La sécurité des sites WordPress est souvent comparée à une sorte de « renforcement » : comme si vous étiez propriétaire d’un château fort et que vous ajoutiez des renforts à celui-ci. Il faudrait renforcer les portes d’entrée et mettre des postes de surveillance sur chaque tour. Mais ce type de “renforcement” ne permet pas toujours de vous rendre compte des petits détails qui rentrent en jeu dans l’amélioration de la sécurité de votre site.

Même si vous n’êtes pas un expert du sujet, vous connaissez certainement déjà quelques tactiques. Il est également probable que vous avez entendu parler d’un plugin ou deux qui peut accomplir ces tâches.

As WordPress continues to grow as a platform, security is not something you should neglect.

WordPress propulse plus d’un quart du web, avoir une sécurité robuste est crucial.

Saviez-vous que 77% des sites utilisant WordPress comme CMS ont été considérés comme « vulnérables » en 2016 ?

Ou que, parmi les 3 plugins les plus vulnérables, 2 sont des plugins commerciaux disponibles à l’achat ?

Bien que l’installation de base de WordPress est relativement sécurisé (et constamment mis a jour), le plus vous ajoutez de plugins, de thèmes et de code personnalisé, le plus votre site est susceptible d’être piraté. Et le nombre d’utilisateurs que vous avez sur votre installation démultiplie encore ce danger.

C’est pourquoi nous allons explorer 12 façons pour sécuriser le backend de votre site pour vous assurer que vos informations (et celles de vos clients) demeurent sécurisées.

Ce que vous devez déjà savoir

Destiné au néophyte, ce petit rappel des méthodes de base est obligatoire.

Gardez votre installation de WordPress bien à jour.

Cette simple tâche peut avoir un grand impact sur la sécurité de votre site. Chaque fois que vous vous connectez au tableau de bord et que la bannière indique « Mise à jour disponible », cliquez dessus pour mettre votre site à jour.

Si vous avez peur de briser un élément de votre site, effectuez une sauvegarde avant. Car à chaque nouvelle version les failles de sécurité “réparées” sont annoncées publiquement et accessibles a tous. Les sites qui ne sont pas à jour sont de fait plus vulnérables.

Gardez vos plugins et thèmes mis à jour.

Tout comme vous mettez régulièrement votre installation WordPress à jour, vous devez également mettre à jour vos plugins et thèmes. Chaque plug-in et le thème qui est installé sur votre site ressemblent à une petite porte qui mène à l’administration de votre site.

Supprimer tous les plugins ou thèmes que vous n’utilisez plus.

Dans le même esprit, le fait de se débarrasser de tous les plugins et des thèmes dont vous n’avez plus besoin réduira la probabilité que votre site soit piraté. Si vous ne les utilisez pas, vous ne les mettrez plus à jour, il est donc préférable de les supprimer. Le fait de désactiver les plugins ne suffirait pas ; vous devez les supprimer.

Télécharger seulement les plugins et thèmes qui proviennent de sources connues.

Lorsque vous le pouvez, téléchargez les plugins et thèmes provenant directement de WordPress.org. En fait, ceux-ci sont vos meilleures options, car ils ont été soigneusement numérisés avant d’être admissibles aux Répertoires de thèmes ou des plugins. Si vous désirez télécharger un thème ou un plugin, téléchargez-les uniquement à partir de sources fiables comme ThemeForest ou le site Web d’un développeur respecté.

Modifier les permissions de fichiers.

Évitez la configuration des répertoires avec les autorisations 777. Vous devriez opter pour le 755 ou 750 à sa place, selon WordPress.org. Il faudrait aussi mettre des fichiers à 640 ou 644 et wp-config.php en 600.

N’utilisez pas « admin » comme nom d’utilisateur.

Si vous avez déjà installé WordPress en utilisant « admin » comme nom d’utilisateur, vous pouvez le changer en saisissant une requête SQL dans phpMyAdmin ou en suivant les instructions énoncées dans ce post.

Changez votre mot de passe souvent (et assurez-vous que c’est un bon mot de passe).

