Au cours des dernières années, le nombre d’utilisateurs d’internet et de blogueurs a considérablement augmenté. Comme WordPress est facile à mettre en place et à configurer, il est devenu l’une des applications les plus populaires et les plus utilisées par les blogueurs. En raison de cette popularité, WordPress est désormais le lieu de prédilection des pirates informatiques. D’après un rapport réalisé en 2017 par Sucuri, 83% des sites sous CMS piratés sont des WordPress. Découvrez à présent comment sécuriser votre site WordPress en 2018.
Mais il ne s’agit pas seulement de sécuriser le site WordPress contre les pirates, il est important de savoir pourquoi je sécuriserai mon site WordPress? Quelles sont les chances que quelqu’un essaie vraiment de me pirater?
Ne vous inquiétez-vous pas d’héberger des liens cachés vers des sites de viagra ou que Google signale votre site comme étant infecté par un logiciel malveillant? Hmm. Examinons la gravité de la menace à laquelle vous êtes confronté. Considérer ce qui suit:
- Il n’est pas très difficile de déterminer si un site fonctionne sur WordPress ou non.
- Si un site s’exécute sur WordPress, l’ajout du domaine avec wp-login.php vous amènera presque toujours à la page de connexion (même s’il n’est pas lié sur le site).
- Comme «admin» est le premier nom d’utilisateur par défaut, la plupart des sites WordPress l’utilisent et ce nom d’utilisateur dispose d’un accès administrateur complet.
- Ainsi, pour la plupart des sites WordPress, la sécurité de l’ensemble du site est littéralement aussi forte que celle du mot de passe administrateur.
Un peu effrayant, non? Essayons de vous faire un peu plus peur. Chaque jour, il y a près de 50 000 à 180 000 tentatives de connexion non autorisées sur les sites hébergés par WordPress. La grande majorité d’entre eux sont des pirates informatiques utilisant des techniques d’attaque par force brute (essayant des millions de combinaisons, de noms d’utilisateur et de mots de passe) pour accéder à des sites Web et faire des ravages. Il est possible, voire probable, qu’un pirate informatique à l’autre bout du monde tente de pirater votre site en ce moment même.
Maintenant que vous vous rendez compte à quel point votre site Web est vulnérable, voici une liste très détaillée de la façon de sécuriser un site Web WordPress contre les pirates et comment protéger un site WordPress contre les logiciels malveillants.
1. Maintenir des mots de passe forts
Démarrons la liste avec l’étape la plus facile à mettre en œuvre immédiatement. Si votre mot de passe administrateur actuel est « motdepasse123 » ou quelque chose de similaire dans sa simplicité, alors vous avez un sérieux problème de sécurité. Vous pourriez aussi bien avoir un néon clignotant Bienvenue! Connexion pour les pirates informatiques libre sur la page d’accueil de votre site web.
Nous vous suggérons d’utiliser des mots de passe forts comprenant des lettres majuscules / minuscules, des chiffres et des symboles. Quelque chose comme rockSTAR19!@ ou $h@ruKh r0ck$ sont d’excellents exemples de mots de passe forts. Comme mentionné ci-dessus, la plupart des pirates tentent de forcer le mot de passe par force brute. Si votre mot de passe est aussi fort que nous l’avions suggéré précédemment, ça devrait aller.
2. Restez à jour
La deuxième étape cruciale consiste à vous assurer que la version de votre WordPress est à jour. L’équipe WordPress crée des correctifs pour aider à réparer les failles de sécurité. Mais WordPress aura-t-il toujours une longueur d’avance sur les pirates? Bien sûr que non. Bien au contraire. Dans la plupart des cas, comme pour la détection des attaques terroristes par notre gouvernement, les logiciels seront toujours une étape derrière les pirates informatiques.
Mais lorsque des failles de sécurité majeures sont connues et que des correctifs sont disponibles, il n’y a aucune excuse pour ne pas les mettre en œuvre. Ainsi, gardez un œil sur les mises à jour WordPress. La même chose vaut pour les plugins et les thèmes WordPress. Je vous invite à lire l’article de Developpez qui traite de milliers d’attaques qui ont eu lieu depuis début septembre par injection de code Javascript en utilisant des failles dans vulnérabilités dans les plugins et thèmes obsolètes.
3. Nettoyez votre site comme si vous nettoyiez votre cuisine
Maintenant que vous avez les derniers plugins et mises à jour, pourquoi ne pas vous débarrasser des anciens? Vous ne laisseriez pas la vaisselle sale et l’argenterie dans l’eau froide pendant trois jours dans votre évier? Bien sûr que non. Ce serait un terrain fertile pour la saleté et la boue. Si vous n’utilisez plus de vieux thèmes et plugins, en particulier s’ils n’ont pas été mis à jour, vous pouvez simplement commencer le compte à rebours de votre prochaine violation de sécurité. Un site désordonné rend également beaucoup plus difficile le fonctionnement des professionnels de la sécurité en cas de compromission de votre site.
4. Créer des sauvegardes
Prenez l’habitude de sauvegarder votre blog et votre base de données à intervalles réguliers. Vous pouvez le faire manuellement ou utiliser un plugin, nous vous conseillons ce tutoriel pour sauvegarder votre site WordPress avec UpdraftPlus (nous l’utilisons depuis plusieurs mois pour réaliser une sauvegarde automatique journalière sur notre cloud sécurisé).
