Il se dit que la majorité de ces systèmes sont vulnérables aux attaques du premier apprenti hacker. Pourtant, ils peuvent aussi très bien se protéger.
En tant que responsable, si vous voulez bien maîtriser WordPress, vous devez aussi veiller à sa sécurité. Posez-vous dès lors la question de savoir comment le sécuriser au mieux.
La sécurité WordPress n’est pas mon truc, mais …
J’ai rencontré différents hackers chevronnés ces dernières semaines. Ils m’ont sensibilisé sur l’intérêt d’optimiser la sécurité WordPress.
Je ne suis pas expert pour la sécurité des sites de mes clients. Je vous partage ici des aspects importants auxquels vous devez faire attention et comment vous devriez agir. Si vous voulez de l’aide pour vous assurer le maximum de sécurité WordPress, je vous conseille de rencontrer une agence comme BF-Web.
Je vous partage ici mes découvertes.
Sécurisez votre page de connexion
Tout le monde sait par où se connecter à un site WordPress. Du coup, les pirates essaient toujours d’entrer par la grande porte : www.votre-site.com/wp-login.php ou www.votre-site.com/wp-admin/.
Pourquoi ne pas modifier l’adresse de cette page d’entrée ? Personne n’a à la connaître, hors vous, votre gestionnaire web, votre agence …
1. Bloquez toute tentative d’intrusion
Bloquer toute tentative répétée de connexion sur votre site vous évitera de gros problèmes. Si des hackers tentent d’entrer dans votre espace, vous en serez automatiquement averti, et ils seront bloqués.
Plusieurs de mes clients utilisent l’extension iThemes Security. Il est aussi installé sur ce site. Vous pouvez y paramétrer différentes d’options pour indiquer à partir de quand estimer qu’une tentative de connexion est un essai d’intrusion intempestif. C’est alors l’adresse IP du hacker qui est bannie, durant x temps (Vous pouvez choisir la durée dans l’administration du plugin).
2. Utilisez l’email pour vous connecter
Par défaut, on demande à l’utilisateur d’indiquer son nom d’utilisateur pour se connecter. Pourtant, utiliser une adresse email plutôt qu’un nom d’utilisateur est bien plus sécurisé.
Pourquoi ?
- Les noms d’utilisateur sont souvent communs (sans être péjoratif) et donc, plus faciles à deviner
- Une adresse email ne peut être utilisée que par un seul utilisateur
L’extension WP Email Login vous permet d’obliger de se connecter avec son adresse email. Le système sera opérationnel dès son installation. Rien à y configurer.
3. Renommez votre page de connexion
C’est toujours par l’adresse /login.php ou /wp-admin/ que l’on peut se connecter. Mais cela peut facilement être modifié.
Changer cette adresse (URL) est important car les hackers la connaissent mieux que toute autre.
Jusqu’à maintenant, si vous avez tout suivi, nous avons vu comment réduire le nombre de tentatives d’accès à votre administration et obliger l’indication de votre adresse email. Remplaçons maintenant votre adresse de connexion. Cela bloquera déjà 99% de toute tentative de hacking.
Ainsi, seule une personne connaissant l’URL exacte par laquelle on peut se connecter pourra effectivement mieux le faire. Encore une fois, l’extension iThemes Security vous aide à adapter cette adresse.
- Changez wp-login.php en (ex.) ma-nouvelle-adresse
- Changez /wp-admin/ en (ex.) ma-nouvelle-administration
- Changez /wp-login.php?action=register en (ex.) mon-nouvel-enregistrement
Sécurisez votre tableau de bord
Pour tout hacker, ce qui apporte le plus de jouissance est de pouvoir s’introduire dans l’administration de votre site, parce que c’est la partie la mieux protégée. S’attaquer au plus difficile représente un vrai challenge. Lorsqu’il y parvient, le hacker obtient un réel sentiment de victoire. Et bien sûr, il a alors la possibilité de vous créer de réels problèmes.
Voici comment vous en prémunir.
1. Protégez votre répertoire /wp-admin/
Ce dossier est le coeur de votre site. Si un fichier de celui-ci est endommagé, votre site sera entièrement hors service.
Vous pouvez n’autoriser l’accès à ce dossier /wp-admin/ que par un mot de passe. Ainsi, pour accéder à votre administration, vous devrez avoir recourt à 2 mots de passe. Le premier protège l’accès à votre page de connexion et le second à votre espace d’administration.
