Over 10 years we helping companies reach their financial and branding goals. Onum is a values-driven SEO agency dedicated.

CONTACTS
Wordpress Sécurité

Comment Sécurisé un Site WordPress?

Lorsqu’un site internet est en place et accessible avec le meilleur CMS du monde, il faut penser à sécuriser WordPress. Lorsqu’on utilise un ordinateur, la sécurité de ce dernier est un aspect essentiel pour protéger ses données. Avec un site internet, la problématique est exactement la même.

En effet, vous souhaitez protéger votre travail qui est peut-être de surcroît votre gagne-pain. A noter que certaines parties de ce tutoriel sont applicables sur d’autres types de sites (autre CMS comme Joomla!, Drupal, Prestashop, Magento…).

Surtout, un site est accessible 24 heures / 24 et 7 jours / 7, alors que vous éteignez par exemple votre ordinateur régulièrement. C’est pour cela qu’il faut sécuriser WordPress. Voyons plus en détail les raisons qui doivent vous pousser à améliorer ce point.

1. POURQUOI SÉCURISER WORDPRESS ?

La raison principale pour sécuriser WordPress, c’est que bien souvent vous n’êtes pas la cible. Pardon ? Je n’ai pas compris ce que tu viens de dire. Je m’explique. En réalité, la majorité des attaques sont faites par des robots dédiés à cette tâche.

En effet, dès qu’une faille est découverte, les pirates informatiques créés des petits programment qui vont aller de site en site pour découvrir si cette faille est exploitable sur ce dernier. Si c’est possible, il exploite. Généralement, l’objectif est de créer un Botnet ou de créer des liens artificiels et à votre insu vers d’autres sites. Mais il peut y avoir d’autres fonctions plus avancées.

1.1. LES POINTS FAIBLES DE WORDPRESS

Avant de présenter les bonnes pratiques pour « sécuriser WordPress », il est intéressant de présenter les points faibles que le CMS peut avoir. En effet, il n’y a pas qu’un point faible, car un CMS est un assemblage de code plus ou moins complexe sur lequel on ajoute d’autres éléments. Ci-dessous les quatre principaux points vulnérables pour WordPress :

  • Hébergement
  • Thèmes
  • Plugins
  • Le mot de passe

D’ailleurs, un peu plus de 80 % des sites internet WordPress qui ont été piratés n’étaient pas à jour. C’est la principale cause. Par jour, il y a 30 000 sites qui sont piratés dans le monde.

2. LES BONNES PRATIQUES POUR SÉCURISER WORDPRESS

Ci-dessous, je vous propose une liste des bonnes pratiques pour sécuriser WordPress. Celle-ci évoluera certainement dans le temps. Vous pouvez également ajouter vos propres expériences et avis dans les commentaires, le partage et les retours d’expériences sont vraiment intéressants dans ce type de cas.

Si vous respectez l’ensemble des paramètres ci-dessous, vous ne devriez pas avoir d’ennui avec votre site internet. Surtout pour ce qui concerne les attaques automatiques par l’intermédiaire de robots.

2.1. AVOIR UN BON HÉBERGEMENT

Avoir un bon hébergement est un des piliers pour sécuriser WordPress. Beaucoup de personnes créant leur site internet souhaitent avoir du tout gratuit ou faire des économies sur tout. Très franchement, c’est une très mauvaise idée. Il vaut mieux payer pour quelque chose de qualité qu’obtenir gratuitement quelque chose de bancal qui risque de vous porter préjudice. A noter aussi que certains hébergeurs proposent gratuitement des pares-feux applicatifs pour protéger votre site.

En effet, un hébergeur va avoir un rôle primordial dans la sécurité, car c’est lui qui doit surveiller et mettre à jour les serveurs sur lesquels votre site est installé. Si cela est mal fait, c’est la porte ouverte aux problèmes. De plus, les hébergements payants ne sont vraiment pas chers désormais, pour 1,99 $HT par mois, vous pouvez avoir un hébergement (entrée de gamme, mais fonctionnel).

2.2. AVOIR UN CERTIFICAT SSL

De même, en fonction du choix de votre hébergeur, vous aurez la possibilité de mettre en place un certificat SSL pour votre site. Plusieurs hébergeurs (comme OVH), le proposent gratuitement par l’intermédiaire de Let’s Encrypt. Une autre solution est d’utiliser Cloudfare (que je vous présenterais en fin d’article).