Si vous n’arrivez pas à trouver un mot de passe ou une “passphrase” assez complexe, vous pouvez utiliser un générateur de mot de passe – comme Strong Password Generator – pour accomplir cette tâche.

Assurez-vous que vos utilisateurs utilisent des noms d’utilisateur et des mots de passe complexes.

Si vos utilisateurs ne le font pas – tous vos efforts seront assez vains et votre site sera toujours aussi vulnérable. Les dernières versions de WordPress vous permettent de forcer les utilisateurs à créer des mots de passe complexes et des identifiants uniques.

Ajoutez l’authentification en deux étapes.

Si vous voulez prévenir les attaques par force brute, une très bonne façon idée est de mettre en place l’authentification en deux étapes. Ainsi, non seulement un mot de passe est nécessaire, mais aussi un code d’autorisation – envoyé sur votre téléphone – pour que vous puissiez vous connecter à votre site. Souvent, le deuxième code de connexion est envoyé par SMS. Plusieurs plugins peuvent être utilisés pour ajouter cette fonctionnalité comme Google Authenticator.

Installez un pare-feu sur votre ordinateur.

C’est une étape supplémentaire, facile à faire. Car si une personne cherche un moyen d’entrer sur votre site….une des portes d’entrée possibles est votre ordinateur personnel, qui contient toutes ces informations (mots de passe, identifiants…).

Limitez les logins.

L’attaque par forte brute (ou “brute force“, en Anglais) est la tactique la plus utilisée par les hackers. Si vous les le permettrez, ils vont essayer de se connecter à votre site encore et encore, jusqu’à ce qu’ils découvrissent votre mot de passe. C’est pourquoi on l’appelle « force brute » – parce que l’assaut est implacable et continue.

Cependant, il existe des plugins qui vous permettront de limiter le nombre de fois où une personne employant une adresse IP spécifique peut tenter de se connecter à votre site dans une période donnée.

Durant cette période, l’utilisateur est restreint et ne peut plus se connecter. Login LockDown est un excellent choix pour cette fonctionnalité. Cela dit, d’autres plugins offrent toute une suite d’outils de sécurité – comme iThemes Security et Sucuri Security– et intègrent la possibilité de contrôler le nombre de connexions durant un temps donné.

Limiter l’accès des utilisateurs.

Dès l’instant où vous donnez l’accès à votre administration WordPress à un collègue, un ami, un prestataire….vous devez vous forcer à lui donner uniquement les droits dont il a besoin. Worpdress vous permet de créer différents rôles (administrateur, redacteur…) Sinon c’est exactement comme si vous lui donnez les clefs de votre maison alors que vous lui avez juste demandé de repeindre votre portail.

Effectuez une sauvegarde de votre site, et pas juste “de temps en temps”.

Les sauvegardes planifiées sont une partie essentielle de la stratégie de sécurité de tout site Web, car elles garantissent – si votre site est compromis – le fait que vous serez en mesure de restaurer une version antérieure avec aisance. Choisissez une solution automatisée comme VaultPress, BlogVault, BackupBuddy ou WordPress Backup to Dropbox pour des sauvegardes simples, avec des options de restauration intégrées.

Vérifiez l’authenticité des thèmes, et effectuez des analyses de sécurité.

Tout comme l’installation d’un logiciel antivirus sur votre ordinateur qui surveille votre système pour attraper les logiciels malveillants, il est possible d’installer un scanner de sécurité sur WordPress. Un tel scanner vérifiera s’il y a du code malveillant dans vos plugins et dans les fichiers “core” pour faire certain que rien n’a été altéré. Il existe plusieurs scanners que vous pouvez utiliser sur votre site, dont Sucuri SiteCheck, CodeGuard et Theme Authenticity Checker.

Maintenant que nous avons abordé les choses que vous devriez déjà savoir si vous avez un site WordPress, nous pouvons passer à certaines choses plus obscures que peut-être vous ne connaissez pas encore.

Avant de commencer, je vous conseille de créer ou activer votre “thème enfant” (ou Child theme, en Anglais), avant de modifier vos fichiers php.

