Les 8 commandements pour maintenir votre WordPress en sécurité
Vous kiffez être piraté ? Non, je ne crois pas. Le pire, c’est que vous pourriez potentiellement tout perdre. Votre contenu, vos médias, vos données personnelles, celles des autres… Comme ils est important de protéger votre maison contre les cambrioleurs, il est tout aussi naturel de vouloir protéger votre site internet des pirates. Vous allez donc découvrir quelques astuces assez simples pour limiter les risques de piratage de votre site sous WordPress.
Il existe certains moyens pour verrouiller votre site WordPress, mais il n’y a jamais de garanties quand il s’agit de sécurité. C’est pourquoi un soin particulier et régulier est important. Même les choses les plus évidentes, ou apparemment sans importance, peuvent améliorer la sécurité de votre site internet sous WordPress. Il n’est jamais bon de laisser votre site vulnérable lorsque vous pouvez agir et mieux le protéger. À tout le moins, il peut ralentir un intrus même s’il ne les empêche pas complètement de faire ce qu’ils ont à faire.
Aujourd’hui, nous vous présentons huit astuces très simples que vous pourrez appliquer à votre installation WordPress afin de s’assurer qu’il demeure aussi sûr qu’un coffre-fort ou un casier dans une banque. Une banque qui est à l’intérieur d’un bunker. Un bunker de la CIA. Bon remarque ce n’est plus si sur que ça maintenant… passons 😉
1. Restez toujours à jour
Pour certains logiciels ou CMS, il peut être parfois fastidieux de mettre à jour tout ou partie de l’infrastructure. Parfois, des plugins ne fonctionneront plus aussi correctement qu’avant, et parfois, tout va bien. Cependant, lorsque vous voyez des mises à jour de thème, plugin, ou carrément de WordPress en lui même, dans votre panneau d’administration, mettez à jour immédiatement. Pourquoi ?
Car ces mises à jour comprennent souvent (presque toujours) des correctifs de sécurité et des corrections qui empêchent les vulnérabilités potentielles, nouvelles ou anciennes. En fait, les pirates ont de nombreux moyens d’avoir accès à un site WordPress lorsque celui-ci n’est pas à jour. L’attaquant peut ainsi profiter d’une vulnérabilité connue (et souvent dévoilée par WordPress lui même, dans son Roadmap par exemple, en vue de faire développer un correctif). En fait, les pirates recherchent des anciennes versions de WordPress notamment pour cette raison.
Une mise à jour de votre site ne mettra pas nécessairement de coté tout les pirates, mais elle va certainement assurer que certaines portes restent fermées – portes qui peuvent être mises à profit. Si vous souhaitez installer un thème, trouver une source qui est souvent mis à jour. Il en va de même pour les plugins – assurez-vous que des gens derrière, en back-office, y travaillent effectivement et régulièrement (regardez les dates et fréquences de mise à jour). L’installation d’un plugin, thème, ou autre chose qui ne sera pas mis à jour régulièrement ne sera pas profitable à moyen terme.
Conseil supplémentaire: bien que la plupart du temps les mises à jour de WordPress sont une bonne chose, parfois, elles peuvent entraîner des problèmes. C’est pourquoi avant de réellement mettre en place la mise à jour, vous devez vous tenir informer de ce que les autres, qui l’ont déjà installé et testé, en penses. Ne négligez pas les mises à jour, mais ne mettez pas aveuglément à jour aussi.
2. Cachez le numéro de version de votre WordPress
La version de WordPress que vous avez installé peut être facilement identifiée en regardant l’entête de la source d’une page (balise ). A moins que vous ayez installé un thème ou un plugin qui supprime cette information, le numéro de version est inclus par défaut dans les métadonnées du site. En d’autres termes, les pirates peuvent facilement trouver cette information et en profiter pour l’exploiter.
Pour supprimer ces informations, vous devez ajouter le code suivant à votre fichier « functions.php »:
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'rsd_link');
function effacer_version() { return ''; }
if (function_exists('add_filter')) {
$types = array('html', 'xhtml', 'atom', 'rss2', /*'rdf',*/ 'comment', 'export');
foreach ($types as $type)
add_filter('get_the_generator_'.$type, 'effacer_version');
}
Ce code supprime le numéro de version de la majorité des vues possibles via WordPress: source, flux RSS, flux Atom, rdf, etc.