5. Renommez le compte administrateur
Lorsque WordPress est installé sur un système par défaut; il définit le nom d’utilisateur «admin» en tant qu’administrateur du blog. Pour une meilleure sécurité, il n’est pas conseillé d’utiliser «admin». Après l’installation, vous pouvez créer un nouvel utilisateur avec des droits d’administrateur et supprimer « admin ».
Mais rappelez-vous que ce n’est pas le summum des mesures de sécurité. Les pirates peuvent trouver des noms d’utilisateurs assez facilement à partir d’articles de blog ou ailleurs. Plus important que de déguiser le nom d’utilisateur de l’administrateur, assurez-vous que chaque nom d’utilisateur de votre site avec accès administrateur est protégé par un mot de passe fort. (Oui, nous vous renvoyons au n°1 de cette liste.)
6. Plugins de pare-feu
Il existe quelques plugins qui analysent les requêtes suspectes en fonction des règles de bases de données et/ou des white-lists. Par exemple, le plugin « Wordfence » utilise des règles WordPress préconfigurées avec une white-list pour éliminer les attaques sans trop de configuration. Un autre de ces plugins de sécurité WordPress est MalCare – une solution de sécurité en un clic pour les sites web qui sécurise vos sites 24 heures sur 24 et 7 jours sur 7 en identifiant et en supprimant les logiciels malveillants.
7. Modifiez le préfixe de la table WordPress
Le préfixe de table par défaut pour wordpress est wp_. Nous le savons, vous le savez et le pirate aussi. Les attaques par injection SQL sont plus faciles avec le préfixe de table par défaut car elles sont plus simple à deviner. La modification du préfixe de la table de base de données est fortement recommandée et vous pouvez le faire en suivant ce tutoriel.
8. Secure wp-config.php
Wp-config.php est important car il contient toutes les données sensibles et la configuration de votre blog et nous devons donc le sécuriser via .htaccess. Le simple fait d’ajouter le code ci-dessous au fichier .htaccess dans le répertoire racine fera l’affaire.
# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>
9. Pas de navigation dans les répertoires
Ce n’est pas une bonne idée d’autoriser vos visiteurs à parcourir l’ensemble de votre répertoire. C’est un moyen facile de découvrir les structures de répertoires, ce qui permet aux pirates de rechercher plus facilement les failles de sécurité. Pour empêcher cela, ajoutez simplement ces 2 lignes dans votre fichier .htaccess dans le répertoire racine de votre blog WordPress.
# disable directory browsing
Options All “Indexes
10. Bloquer les dossiers WP de l’indexation par les moteurs de recherche
Les scrawler des moteurs de recherche parcourent l’intégralité de votre site et indexent chaque contenu, sauf si l’on vous demande de ne pas le faire. Nous ne voulons pas indexer la section admin car elle contient toutes les informations sensibles. Le moyen le plus simple d’empêcher les robots d’indexer le répertoire admin consiste à créer un fichier robots.txt dans votre répertoire racine. Placez ensuite le code suivant dans le fichier :
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
11. Prévention de l’injection SQL et du piratage d’URL
WordPress est une plate-forme basée sur une base de données qui exécute des scripts côté serveur en PHP. Cela rend WordPress vulnérable aux attaques d’insertion d’URL malveillantes.
Dans une injection SQL , les pirates informatiques incorporent des commandes dans une URL et accèdent aux informations sensibles de votre site. D’autres versions de hacks d’URL peuvent déclencher des commandes PHP involontaires, ce qui peut conduire à l’injection de logiciels malveillants ou à la divulgation d’informations sensibles. Alors, comment empêcher de telles attaques?
Copiez et collez simplement le code ci-dessous dans votre fichier .htaccess à la racine. Il fonctionne à merveille.
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
12. Prévention des tentatives de connexion par force brute
Les pirates s’appuient souvent sur des scripts automatisés qui tentent de se connecter à votre page d’administration WordPress en essayant des milliers et des millions de combinaisons de noms d’utilisateur et de mots de passe. Rappelez-vous la stat que nous avons cité pour vous faire peur? Cela vaut la peine de le répéter : chaque jour, il y a près de 50 000 à 180 000 tentatives de connexion non autorisées sur les sites hébergés par WordPress.
Avant de passer à l’ampleur de ce nombre, sachez que vous êtes loin d’être impuissant face à ces tentatives de piratage sans nom et sans visage.
Retournez d’abord à l’étape 1 de la liste.
Deuxièmement, installez un limiteur de connexion pour WordPress. Un limiteur de connexion peut essentiellement bloquer ou mettre en quarantaine une adresse IP ou un nom d’utilisateur qui tente d’envoyer des demandes de connexion au-delà d’un seuil. Par exemple, une limite de connexion de 10 tentatives par 5 minutes peut être sauvegardée avec un délai d’expiration de 1 heure. IThemes Security est un plugin WordPress qui vous permet de limiter les tentatives de connexion.
À vous!
Rappelez-vous que les étapes ci-dessus ne sont pas les seules mesures de sécurité à prendre en compte, mais qu’elles constituent un bon début, en particulier pour ceux qui ont des difficultés à mettre en œuvre les principes de base.
Des conseils de sécurité WordPress que nous aurions pu manquer? N’hésitez pas à partager vos pensées dans le commentaire ci-dessous.