Introduction
WordPress est utilisé par 24 % des sites dans le monde. Ce qui représente des millions de sites web. Avec 46 millions de téléchargements, WordPress est le CMS numéro 1 sur le web. Il est extrêmement populaire beaucoup de sites d’entreprise ont fait le choix de cette plateforme du fait de sa richesse fonctionnelle et de sa simplicité d’utilisation. La plateforme ne compte pas moins de 36 600 plugins qui ajoutent un nombre de possibilités infinies.
Par son caractère ouvert, notamment via les plugins et thèmes graphiques, WordPress est très vulnérable.
Pour tout administrateur système soucieux de préserver son site, la sécurité de WordPress est un sujet crucial.
Les hackers sont toujours à la recherche de nouvelles failles. De multiples solutions de sécurité s’offrent à vous des plus simples ou plus complexes.
Il arrive que des malwares infectent les plugins et des dizaines voire des centaines de milliers de sites se retrouvent infectés, Il y a plus de 90.000 attaques de sécurité qui se produisent chaque minute et cela tous les jours, les pirates visent tous types d’entreprises et des sites de toutes tailles.
Les hackers ne s’attaquent pas uniquement aux grandes entreprises. Ils sont simplement à la recherche de toute vulnérabilité qu’ils peuvent exploiter pour par exemple:
Injecter du contenu malveillant, diffuser les virus, voler les informations personnelles des visiteurs ou des informations privées de l’entreprise; héberger des pages de « phishing » ou des pages légitimes à partir de votre serveur, surchargez votre serveur Web
vous voler de la bande passante du serveur ou tout simplement vandaliser votre site Web.
Un certain nombre de mesures peuvent être prises pour ne pas être victimes de la prochaine attaque de grande envergure contre les sites WordPress. Voici 10 conseils à suivre pour protéger votre site WordPress.
%
des sites dans le monde
millions de téléchargements
plugins
d’attaques bloquées par mois par WordFence
1 Mot de passe fort
La majorité des cyberattaques s’expliquent par la faiblesse des mots de passe. Ce principe concerne le mot de passe de l’administration du site ainsi que l’accès à la base de donnée par PhpMyAdmin.
Une attaque par force brute est une méthode d’hacking très utilisé sur internet pour trouver un mot de passe. Cette attaque consiste à tester, une à une, toutes les combinaisons possibles jusqu’à trouver la bonne combinaison. C’est un véritable fléau pour votre site web, car ce genre d’attaque peu rapidement consommer toute la bande passante de votre offre d’hébergement voir pire se transformer en une attaque DDOS et faire crasher votre serveur en le rendant inaccessible.
Ne mettez pas des mots de passe du genre « 1 2 3 4 5″ ou votre nom ou celui de votre femme, de vos enfants ou de votre chien, c’est vraiment des choses qui sont très faciles à deviner et très faciles à craquer.
Utiliser des mots de passe complexes associant lettres, symboles et chiffres. Vous aurez ainsi un login bien plus sûr.
Il vous faut employer de préférence un générateur de chaîne aléatoire de plus de 8 caractères. WordPress vous propose de générer lui-même le mot de passe, qui génère des codes aléatoires, quasiment impossibles à cracker, ils ont donc un très haut niveau de sécurité mais ont l’inconvenant de ne pas être mémorisable. Vous pouvez malgré tous les conserver en mémoire de votre navigateur sur votre ordinateur personnel si celui-ci est lui-même protégé par un mot de passe. Ou mieux encore utiliser un password manager tel que LastPass qui mémorise tous vos mots de passe.
Réinitialisez vos mots de passe de vos collaborateurs régulièrement.
Installez une extension qui bloque les tentatives répétées d’identification d’une même adresse IP. Plusieurs plugins permettent de vous protéger des attaques par “force brute”, c’est-à-dire les tentatives pour deviner votre mot de passe par une recherche de toutes les combinaisons possibles.
2 Ne pas utiliser l’identifiant « admin »
Pour vous connecter à votre administration WordPress ne pas utiliser l’identifiant « admin » Ce compte est à supprimer au plus vite, l’identifiant admin est proposé par défaut ; Il est donc massivement utilisé par les pirates pour accéder à votre site. Évitez de leur faciliter la tâche et créez un identifiant personnel, impossible à deviner, avant de supprimer le compte admin.