Cela permet de sécuriser la connexion entre votre site internet et les visiteurs. C’est le fameux HTTPS que vous voyez au début des adresses URLs. Celles-ci sont de plus en plus utilisées, si vous n’en avez pas, faites la migration de votre site avec cette dernière. A noter qu’il s’agit désormais d’un critère pris en compte par les moteurs de recherche pour le référencement.

2.3. FAIRE LES MISES À JOUR DE WORDPRESS RÉGULIÈREMENT

Cela peut sembler un peu bateau, mais il est important de les faire. C’est une des principales raisons de piratage. Faire des mises à jour régulières permet de sécuriser WordPress. Certaines mises à jour sont automatiques et d’autres non. Il faut les faire manuellement. Pour ces dernières, il ne faut pas trop tarder pour les réaliser. C’est pour cela qu’il est important de se connecter régulièrement à son espace administration.

Si votre WordPress affiche sa version dans le code source, il est fortement recommandé que ce soit la dernière, sinon les pirates peuvent utiliser les failles de la version que vous utilisez. Je vous montrerais par la suite comment masquer la version.

2.4. FAIRE LES MISES À JOUR DU THÈME ET DES PLUGINS

Faire la mise à jour de WordPress, mais ne pas faire celles des plugins et de votre thème n’a pas de sens. D’ailleurs, les mises à jour sont régulières. Si vous ne les faites pas, vous risquez d’avoir très rapidement des problèmes.

Les mises à jour étant courantes pour les plugins et les thèmes, on peut être tenté de les laisser de côté par fainéantise ou par ce qu’on ne se connecte pas souvent à son espace administrateur. C’est une mauvaise idée, je connais plusieurs personnes qui ont été piratées, car elles n’avaient pas fait les mises à jour depuis pas mal de temps.

2.5. ATTENTION AU CHOIX DU THÈME ET DES PLUGINS

De même, soyez très vigilant sur le choix de votre thème et de vos extensions. J’en parlais déjà dans deux articles pour installer une extension et installer un thème. En effet, si vous utilisez un plugin ou un thème qui n’est pas suivi au niveau des mises à jour, vous vous exposez aux attaques. Il faut donc choisir ceux qui seront développés dans le temps, généralement les plus téléchargés ou les payants. D’ailleurs les plus téléchargés sont souvent des freemiums, une partie gratuite et des options complémentaires payantes.

Pour développer un site internet dans le temps, il ne faut pas hésiter à payer un peu pour avoir des plugins et un thème de qualité qui ne poseront pas de problème de stabilité. En effet, pour les versions uniquement gratuites, les développeurs peuvent laisser le projet à l’abandon et sans mise à jour, et vous exposerez dès lors votre site.

2.6. INSTALLER UNE EXTENSION DE SÉCURITÉ

Pour sécuriser WordPress, je vous conseille d’installer une extension de sécurité. Il en existe plusieurs. Les plus connues sont certainement WordFence et iTheme. Ma préférence allant à la seconde, c’est avec celle-ci que je vais vous présenter comment sécuriser WordPress davantage.

C’est un plugin très complet qui a été téléchargé près d’un million de fois (à l’heure où ces lignes sont écrites). Il est freemium, donc gratuit, mais avec des options complémentaires payantes. Ci-dessous, plusieurs méthodes seront présentées avec la version gratuite, qui suffit largement dans la majorité des cas.

2.7. UTILISER UN MOT DE PASSE COMPLIQUÉ

Une des principales causes de piratage, ce sont les mots de passe. Pourtant, on a souvent l’impression que ce point est pris à la légère. Il faut voir les études qui ont été faites sur le sujet. Par exemple avec le fameux « 123456 » qui a la vie dure.

Donc, vous devez créer des mots de passe forts, qui alterne les majuscules, les chiffres et même les symboles. Cela va fortement atténuer les chances pour un attaquant de trouver le mot de passe. Il suffit d’utiliser des générateurs de mots de passe en ligne.

2.8. MASQUER LA VERSION DE WORDPRESS UTILISÉE

Vous ne le savez peut-être pas, mais WordPress affiche la version qui est utilisée par la CMS. Mais où celle-ci est-elle affichée. Dans le code source. Il suffit d’aller sur une page de votre site, faire un clic droit, puis afficher le code source. Dans l’en-tête, la version s’affiche. Si vous êtes toujours à jour, cela n’est pas très grave, mais si vous utilisez une version obsolète, le pirate n’a plus qu’à utiliser les failles de cette dernière.