  1. Réduire votre usage des plugins.

Je sais que j’ai déjà mentionné qu’il faut supprimer les plugins et les thèmes inutilisés dans la liste ci-dessus. Mais vous devez aussi faire un effort pour limiter le nombre total de plugins que vous installez. Pour que votre site soit sécurisé, vous devez être scrupuleux quant aux critères que vous utilisez pour sélectionner les plugins. De combien de plugins avez-vous vraiment besoin?

How many plugins do you really need?

Ceci ne concerne pas seulement la sécurité. Ça concerne aussi la vitesse et la performance de votre site. Charger votre site avec trop de plugins peut le ralentir de façon spectaculaire.

Donc, si votre site peut fonctionner sans un plugin particulier, il est toujours mieux de l’ignorer. Alternativement, vous pouvez chercher pour ces plugins qui gèrent plusieurs fonctionnalités. Le moins de plugins vous avez, le plus vous serez en sécurité.

  1. Ne pas téléchargez pas des plugins premium gratuitement.

Bien que je comprenne très bien pourquoi vous le faites, télécharger des plugins premium dans un endroit autre que la page de vente officiel n’est pas une bonne idée. Ces versions illégales de plugins premium contiennent généralement des codes malveillants et malicieux.

Illegal versions of premium plugins usually contain malicious code.

En procédant avec des plugins piratés vous ouvrez une ligne directe au backend de votre site – une ligne directe depuis laquelle des personnes malveillantes peuvent exécuter n’import quelle action. Et pour quelle fin? Économiser 80$ ? Le jeu n’en vaut pas la chandelle, surtout si vous avez des membres sur votre site : vous les mettez aussi en danger (vol d’information, recoupement de données, utilisation frauduleuse, réponses aux questions secrètes…).

  1. Considérez les mises à jour automatiques.

Je vous ai déjà parlé de l’importance de mettre à jour votre installation de WordPress chaque fois qu’une nouvelle version est disponible, mais il mérite d’être répété.

Bien que les mises à jour mineures s’installent automatiquement, les mises à jour plus importantes nécessitent encore votre approbation.

Though minor updates install automatically, major ones still require approval.

Si vous souhaitez installer toutes les mises à jour automatiquement, il suffit d’insérer cela dans votre fichier wp-config.php :

define( 'WP_AUTO_UPDATE_CORE', true );
Attention : les mises à jour automatiques peuvent avoir un effet néfaste sur votre site, surtout si vous utilisez un plugin ou un thème qui n’est pas compatible avec la dernière version.
  1. Configurez les plugins et les thèmes pour qu’ils se mettent à jour automatiquement.

En règle générale, vous aurez besoin de mettre à jour les plugins et les thèmes manuellement. Après tout, les mises à jour prennent place à des moments différents pour chacun. Cependant, encore une fois, vous pouvez configurer les mises à jour automatiques pour que toutes vos infos restent à jour sans nécessiter votre intervention immédiate.

Vous pouvez configurer ceci en insérant ce code dans votre fichier wp-config.php.

Pour les plugins, utilisez :

add_filter( 'auto_update_plugin', '__return_true' );

Pour les thèmes, utilisez :

add_filter( 'auto_update_theme', '__return_true' );
  1. Éliminer l’éditeur des thèmes et des plugins.

Si vous êtes le genre de personne qui modifie régulièrement ses plugins et ses thèmes, vous pouvez ignorer cette section. Si vous ne l’utilisez pas régulièrement, l’éditeur des thèmes et des plugins, qui se trouve dans le tableau de bord de WordPress devrait être désactivé complètement.

Pourquoi ? Car les utilisateurs de WordPress autorisés ont accès à cet éditeur – si leurs comptes sont piratés, l’éditeur peut être utilisé pour abattre un site entier simplement en modifiant le code qui s’y trouve.

Vous pouvez enlever cet éditeur en insérant un autre morceau de code dans le fichier wp-config.php. Il est tout aussi simple:

define( 'DISALLOW_FILE_EDIT', true );
  1. Éliminer les rapports d’erreurs PHP.