Par default WordPress va afficher comme nom d’auteur votre identifiant d’accès dans la section info de vos articles. Ne pas afficher publiquement ce nom dans vos articles, mais un pseudonyme, car en le dévoilant : vous aurez mâchés la moitié du travail des pirates. Ce paramètre se change dans la page Utilisateurs -> votre profil.
3 Modifier l’adresse de la page de connexion à l’administration
Pour réduire le risque de piratage, il est également recommandé de modifier son adresse de connexion. Par défaut, WordPress vous propose mon-site.com/wp-admin ou alors d’aller sur /wp-login.php. Ce qui facilite encore une fois le travail des hackers !
Ces pages sont régulièrement la cible de robots qui vont essayer de se connecter automatiquement, Donc voilà, en changeant la page de connexion à l’administration, on peut éviter justement que ces robots tentent de s’y connecter.
Vous pouvez changer cette URL en modifiant le le fichier .htaccess ou en utilisant une extension comme wps-hide-login Cette deuxième solution est parfaite pour les personnes qui ne veulent pas toucher les codes du fichier .htacces.
Ce plugin est très léger il vous permet de changer facilement et en toute sécurité l’url du formulaire de connexion. Il ne renomme pas ni ne modifie les fichiers, ni n’ajoute des règles de réécriture. Il intercepte simplement les demandes de pages et fonctionne sur n’importe quel site WordPress. Le répertoire wp-admin et la page wp-login.php deviennent inaccessibles. Dès que vous désactivez ce plugin votre site retrouve exactement l’état dans lequel il était auparavant.
.
4 Faire les mises à jour
C’est vraiment primordial de mettre régulièrement à jour son site.
Il faut procéder à des mises à jour régulières de ses plugins et du corps de WordPress et cela dès qu’une mise à jour est disponible. Comme pour toute application informatique, tout système d’exploitation, des failles de sécurité sont découvertes régulièrement ; des correctifs sont alors développés par les concepteurs pour les contrer. C’est vraiment quelque chose d’indispensable de mettre à jour régulièrement ses Plugins ainsi que le corps de WordPress afin de se protéger des failles, à chaque nouvelle version il y a des correctifs de sécurité qui sont rajoutés pour éviter que votre site soit piraté et ainsi les failles sont comblées.
Il est recommandé de privilégier la mise à jour automatique du site si cela est possible afin d’assurer une correction aussi rapide que possible, pour ne pas laisser de faille béante trop longtemps ouverte.
5 Installer un plugin de sécurités
Comme il existe des antivirus à installer sur son ordinateur, vous pouvez aussi ajouter un plugin antivirus pour assurer la sécurité de votre WordPress.
WordFence comprend un pare-feu et un scanner de malware qui ont été construits à partir de la base pour protéger WordPress. Les armes de défense contre les menaces sont son FireWall (pare-feu), les signatures de logiciels malveillants et les adresses IP malveillantes dont il a besoin pour protéger votre site Web. Complété par une suite de fonctionnalités supplémentaires, Wordfence est à mon avis la meilleure solution pour la sécurité de votre site WordPress.
Je dois aussi conseiller CloudFlare ça n’est pas qu’un plugin de sécurité mais essentiellement un service qui permet d’ajouter une couche de sécurité supplémentaire : on peut filtrer des attaques, on peut aussi bannir des gens qui proviennent de certains pays, donc ça peut permettre de limiter les attaques à partir de ces pays. Il assure une protection contre les attaques DDoS, il a un FireWall et passe votre site en https en y incluant un Certificat SSL.
6 Ne pas installer trop de plugins
Les plugins de WordPress sont sa force, mais aussi sa grande faiblesse concernant la sécurité.
WordPress est fragilisé face aux attaques par le biais des plugins ou des thèmes !
Le Directory (répertoire des plugins gratuits WordPress) est une ressource appréciée de tous mais elle ne garantit en rien que les plugins soient sécuriser ou qu’ils ne contiennent pas d’erreur de code. Il appartient à l’utilisateur, et à lui seul, de s’assurer que le plugin qu’il va installer est absent de toute faille de sécurité.