3. Ne pas utiliser « admin » comme nom d’utilisateur
Vous pensez qu’il s’agit d’un conseil minime ? Et bien il est plus important que ce que vous ne pensez !
En effet, WordPress attribue par défaut au compte administratif principal le nom/login de « admin ». Cela à du sens, certes, mais c’est exactement pourquoi il est utilisé sur des centaines – voire des milliers – d’autres sites sous WordPress. Et tout le monde le sait.
En 2013, des pirates ont lancé une série d’attaques par Brute-Force sur les sites web sous WordPress, tentant à plusieurs reprises de se connecter en associant le compte principal « admin » avec des mots de passe communs. Cette attaque a très bien réussie. Vraiment très bien !
Même si vous avez un mot de passe sécurisé compliqué, il n’est toujours pas une bonne idée d’utiliser un nom d’utilisateur bien connu. Il y’a deux façons pour corriger cela:
- soit vous faites cela via l’interface d’administration de votre site en créant un nouvel administrateur, en vous connectant via ce nouvel administrateur, et en effaçant l’ancien (sans oublier d’attribuer les articles et votre contenu à votre nouveau compte, WordPress vous en donnera la possibilité lors du déroulement de la manip)
- soit vous vous connectez à PhpMyAdmin et vous changer « à la main » le nom de votre compte d’administrateur
La première méthode est plus facile – de créer un nouveau compte avec le nom d’utilisateur souhaité, puis prévoir les nouveaux privilèges du compte administrateur avant de poursuivre. Une fois cela fait, vous pourrez simplement supprimer le compte « admin » original et il vous sera possible d’associer tous les messages et le contenu existant au nouveau compte.
La méthode la plus compliqué pour les novices – et qui nécessite l’accès au compte d’hébergement de la base de données du site – est de vous connecter à Cpanel ou PhpMyAdmin, ou tout autre interface de gestion de base de données en ligne relative à votre installation WordPress, et une fois connecté, vous devrez sélectionner la base de données où votre site est hébergé, puis accédez à la table « wp_users ». Vous devriez alors voir tous les noms d’utilisateur de votre site. Vous pourrez changer simplement la valeur du « user_login » sous le compte que vous désirez changer. Par exemple, vous pouvez changer « admin » en « robert » ou quelque chose d’autre, selon vos souhaits. Attention tout de même aux caractères spéciaux.
4. Cacher Votre nom d’utilisateur
Malheureusement, il y’a une autre façon pour les pirates afin d’identifier vos noms d’utilisateur WordPress, notamment grâce à l’URL de l’auteur des archives. Par défaut, WordPress va afficher le nom d’utilisateur dans cet URL. Par exemple, si le nom d’utilisateur est « robert », l’URL de l’auteur des archives ressemblera à quelque chose comme:
http://votresite.com/author/robert
Heureusement, la solution est assez simple, même si elle nécessite de creuser dans le fin fond de votre base de données de votre site. En outre, de nombreux plugins permettent de rendre indisponible, de rediriger et/ou de masquer l’existence de cette page. Rendez-vous sur la page plugin de WordPress.org
5. Changez vos mots de passe régulièrement
Oui. Ouvrez votre calendrier et marquer un jour où vous allez changer vos mots de passe – et puis planifiez un événement régulier. C’est ennuyeux mais c’est efficace et crucial.
Il y’a une raison à cela : comme de nombreux analystes en sécurité informatique vous demandent de changer vos mots de passe sur de multiples plateformes, il en est de même lorsqu’il s’agit de votre compte/site WordPress. Assurez-vous que vous utilisez des mots de passe sécurisés lorsque vous en changez un. Environ 8% des sites WordPress sont piratés en raison d’un mot de passe faible, c’est à dire facilement identifiable via des méthodes de hack basiques. Utilisez une combinaison de chiffres, de symboles, et de lettres différentes (majuscules, minuscules, caractères spéciaux genre « ç », « è », « % », « & », etc.) et de manière plus générale, un gestionnaire de mot de passe (faudrait pas vous retrouver bloqué à cause d’un surplus sécuritaire non-plus !).