Si un plugin ou un thème ne fonctionne pas correctement, il peut créer un message d’erreur. Ceci est utile lors d’un dépannage, mais voici le problème : ces messages d’erreur comprennent souvent votre chemin d’accès du serveur.

Les hackers ont alors seulement besoin de consulter vos rapports d’erreur pour obtenir toutes ces informations. C’est pourquoi il est toujours mieux idée de désactiver complètement cette fonction. Voici un autre extrait de code à ajouter à wp-config.php.

error_reporting(0); 

@ini_set(‘display_errors’, 0);
  1. Protégez vos fichiers les plus importants avec votre .htaccess

Si vous vous intéressé avec la sécurité en ligne, vous avez certainement entendu parler de .htaccess ; vous l’avez même probablement modifié. Cependant, vu que les changements que vous faites dans ce seul fichier peuvent avoir un impact énorme sur la sécurité de l’ensemble de votre site, je ne peux pas ignorer les conseils suivants.

Pourquoi est-ce fichier si important? Il est au cœur de WordPress et il affecte la façon dont votre site structures les permaliens et comment il gère la sécurité. Vous pouvez insérer de nombreux extraits de code dans le fichier .htaccess partout en dehors des balises #BEGIN WordPress et WordPress #END pour modifier les fichiers qui sont visibles dans le répertoire de votre site. Ces extraits proviennent directement du Codex WordPress.

Pour commencer, vous aurez envie de le cacher fichier wp-config.php, car c’est l’un de vos fichiers principal et il comprend des informations personnelles et bien d’autres détails relatifs à la sécurité de votre site. Cachez-le en ajoutant ce morceau de code à .htaccess:

<files wp-config.php>

order allow,deny 

deny from all 

</files>

Vous pouvez également restreindre l’accès à votre site en créant un nouveau fichier .htaccess et le télécharger dans le répertoire wp-admin. Insérez ensuite le code suivant:

order deny,allow 

allow from 192.168.5.1 

deny from all

insérez votre propre adresse IP à l’endroit approprié. Vous pouvez ainsi autoriser l’accès à wp-admin à plusieurs adresses IP en les énumérant, chacune sur une nouvelle ligne.

Vous pouvez restreindre l’accès à wp-login.php de la même manière. Il suffit d’ajouter le code suivant dans .htaccess:

<Files wp-login.php>

order deny,allow 

Deny from all 

# autoriser l'accent à l'IP suivante

allow from 192.168.5.1 

</Files>

Si vous souhaitez bloquer des personnes spécifiques qui tentent d’accéder wp-admin ou wp-login.php, vous pouvez le faire en bloquant les adresses IP individuellement en utilisant ce bout de code :

order allow,deny 

deny from 456.123.8.9 

allow from all

Une autre façon d’empêcher les gens de visualiser les répertoires de votre site est de les rendre non explorable. Ce simple morceau de code fera l’affaire:

Options All -Indexes
  1. Masquer les noms d’utilisateur des auteurs.

Si les valeurs par défaut WordPress sont laissées intactes, c’est vraiment facile de trouver les noms d’utilisateur de chaque auteur de votre site. De plus, puisque le plus souvent l’auteur principal d’un site est aussi l’administrateur, il est facile de trouver le nom d’utilisateur de l’administrateur – ce qui, bien sûr, n’est pas génial. Chaque fois que vous donnez des informations aux hackers d’une telle manière, vous courez le risque de voir votre site compromis.

Selon DreamHost, c’est une bonne idée de cacher les noms d’utilisateur des auteurs pour assurer que vous ne simplifiez pas le travail des pirates. Pour ce faire, tout ce que vous devez faire, c’est ajouter un peu de code à votre site. Une fois inséré, ce code fera en sorte que, lorsque quelqu’un entre author=1 après votre URL principale, il ne sera pas présenté avec les informations de l’administrateur. Au contraire, il sera plutôt renvoyé à votre page d’accueil. Il suffit de copier et coller le texte suivant dans votre fichier functions.php:

add_action(‘template_redirect’, ‘bwp_template_redirect’); 

function bwp_template_redirect() 

{ 

if (is_author()) 

{ 

wp_redirect( home_url() ); exit; 

} 

}
  1. Gardez une trace de l’activité du tableau de bord.