Vous pouvez utiliser AskApache Password Protect pour protéger l’administration de votre site. Il générera automatiquement un fichier .htpasswd et y reprendra les mots de passe.
2. Pensez SSL
Ajouter un certificat SSL vous assurera de crypter les informations circulant entre le navigateur et le serveur. Cela empêche le hacker de s’introduire dans vos conversations et transactions.
Héberger votre site WordPress avec un certificat SSL est aujourd’hui très fréquent. Vous pouvez acheter ce certificat auprès d’un organisme agréé mais la majorité des hébergeurs vous le proposent directement.
Pour ce site, j’utilise le certificat de Let’s Encrypt. Mon hébergeur (Diogenius) me l’a proposé pour l’ensemble des sites de mon serveur.
Le certificat SSL impact aussi votre référencement sur Google. Google prend de plus en plus ce critère en considération pour le classement de ses résultats. Cela vous apportera ainsi plus de visiteurs et potentiels clients. Qui ne le souhaite pas ?
3. Sécurisez les comptes de votre site
Si différents auteurs peuvent intervenir sur votre site, chacun a son accès à votre panneau d’administration. Ceci peut rendre votre site plus vulnérable s’ils utilisent des mots de passe un peu trop bateau.
L’extension Force Strong Passwords oblige l’introduction de mots de passe bien sécurisés. Vos inscrits/auteurs/gestionnaires ne pourront pas utiliser de mots « standards ». C’est une mesure de précaution qui vous protège et vaut vraiment la peine d’être installée si vous avez un site collaboratif.
Sécurisez votre base de données
Toutes les informations de votre site sont stockées dans votre base de données. Il est essentiel de la protéger. Voici différentes manières de la sécuriser.
1. Changez le préfix de vos tables
Vous le savez certainement, le préfix par défaut des tables dans WordPress est wp-. Je vous recommande vivement de modifier ce préfix par quelque chose d’unique.
Si vous utilisez le préfix habituel, vous serez plus vulnérable par des requêtes SQL intempestives. Vous pourrez déjà vous prévenir de ces attaques en changeant votre préfix wp- en quelque chose comme sr-, mg-, pr- …
Si vous avez déjà installé votre site et donc, sa base de données, il existe des extensions pour adapter votre préfix. Encore une fois, l’extension iThemes Security fera ce travail en un clic.
Assurez-vous de sauvegarder votre base de données au préalable pour éviter toute perte de donnée.
2. Sauvegardez régulièrement votre site
Peu importe que votre site soit déjà bien sécurisé ou non. Programmer une sauvegarde régulière de votre site est probablement le meilleur antidote. Cela vous évitera bien des maux si un jour votre site connaît des ennuis.
Je sais, on ne s’en préoccupe que lorsque des problèmes sont déjà apparus. J’ai aussi fait l’erreur de ne pas sauvegarder mes sites. Mais aujourd’hui, après de mauvaises expériences, je programme des sauvegardes automatiques.
Si vous avez une sauvegarde de votre site, vous pourrez facilement et rapidement la réinstaller. De nombreuses extensions peuvent s’en charger.
J’utilise l’extension premium UpDraftPlus.
3. Mot de passe pour votre base de données
Il est important d’utiliser un mot de passe complexe pour votre base de données. Il ne s’agit pas d’un mot que vous devez mémoriser vous-même. N’hésitez-pas à y utiliser tout type de caractères :
- Minuscules et majuscules
- Chiffres et lettres
- Caractères spéciaux
Sécurisez la configuration de votre hébergement
La majorité des hébergeurs peuvent se prévaloir de fournir un espace bien sécurisé. Mais vous pouvez aller encore plus loin.
1. Protégez votre fichier wp-config.php
Ce fichier, wp-config.php, comportent des informations essentielles. C’est d’ailleurs le fichier le plus important de votre site WordPress, même si vos visiteurs ne le voient pas. Protéger votre site web, cela implique de protéger son cœur !
Il est difficile pour un hacker d’attaquer votre site si votre fichier wp-config.php ne lui est pas accessible. Et cela peut facilement se mettre en place. Il suffit de déplacer ce fichier à un niveau plus élevé que la racine de votre site.
Vous me direz : comment le serveur pourrait-il trouver ce fichier s’il se situe à un niveau plus haut que votre racine WordPress ? La configuration de WordPress prend ce fichier en considération en 1ère priorité. Il pourra ainsi le trouver.