Même si la plupart des sites vous recommanderont d’utiliser huit caractères, essayez de choisir des mots de passe avec plus de dix caractères. Et garder à l’esprit de ne pas enregistrer de document répertoriant vos mots de passe dans DropBox ou Google Docs !
6. Limitez les tentatives de (re)connexion
Il est possible de bloquer une adresse IP unique qui essaye de pirater votre site en limitant les nombreuses tentatives de connexion et reconnexion. Bien sûr, les pirates ingénieux peuvent toujours recourir à l’utilisation de plusieurs adresses IP, mais cela nécessite beaucoup de travail, ce qui diminue les risques de se faire attaquer par les hacker fainéants ;-). Pour beaucoup d’entre eux, il sera plus facile de passer à un autre site que de continuer à attaquer le votre. C’est la raison pour laquelle verrouiller la quantité de tentatives de connexion pour votre site est impératif.
Cela peut être fait avec des plugins gratuits qui bloquent automatiquement une IP après avoir enfreint la limite de connexion, que vous pourrez fixer vous même. Certains de ces plugins disponibles sur WordPress.org vous permettront de spécifier vous-même combien de temps une adresse IP restera verrouillé.
En gros, ces plugins sont comme des policiers qui viennent mettre en garde à vue un farceur qui frappe à votre porte pendant 15 minutes d’affilées, la nuit, pendant votre sommeil…
7. Supprimez tous les plugins ou thèmes que vous n’utilisez pas
Avoir aussi peu que possible du code (exécutable) disponible sur votre site/serveur permet également de maintenir la sécurité de votre plateforme WordPress. Retirer ou supprimer des plugins et les thèmes que vous n’utilisez pas sur votre site est la norme, d’autant plus que la probabilité que certains ne soient pas à jour à moyen terme accentuera les risques de piratage. Il n’y a aucune raison qu’ils restent là, présent sur votre plateforme. Ils prennent de la place sur votre serveur de toute façon.
8. Empêcher les autres de surfer sur votre structure/dossier WordPress
Grâce à l’explorateur disponible dans certains navigateurs web, n’importe qui peut jeter un regard à vos fichiers et dossiers WordPress, sauf si vous désactivez cette option. Cela peut être fait en ajoutant la ligne de code suivante à votre fichier « .htaccess » qui se situe dans le répertoire d’installation de WordPress:
Options All – Indexes
Vous devez aussi inclure un fichier vide « index.php » dans vos dossiers « wp-content/themes » et « wp-content/plugins ».
Astuce Bonus: 5 plugins qui vous aideront à sécuriser votre wordpress
Voici une liste de quelques plugins utiles qui vous aideront à sécuriser votre site sous WordPress:
- Bulletproof Security vous permettra de protéger votre site en verrouillant le fichier .htaccess
- All-in-One WP Security and Firewall est un pare-feu pour votre site web, auto-explicatif
- Sucuri-Scanner scannera votre site WordPress pour les logiciels malveillants, souvent cachés
- Wordfence est un plugin de sécurité exceptionnel, avec des tonnes de fonctionnalités et de soutien
- Exploit Scanner analysera votre base de données WordPress et identifiera tout code suspect
Gardez votre site en toute sécurité !
Bien sûr, vous ne pouvez pas négliger les bases, comme la réalisation de sauvegardes régulières de votre site internet et de sa base de données, utiliser un hébergement web sécurisé et de qualité, et limiter l’accès de l’utilisateur à la page d’administration de votre site. Si vous suivez nos conseils, vous devriez ne pas avoir de problème pendant longtemps.
Même si il n’y a aucune garantie quand il s’agit de la sécurité informatique, il y a encore des choses que vous pouvez faire pour mieux vous protéger, et vous en avez maintenant les moyens. Alors faites-les.
Bon courage et n’hésitez pas à partager avec nous vos commentaires, remarques, anecdotes, ou histoires relatives à la sécurité de votre WordPress.
Merci pour cet article avec quelques conseils bien sympas.
Au départ, quand on lance un site, on ne fait pas forcément attention aux questions de sécurité.
Mais il est important de se pencher sur ce genre de question lorsque l’on commence à avoir un site avec du contenu …
PS : il manque peut-être un plugin de back-up à votre liste … 😉