Si vous avez de nombreux utilisateurs sur votre site, il est préférable de garder une trace de ce qu’ils font. Non pas parce que vous les soupçonnez des méfaits, mais parce que – parfois, quand vous avez beaucoup de personnes impliquées sur un site – un faux pas simple peut provoquer la rupture de plusieurs éléments.

Voilà pourquoi la consignation des activités du tableau de bord est utile : il vous permet de retracer les étapes de vos utilisateurs, jusqu’à la source du problème.

A great, free plugin option for checking over activity on your site.

Oui, WordPress enregistre automatiquement ces informations, mais ce n’est pas facile de les utiliser. C’est une bien meilleure idée d’utiliser un plugin pour organiser toutes ces données.

Ainsi, vous pouvez voir si l’installation d’un certain plugin, le changement d’un extrait du code, ou le téléchargement d’un fichier a causé votre problème. Cela vous permet aussi d’être en mesure de voir ce que vos utilisateurs font sur votre site.

Il existe d’autres alternatives comme Activity Log et Simple History, qui valent la peine de les consulter.

  1. Masquez votre page de connexion.

Le fait de cacher certains éléments de votre site n’empêchera les pirates d’y accéder, mais cela peut leur compliquer la tâche ou les décourager.

En changeant d’URL ou renommant votre page de connexion, vous pouvez rapidement rendre plus difficile le travail des pirates. Les attaques par force brute sont généralement automatisées, donc – si votre page de connexion à un nom différent que www.nomdusiteweb.com/wp-admin ou www.nomdusiteweb.com/wp-login.php – ils auront plus de difficulté pour l’attaquer.

De nombreux plugins vous aident à faire ce simple changement pour vous, y compris Lockdown WP Admin, ainsi que plusieurs des principaux plugins de sécurité de WordPress.

  1. Choisissez le meilleur hébergement que vous pouvez vous permettre.

Vous pouvez triturer votre site autant que vous voulez, si vous ne disposez pas d’un bon hébergement, vos efforts n’auront que peu d’importance.

En effet, WP White Security signale que 41% des sites WordPress ont été piratés en raison d’une faille de sécurité sur l’hébergeur lui-même. Ce nombre constitue presque la moitié des installations totales. Si vous devez faire quelque chose au sujet de votre plan d’hébergement, faites-le rapidement.

Si vous utilisez un hébergement mutualisé, assurez-vous que votre plan comprend l’isolement des comptes. Cela permettra d’éviter que le site de quelqu’un d’autre qui est sur le même serveur n’affecte le vôtre.

Un fournisseur d’hébergement spécialisé WordPress est susceptible d’inclure un pare-feu WP, la mise à jour de PHP et MySQL, la vérification régulière de codes malveillants, un serveur qui est conçu pour l’exécution de WordPress et une équipe de service à la clientèle qui connaît WordPress de long en large et en travers.

Quelques excellents hébergeurs WordPress, dont les audits de sécurité sont solides : WP Engine, Pagely et Siteground.

  1. Gardez votre ordinateur à jour.

Parfois, les pirates peuvent accéder à votre site en raison des failles de sécurité qui se trouvent sur votre ordinateur. La meilleure façon de lutter contre cette menace est de garder votre ordinateur à jour.

Installez les correctifs logiciels lorsqu’ils sont mis sur le marché.

Vous pouvez aussi télécharger un logiciel antivirus gratuit comme Panda Free Antivirus, Comodo ou AVG.

Un dernier mot

Sécuriser un site WordPress constitue beaucoup plus que la simple installation de plug-in de sécurité. Certains parmi vous ont peut-être déjà des connaissances sur ce sujet, mais j’espère que certaines infos étaient de nouvelles découvertes.

Parfois, ce sont les choses les plus simples – des choses que vous avez négligées – qui feront la différence entre une bonne et une médiocre stratégie de sécurité.

Quelles actions allez-vous entreprendre pour sécuriser vos sites WordPress? Ai-je raté un détail que vous jugez vital ? N’hésitez pas à donner votre avis dans les commentaires ci-dessous.