu’un pirate aguerri arriverait à cracker une base de donnée, mais cela lui prendra plus de temps s’il ne sait pas par où entrer. Les changements que vous pouvez faire sur plusieurs éléments de votre WordPress peuvent être vraiment dissuasifs en cas d’attaques.
Vérifiez régulièrement les mises à jour (Noyau, plugins, PHP)
Afin de mieux sécuriser WordPress, il est recommandé de le mettre à jour aussi souvent que possible. Rappelez-vous qu’en plus des ajouts ramenés par une mise à jour, cette dernière est toujours l’occasion pour les développeurs de corriger des failles détectées dans les versions précédentes.
Trois choses sont donc très importantes à mettre à jour pour sécuriser WordPress :
- Son coeur
- Ses plugins et ses thèmes
- Sa version de PHP
Masquer la version de WordPress utilisée
En parlant de version de PHP, une astuce intéressante consiste à cacher la version de votre WordPress et ainsi masquer la version de PHP qui tourne sous le capot.
Cela rendra la tâche un peu plus difficile à un pirate qui n’aurait ni le temps ni la patience de découvrir ou deviner une version qui n’est pas affichée.
En règle générale, cachez tout ce que vous pouvez cacher, pour gagner du temps.
Utiliser des extensions et thèmes officiels
Ce qui attire plusieurs usagers de WordPress, c’est justement sa versatilité quand il s’agit de changer d’apparence (en appliquant un “thème”) en un seul clic. La possibilité d’enrichir la structure de base de WordPress avec des extensions est une véritable aubaine pour des utilisateurs qui ne sont pas forcément des développeurs.
Dans ce sens, il est vivement recommandé de n’opter que pour des extensions officielles (gratuites ou payantes) car cela garantit de sécuriser WordPress. Officiel signifie mis à jour et incluant les derniers correctifs qui empêchent les petits curieux de forcer le système.
Supprimer les extensions et thèmes inutilisés
Cependant, les choses risquent de vite devenir problématiques quand on abuse en installation de thèmes et de plugins : la plupart installe des extensions juste pour essayer, et ensuite oublier de nettoyer!
En plus de représenter du surplus en poids qui risque d’affecter la vitesse de votre site WordPress, ces thèmes et extensions non utilisés depuis un bon bout de temps sont en général obsolètes et leurs développeurs ont souvent abandonné leur support technique.
Hummm, … obsolètes, abandonnés… C’est la porte ouverte aux cyber-squatteurs!
Modifier l’adresse de connexion
Par défaut, l’URL de connexion de votre site WordPress est domain.com/wp-admin. Le problème, c’est que tous les robots, pirates et scripts le savent également.
En changeant cette URL, vous pouvez sécuriser WordPress en vous rendant moins ciblé et mieux vous protégeant contre les attaques de force brute. Il ne s’agit pas d’une solution miracle, mais simplement d’une petite astuce très utile.
Pour changer l’URL de votre connexion WordPress, nous vous recommandons d’utiliser le plugin de connexion gratuit “WPS Hide” ou le plugin Custom Login Page Customizer | LoginPress. Ces deux plugins ont un champ de saisie simple. N’oubliez pas de choisir quelque chose d’unique qui ne figure pas déjà dans une liste qu’un robot ou un script pourrait tenter de parcourir.
Supprimer le compte « admin »
Lors de l’installation de WordPress, évitez de choisir « admin » comme nom d’utilisateur pour votre compte administrateur principal. Un tel nom d’utilisateur facile à deviner est accessible aux pirates informatiques. Il leur suffit de trouver le mot de passe, et votre site entier tombe entre de mauvaises mains.
Si, par mégarde, vous aviez déjà choisi “admin” par défaut, il est toujours possible de créer un nouvel utilisateur avec droits d’administration et supprimer littéralement l’ancien compte admin.
Utiliser un mot de passe de connexion fort
Jouez avec vos mots de passe et changez-les régulièrement pour sécuriser WordPress. Améliorez leur force en ajoutant des mots supplémentaires et en les allongeant.
Ainsi, au lieu du conventionnel “123456789” ou encore “motdepasse” (Sérieux? Y en a encore qui en choisissent?), optez pour un truc du genre :
jaivudesdinosauresrosesecriredeslettresdamour
Ce mot de passe ne contient pas nécessairement des majuscules, des chiffres ou des caractères spéciaux, certes. Mais, il reste une combinaison presque impossible à prévoir par un pirate informatique habitué plutôt à des combinaisons figurant sur ses dictionnaires!