N’installez pas n’importe quoi sur votre site : préférez les extensions proposées par le site officiel de WordPress. Le mieux est de n’installer que les plugins vraiment nécessaires sur votre site. Moins on installe de plugins, moins on a de mises à jour à gérer et plus on réduit les risques d’attaques.
Il faut vraiment privilégier, dans la mesure du possible, les plugins qui ont pignon sur rue, dont les éditeurs ou les auteurs sont reconnus dans la communauté WordPress.
Informez-vous sur les rapports de bug et failles de sécurité desdits plugins. Supprimez également les plugins ou thèmes non utilisés.
Soyez prudent lorsque vous téléchargez des Template (thèmes gratuits), ils peuvent révéler de nombreux virus. Les pirates mettent à disposition ces thèmes ou plugins vendus généralement quelques dizaines d’euros seulement. Il leur est très simple d’ajouter un bout de code dans un fichier php et ainsi y intégrer un malware, qui se déclenchera lorsqu’ils les pirates en donneront l’ordre.
7 Protéger en écriture tous les fichiers en particulier fichier .htaccess
Sur un site WordPress, par défaut, les dossiers sont accessibles à tous. Il est impératif de bloquer leur accès pour mieux les protéger. Pour ce faire, il faut modifier les conditions d’accès par l’intermédiaire du fichier .htacces
Ce fichier est un fichier de configuration d’Apache, le logiciel qu’utilise votre serveur pour fonctionner.
Il faut vérifier les droits d’écriture des fichiers et dossiers sur le serveur. Il est ainsi indispensable de protéger en écriture les fichiers wp-config.php et .htaccess du site, ainsi que d’interdire l’exécution de « fichiers.php » dans certains dossiers.”
Par ce moyen, vous permettez la lecture de ces fichiers, mais restreignez d’éventuelles modifications au seul propriétaire. Pour cela, allez dans votre navigateur ftp et cliquez droit sur le fichier et sélectionnez « Droit d’accès au fichier » ; indiquez alors 644 dans le champ à compléter, puis validez.
Il faut n’attribuer aux fichiers et répertoires que les permissions strictement nécessaires au bon fonctionnement du site, notamment l’accès en écriture Mode 644.
Chez certains hébergeurs, les pages affichées peuvent contenir des informations relatives au serveur. Ces informations peuvent donner des informations aux pirates.
Rajoutez également ces bouts de codes qui vous aideront à protéger l’accès extérieur de ces fichiers sensibles. Utilisez Notepad ou Notepad++ pour modifier votre fichier .htacces
Masquer avec le code suivant :
# Masquer les informations du serveur ServerSignature Off
Protéger le fichier wp-config.php
Le fichier de configuration de votre site (wp-config.php) contient les identifiants pour se connecter à la base de données. C’est le fichier le plus sensible de votre site. Il sera tres probablement la première cible d’éventuels pirates. Il est possible de le protéger en y ajoutant ce code au fichier .htaccess à la racine du serveur :
# Protéger le fichier wp-config.php <files wp-config.php> order allow,deny deny from all </files>
Protéger le fichier .htaccess lui-même
Tout comme le fichier wp-config.php, le fichier .htaccess doit aussi être protégé au maximum. Pour ce faire, insérez ce code :
# Protéger les fichiers .htaccess et .htpasswds <Files ~ “^.*\.([Hh][Tt][AaPp])”> order allow,deny deny from all satisfy all </Files>
Limiter l’accès à l’administration du site
Afin d’éviter que des étrangers se connectent à votre site (même s’ils ont le bon mot de passe) ne seront autorisés d’accéder au dossier wp-admin que les personnes possédant les IP listés.
<Limit GET POST PUT> order deny,allow deny from all # IP d’Alex allow from xxx.xxx.xxx.xxx # IP de Nico allow from xxx.xxx.xxx.xxx # IP d’un autre point d’accès allow from xxx.xxx.xxx.xxx </Limit>
8 Masquer la version de votre WordPress
A chaque version de WordPress, il existe des failles que les pirates sauront exploiter. Pour leur compliquer un peu la tâche, pensez à masquer la version de WordPress que vous utilisez.
Ce changement se fait à deux niveaux : dans le fichier function.php, ainsi que dans le fichier readme.html.