Pour la masquer, il faut agir sur le fichier « function.php » de votre thème et supprimer le fichier readme.html qui se trouve à la racine de WordPress (je ne comprends pas pourquoi il le laisse d’ailleurs).

Voyons comment supprimer le fichier « readme.html », il suffit de vous connecter à votre serveur FTP avec un logiciel comme Filezilla et de supprimer le fichier. Pour accéder au fichier function.php de votre thème. Vous pouvez le faire sur le serveur FTP (dans le dossier de votre thème). Il est également possible de le faire par l’intermédiaire de l’espace administration « Apparence => Editeur => function.php ». Mais nous verrons par la suite qu’il vaut mieux désactiver cette fonction.

L’idéal est donc d’accéder directement au fichier sur son espace FTP. Le fichier se trouve dans « wp-content » => « themes » => « nomDeVotreTheme » => « function.php ».

Dans ce dernier, rendez-vous à la dernière ligne, soit vous trouvez une fermeture de balise PHP qui ressemble à ceci « ?> » et vous devez insérer le code avant, soit il n’y a pas de balise et il suffit de mettre le code ci-dessous sur cette dernière ligne.

remove_action("wp_head", "wp_generator"); 
function supprimer_versions( $src ){
$parts = explode( '?', $src );
$ver = '?ver=' . md5( wp_salt( 'nonce' ) . $parts[1] );
return $parts[0] . $ver;
}
add_filter( 'script_loader_src', 'supprimer_versions', 15, 1 );
add_filter( 'style_loader_src', 'supprimer_versions', 15, 1 );

La première ligne du code va désactiver l’affichage de la version, et le reste du code va chiffrer les versions des scripts utilisés par votre site.

Attention, quand il y aura des mises à jour, le fichier sera effacé et remplacé par un nouveau. Si vous souhaitez maintenir le code, il faudra créer ce qu’on appelle un thème enfant.

2.9. MODIFIER LE PRÉFIXE

Lorsque vous créez votre site WordPress, vous avez la possibilité de modifier le préfixe des bases de données. C’est au moment au vous devez renseigner les paramètres de la base de données qui sera utilisée. Par défaut, c’est « wp_ » qui est utilisé. Si vous êtes à cette étape, vous pouvez le changer immédiatement. Pour cela, remplacer le préfixe par autre chose, par exemple « vnsue_ ». Cela complique l’extraction des données en cas d’injonction SQL.

Mais si vous avez déjà fait l’installation, il est possible de changer très facilement le préfixe. Avec l’extension iTheme. Il suffit d’accéder aux options avancées « Change Database Table Prefix », de sélectionne « oui » à côté de « Change prefix »  et de valider. Un message confirme le changement. Faites une sauvegarde de votre base de données au cas où un problème surviendrait.

2.10. SUPPRIMER LE COMPTE ADMIN

Le compte Admin est celui qui est créé par défaut lorsqu’on créer un site avec WordPress. Si vous ne faites rien, il reste accessible depuis l’espace de connexion. Autrement dit, les pirates connaissent un compte avec les droits absolus sur votre site. Il suffit de découvrir le mot de passe et on peut accéder à l’administration.

L’idée est donc de supprimer ce compte. Pour cela, il suffit de créer un nouvel utilisateur possédant les droits « Administrateur ». Ensuite, vous vous connectez avec le compte que vous venez de créer. Vous pouvez supprimer le compte Admin.

Une autre bonne pratique est de créer un compte supplémentaire qui sera dédié uniquement à la rédaction du contenu (article, page…). Ainsi, si vous créez une page auteur, cela évite de communiquer l’identifiant de connexion d’un compte administrateur (certains thèmes l’affichent), ce sera celui d’un compte ayant peu de droits.
 

2.11. EMPÊCHER LE BRUTE FORCE SUR LE LOGIN ADMIN (NOMBRE DE TENTATIVE)

Si vous avez laissé votre espace de connexion administrateur accessible ou si un pirate trouve la nouvelle adresse de ce dernier, il peut tenter d’utiliser une méthode qui s’appelle, le brute force.