Par contre, une telle phrase, quoique bizarre, est plus facile à retenir qu’un tas de lettres et de chiffres aléatoires. Essayez…
Il s’avère en effet que l’utilisation d’une phrase compliquée peut souvent être beaucoup plus sûre et aussi 10 fois plus facile à retenir.
Si vous manquez d’inspiration, utilisez un générateur de mot de passe comme celui-ci : www.motdepasse.xyz
Activer l’authentification à 2 étapes
Quel que soit le degré de sécurité de votre mot de passe, il y a toujours un risque que quelqu’un le découvre. L’authentification à deux facteurs implique un processus en deux étapes dans lequel vous avez besoin non seulement de votre mot de passe pour vous connecter, mais aussi d’une deuxième méthode.
Il s’agit généralement d’un texte (SMS), d’un appel téléphonique ou d’un mot de passe à usage unique basé sur le temps (TOTP).
Dans la plupart des cas, cette méthode est efficace à 100 % pour prévenir les attaques par force brute et sécuriser WordPress. Pourquoi ? Parce qu’il est presque impossible que l’attaquant ait à la fois votre mot de passe et votre téléphone portable.
Voici quelques plugins que vous pourriez utiliser dans ce sens :
- Duo Two-Factor Authentication
- Google Authenticator
- Two Factor Authentication
Limiter les tentatives de connexion
Par défaut, WordPress permet aux utilisateurs d’essayer de se connecter autant de fois qu’ils le souhaitent.
Bien que cela puisse VOUS aider si vous oubliez fréquemment comment votre mot de passe s’écrit, cela vous expose également aux attaques de force brute.
En limitant le nombre de tentatives de connexion, les utilisateurs peuvent essayer un nombre limité de fois jusqu’à ce qu’ils soient temporairement bloqués. Cela limite vos chances de subir une tentative de force brute, car le pirate est bloqué avant de pouvoir terminer son attaque.
Vous pouvez facilement activer cela avec un plugin WordPress de limitation des tentatives de connexion. Après avoir installé l’un de ces plugins, vous pouvez modifier le nombre de tentatives de connexion via Paramètres> Tentatives de limite de connexion. Vous pouvez aussi activer les tentatives de connexion sans plugin si vous avez des connaissances approfondies en développement PHP pour sécuriser WordPress.
- Limit Login Attempts Reloaded
- WPS Limit Login
- Loginizer (inclus dans Softaculous, proposé lors de l’installation de WordPress depuis cPanel)
Empêcher la navigation dans les dossiers
La navigation dans les répertoires peut être utilisée par les pirates pour savoir si vous avez des fichiers présentant des vulnérabilités connues, afin qu’ils puissent en profiter pour y accéder.
La navigation dans les répertoires peut également être utilisée par d’autres personnes pour examiner vos fichiers, copier des images, découvrir la structure de vos répertoires et d’autres informations. C’est pourquoi il est fortement recommandé de désactiver l’indexation et la navigation dans les répertoires.
Pour ce faire, connectez-vous à votre site web en utilisant le FTP ou le gestionnaire de fichiers de cPanel. Ensuite, localisez le fichier .htaccess dans le répertoire racine de votre site web. Ensuite, vous devez ajouter la ligne suivante à la fin du fichier .htaccess :
Options -Index
N’oubliez pas de sauvegarder et de télécharger le fichier .htaccess sur votre site.
Pour sécuriser WordPress sans passer par cet exercice de code, vous pouvez utiliser le plugin de sécurité qui dispose d’un tableau de bord simple qui vous permettra de le faire et d’effectuer de nombreuses autres mesures de renforcement de la sécurité de WordPress en quelques clics.
Protéger vos fichiers sensibles
Parmi les fichiers du noyau de WordPress, le fichier wp-config.php est de loin le plus sensible de tous. Il contient les informations de connexion à votre site, et il est donc impératif de le protéger contre tout accès étranger.
Cependant, c’est une manipulation assez délicate qui nécessite d’abord d’effectuer une bonne sauvegarde de votre site web. Des erreurs peuvent vite survenir et rendre votre site inaccessible.
Il est possible de le faire via deux méthodes :
- Via à un plugin spécifique, comme Sucuri Security – Auditing, Malware Scanner and Security Hardening, ou encore Hide My WP Ghost – Security Plugin
- Grâce à l’ajout d’un code à la racine de votre fichier .htaccess.