Masquer la version de votre WordPress de votre site qui apparaît dans les «meta name». Cela donne des informations aux hackers pour trouver d’éventuelles failles de sécurité. Dans le fichier function.php de votre thème, ajoutez ce bout de code :
remove_action(“wp_head”, “wp_generator”);
Le numéro de version WP se trouve également dans le fichier readme.html situé à la racine de votre WordPress ce fichier doit être supprimer
Placé à la racine de votre site, ce fichier contient l’information de la version WordPress de votre site. Si vous n’avez pas mis à jour votre site, une version antérieure présentera des failles connues, et donc des moyens faciles de cracker votre site WordPress.
On peut également empêcher le flux RSS d’afficher la version WordPress avec la fonction suivante :
function wpt_remove_version() {
return ”; }
add_filter(‘the_generator’, ‘wpt_remove_version’);
9 Sécuriser la base de donnée
Changez le préfixe “wp_” par défaut des tables de la base MYSQL. Ce préfixe est connu de tous et peut être vulnérable en cas d’injection ; choisir un n’ayant aucun rapport avec WordPress. Inutile de livrer des indices aux pirates.
Il est donc recommandé de révoquer des droits particulièrement dangereux tels que « DROP » qui permet de détruire l’ensemble de la base de données, « ALTER » qui modifie et insère des tables, ainsi que « GRANT » qui permet de modifier les droits sur les données.
Cette précaution est contraignante, et n’est pas compatible avec le système de mise à jour automatique de WordPress et des plugins. Il faut donc accorder à nouveau ces droits puis les retirer après la mise à jour.
10 Faire des Backups
Tous les sites WordPress possèdent une base de données dans laquelle les contenus sont conservés. Il est essentiel d’archiver ces données régulièrement
Les backups du système sont à effectuer au moins toutes les semaines pour prévenir un piratage ou un crash disque. Il vaut mieux prévenir que guérir !
Ce n’est pas vraiment une mesure de sécurité, ça ne vous protège pas d’attaques, mais ça va vous aider à remonter votre site si vous avez été pirater ou si vous avez un problème tout simplement avec votre site.
Si vous vous êtes fait attaquer il risque de ne rester que des cendres de votre site. Il faut absolument se placer en position de remettre sur pied son site via un système de sauvegarde fiable.
Il existe plusieurs solutions de sauvegarde. Celle que je recommande c’est la plus connue, c’est « Updraft Plus »
Il est donc recommandé de non seulement mettre en place un système automatisé de sauvegarde de la base de données, mais aussi l’arborescence du site – notamment celle où sont stockés les éléments multimédias.
En cas d’attaque attention à ne pas réinstaller le malware à partir de votre sauvegarde. Si vous ne conservez que la dernière sauvegarde, le virus pouvait être déjà installé, en attente d’être déclenché.
Repartez d’une installation WordPress propre, réinstallez vos plugins à partir de WordPress.org, votre thème après vérification, puis vos fichiers multimédias et votre base de données.
Conclusion
Très populaires mais aussi très exposés, les sites WordPress sont régulièrement l’objet d’attaques de grande envergure ! Face à son succès, ce CMS est par conséquent la cible de nombreux hackers. Mais heureusement, il existe des mesures rapides pour sécuriser au maximum votre site WordPress.
Parnassel est spécialisé dans la création de site WordPress. Pour sécuriser au maximum votre site WordPress appliquez ces 10 commandements, vous réduisez les risques que votre entreprise soit victime d’une cyber-attaque.
Vous avez un doute quant à la protection des données de votre entreprise ? Si vous désirez créer, ou refaire un site existant. N’attendez pas plus longtemps nous contacter au +972-58-640 94 00 et visiter notre site web www.parnassel.com
Checklist des 10 commandements pour sécuriser son site WordPress
1 Mot de passe fort
2 Ne pas utiliser l’identifiant « admin »
3 Modifier l’adresse de la page de connexion à l’administration
4 Faire les mises à jour
5 Installer un plugin de sécurités
6 Ne pas installer trop de plugins
7 Protéger en écriture tous les fichiers en particulier fichier .htaccess
8 Masquer la version de votre WordPress
9 Sécuriser la base de donnée
10 Faire des Backups