J’ai découvert cette astuce en écrivant cet article. Elle m’a surprise et je l’ai testée pour ne pas vous mener en erreur. Et OUI, cela fonctionne très bien.
2. Empêchez l’édition de certains fichiers
Si un administrateur a les droits d’accès à votre administration, il peut éditer tout fichier de votre site, extensions et thèmes inclus.
Cependant, si vous empêchez l’édition de ces fichiers, même si un hacker accède à votre tableau de bord, il ne pourra modifier aucun fichier.
Ajoutez cette instruction à la fin de votre fichier wp-config.php :
define(‘DISALLOW_FILE_EDIT’, true);
3. Configurez avec attention la permission de vos fichiers
Accorder les mauvaises permissions à un dossier peut être dramatique, surtout si votre site est hébergé sur espace partagé.
Si c’est votre cas, changer la permission de vos fichiers et dossiers est important pour sécuriser votre hébergement. Pour vos dossier, indiquez la permission 755, et pour vos fichiers, 644.
Vous pouvez faire cela par votre espace FTP. Si vous voulez vérifier vos permissions actuelles, utilisez iThemes Security.
4. Empêchez que l’on voit le contenu de vos dossiers
Si vous créez un nouveau dossier et que vous n’y ajoutez pas de fichier index.html, vos visiteurs pourront directement trouver tout le contenu de votre dossier.
Par exemple, si vous créez un dossier qui s’appelle secure, un hacker trouvera l’ensemble du contenu de ce dossier simplement en tapant l’URL www.votre-site.com/secure/. Il n’aura besoin d’aucun mot de passe pour y accéder. Faites le test !
Vous pouvez vous prémunir de ce risque en ajoutant cette ligne dans votre fichier .htaccess :
Options All –Indexes
Quel hébergeur choisir pour votre site WordPress ?
En matière d’hébergement web, les offres foisonnent. De l’hébergement gratuit à 999 €/mois, du serveur mutualisé pour 1 site au serveur mutualisé pour des centaines de sites, vous pourrez tout trouver.
Le mieux est de bien vous renseigner avant de réaliser votre achat. Comparez différentes offres et tenez compte de vos besoins spécifiques. Un hébergeur spécialisé WP répondra aux besoins spécifiques d’un site WordPress.
Sécurisez vos extensions et thèmes WordPress
Les thèmes et extensions sont les ingrédients qui permettent de personnaliser votre site WordPress. Malheureusement, eux aussi peuvent connaître des problèmes de sécurité. Découvrez comment bien les protéger.
1. Faites vos mises à jour
Tout bon logiciel est régulièrement mis à jour. Son équipe de développeurs en améliore les fonctionnalités, les performances et, veille à colmater toute brèche de sécurité. WordPress est particulièrement fréquemment mis à jour. Il est parfois vital de rapidement updater votre WordPress pour éviter toute intrusion.
Oublier de tenir à jour vos thèmes et extensions peut vous apporter de réels problèmes. La majorité des hackers attaques les sites des entreprises qui ne tiennent leur site à jour. Ils exploitent alors des failles déjà découvertes et qui pourraient être facilement résolues.
Maintenez votre site à jour vous évitera bien des problèmes. Ne vous en privez pas !
2. Enlevez votre numéro de version
On peut trouver très facilement le numéro de version de votre site WordPress. Il apparaît dès le début de votre code source.
Le problème est que si un hacker sait quelle est votre version, il vous attaquera plus facilement.
Conclusion
Si vous débutez dans l’utilisation de WordPress, vous avez trouvé ici beaucoup d’éléments nouveaux. Mais, ils valent vraiment la peine de s’y pencher.
Vous voulez sécuriser votre site pour le maintenir en ligne. Si on ne peut pas facilement vous trouver lorsque l’on cherche vos services, il ne servira de toute façon pas à grand chose. Dès lors, pensez à optimiser votre référencement sur Google.
Vous apprécierez aussi cet article
Vous envisagez de (faire) créer votre site web avec WordPress ? C’est le système de gestion de site le plus populaire, depuis plusieurs années déjà. Pourquoi ? Il propose de très nombreuses extensions, autres que celles de sécurités : un plugin pour optimiser votre référencement, un autre pour créer des formulaires avancés, un pour suivre vos statistiques … Découvrez les points de WordPress.
Source images : fr.depositphotos.com