Pour cela, il va tenter une multitude de combinaison possible par l’intermédiaire d’un logiciel qui test les mots de passe et le login jusqu’au moment où la combinaison tombe juste. S’il a déjà le login (par exemple admin), il a juste à se concentrer sur le mot de passe. Cette technique permet de trouver un mot de passe après un délai long (car il faut tout tester). Pour gagner du temps, les pirates peuvent utiliser des dictionnaires contenant les mots de passe les plus courants, mais ce n’est pas la question.

Une solution pour empêcher cette attaque est de mettre en place un bannissement de l’adresse IP après un certain nombre de tentatives. Il faut des milliers ou des centaines de milliers de tentatives pour réussir, mais l’attaquant à tous sont temps si on ne le détecte pas. Si vous bloquez l’adresse IP rapidement, l’attaque s’arrête.

 

Le plugin iTheme permet de mettre en place cela. Il faut aller dans l’option « Local Brute Force Protection ». Dans cette partie, il suffit de renseigner le nombre de tentatives maximum autorisé. Par exemple 5. Et le délai pendant laquelle l’IP sera bannie. Par exemple, 60 minutes. De même, si vous avez enlevé le compte Admin, vous pouvez bannir automatiquement une IP qui tente une connexion avec cet identifiant.

2.12. SAUVEGARDER VOTRE HÉBERGEMENT ET VOTRE BASE DE DONNÉES

Il est très important de faire des sauvegardes régulières de votre hébergement (espace FTP) et de votre base de données. En cas de problème ou de piratage, vous pourrez rapidement restaurer votre site WordPress. Il faut aussi penser aux cas de dysfonctionnement (par exemple le syndrome de la page blanche) ou des mises à jour qui provoquent un bug. Une sauvegarde vous permet de remettre le site en fonctionnement rapidement.

Vous pouvez consulter cet article présentant la sauvegarde d’un site internet. Le choix de l’hébergeur sera important ici également. Par exemple, avec OVH, vous pouvez restaurer votre espace FTP en 2 clics depuis l’espace de gestion avec différentes dates (J -1, J -2, 1 semaine…). Et c’est la même chose pour les bases de données. Vous pouvez facilement les exporter, les sauvegarder et les restaurer. D’où l’importance d’avoir un bon hébergeur.

Pour la base de données, vous pouvez utiliser le plugin iTheme avec la partie « Sauvegarde de la base de données ». Dans celle-ci, vous accédez aux options de gestion. Vous pouvez choisir de recevoir la sauvegarde par mail (à partir d’une certaine taille, c’est problématique) ou sur le serveur, choisir le nombre de sauvegardes à conserver, choisir les tables à sauvegarder…

3. ATTENTION À VOTRE PC ÉGALEMENT

Peut-être une faille à laquelle vous n’avez pas pensé. Votre PC est un maillon faible de la chaîne. Pourquoi ? Un exemple simple, un enregistreur de frappe est installé à votre insu sur votre ordinateur. Les mots de passe pour vous connecter à votre espace administrateur, votre login, l’URL modifiée seront récupérés par le pirate qui pourra en faire ce qu’il veut. De même, pour les identifiants de votre compte hébergeur ou de la connexion FTP.

C’est pour cela que votre PC est aussi important. Vous devez donc être très vigilant avec ce dernier et mettre en place une politique de sécurité (antivirus, pare-feu, anti malware…).

4. CONCLUSION

Voilà, cet article se termine. Il vous permet de mettre en place des bonnes pratiques pour sécuriser WordPress. Je souhaitais que les méthodes présentées soient les plus simples possible. En effet, bon nombre d’entre elles  auraient pu être réalisées sans l’utilisation du plugin « iTheme ». Pour cela, il aurait fallu utiliser des codes à insérer directement dans les fichiers de votre espace FTP.

Cela peut-être déroutant pour ceux qui ne sont pas habitués. J’ai donc privilégié le plus possible la simplicité et la fonctionnalité. En procédant de la sorte, vous obtenez les mêmes résultats, sans connaissances particulières. Désormais, vous pouvez rapidement sécuriser WordPress.

Auteur

Petrus

Informaticien, webmaster depuis 2016, passionné par l’univers web et son évolution croissante, j’ambitionne de mettre mes compétences au service d’une entreprise à la culture innovante, enthousiaste et audacieuse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Discutons
Discutons sur whatsapp
Bienvenue Chez KEPHATECH - Web Enterprise
On peut vous aider?