Protéger la connexion à votre site avec un certificat SSL (HTTPS)
De nos jours, le protocole SSL (Single Sockets Layer) est bien plus qu’un luxe : afficher le fameux petit cadenas avant votre nom de domaine sur les navigateurs web, cela n’a pas vraiment de prix!
Chez Nindohost, le SSL débute à un prix plutôt charmant. Une version de base vous est offerte gratuitement, à vie, sur l’ensemble de nos offres !
Au départ, le SSL était nécessaire pour sécuriser un site pour des transactions spécifiques, comme le traitement des paiements. Aujourd’hui, cependant, Google a reconnu son importance et accorde aux sites dotés d’un certificat SSL une place plus importante dans ses résultats de recherche.
Le protocole SSL est obligatoire pour tous les sites qui traitent des informations sensibles, c’est-à-dire des mots de passe ou des données de cartes de crédit. Sans certificat SSL, toutes les données entre le navigateur web de l’utilisateur et votre serveur web sont transmises en texte clair et sont donc exposées aux regards malveillants des pirates et autres petits curieux.
En utilisant un certificat SSL, les informations sensibles sont cryptées avant d’être transférées entre leur navigateur et votre serveur, ce qui les rend plus difficiles à lire et rend votre site plus sûr.
Vous pouvez installer le plugin Really Simple SSL pour gérer votre certificat SSL facilement.
Se protéger contre le DDoS (Via CloudFlare)
Une attaque par déni de service distribué (DDoS ou Distributed Denial-of-Service) est une cyber-attaque (tentative malveillante) en vue de perturber le trafic normal d’un serveur, d’un service ou d’un réseau ciblé en submergeant la cible ou son infrastructure environnante par un flot de trafic Internet. Il en résulte qu’un site web peut s’arrêter pendant quelques heures ou quelques jours.
Que pouvez-vous faire pour vous protéger ? L’une des meilleures recommandations est de faire appel à un service de sécurité tiers réputé comme Cloudflare ou Sucuri.
Installer un plugin de sécurité
Le rôle d’un plugin de sécurité est de sécuriser WordPress au maximum. Il s’agit essentiellement d’un pare-feu et d’un scanner de logiciels malveillants.
Voici une liste non exhaustive des fonctionnalités d’un plugin de sécurité WordPress :
- fournir des rapports détaillés sur l’état de la sécurité de WordPress ;
- vérifier les fichiers de base, les thèmes et les plugins pour détecter les logiciels malveillants, les mauvaises URL, les portes dérobées, les redirections malveillantes et les injections de code ;
- identifier et bloquer le trafic malveillant ;
- maintenir une liste noire d’adresses IP en temps réel ;
- bloquer les requêtes qui contiennent du code ou du contenu malveillant ;
- assurer une protection contre les attaques par force brute en limitant les tentatives de connexion ;
- comparer de vos fichiers, thèmes et plugins avec le contenu du dépôt officiel de WordPress.org, vérifier leur intégrité et signaler tout non conformité.
- réparer les fichiers qui ont été modifiés en les remplaçant par une version originale et saine ;
- mettre en place une authentification à deux facteurs (2FA) ;
- …
En guise d’exemple, voici trois plugins assez connus :
- Sucuri Security – Auditing, Malware Scanner and Security Hardening
- iThemes Security
- Wordfence Security
En matière de sécurité, NindoHost dispose des éléments suivants sur tous ses plans d’hébergement :
- Protection Brute Force
- Pare-feu applicatif ModSecurity (WAF)
- Imunify360
- CageFS
- KernelCare
- Anti-Malware
Engagez un spécialiste de WordPress! (un vrai)
Dans notre article “Pourquoi utiliser WordPress ? La réponse en 7 points”, nous avons vu que ce CMS est connu pour la facilité de son installation et de sa configuration, à tel point qu’il n’est pas vraiment nécessaire d’être un développeur pour l’utiliser.
Nous préférons quand même prendre cette impression avec des pincettes!
Si vous en avez le budget, n’hésitez pas à faire appel aux services d’un spécialiste pour vous aider à sécuriser WordPress.
Un technicien WordPress, un vrai, saura ce qu’il faut faire, bien le faire, et sans gaspiller de temps ni d’effort, ni surtout de budget! Oui, vous pourriez payer cher une erreur de manipulation ou une omission en matière de sécurité!