COMMENT SÉCURISER VOTRE SITE WORDPRESS ?

    Lorsqu’un site internet est en place et accessible avec le meilleur CMS du monde, il faut penser à sécuriser WordPress. Lorsqu’on utilise un ordinateur, la sécurité de ce dernier est un aspect essentiel pour protéger ses données. Avec un site internet, la problématique est exactement la même.

    Surtout, un site est accessible 24 heures / 24 et 7 jours / 7, alors que vous éteignez par exemple votre ordinateur régulièrement. C’est pour cela qu’il faut sécuriser WordPress. Voyons plus en détail les raisons qui doivent vous pousser à améliorer ce point.

    Voici donc les point essentiels qui vous aideront à sécuriser votre Site WordPress :

    1. AVOIR UN BON HÉBERGEMENT

    Avoir un bon hébergement est un des piliers pour sécuriser WordPress. Beaucoup de personnes créant leur site internet souhaitent avoir du tout gratuit ou faire des économies sur tout. Très franchement, c’est une très mauvaise idée. Il vaut mieux payer pour quelque chose de qualité qu’obtenir gratuitement quelque chose de bancal qui risque de vous porter préjudice. A noter aussi que certains hébergeurs proposent gratuitement des pares-feux applicatifs pour protéger votre site.

    En effet, un hébergeur va avoir un rôle primordial dans la sécurité, car c’est lui qui doit surveiller et mettre à jour les serveurs sur lesquels votre site est installé. Si cela est mal fait, c’est la porte ouverte aux problèmes.

    2. AVOIR UN CERTIFICAT SSL

    De même, en fonction du choix de votre hébergeur, vous aurez la possibilité de mettre en place un certificat SSL pour votre site. Plusieurs hébergeurs le proposent gratuitement par l’intermédiaire de Let’s Encrypt. Une autre solution est d’utiliser Cloudfare (que je vous présenterais en fin d’article).

    Cela permet de sécuriser la connexion entre votre site internet et les visiteurs. C’est le fameux HTTPS que vous voyez au début des adresses URLs. Celles-ci sont de plus en plus utilisées, si vous n’en avez pas, faites la migration de votre site avec cette dernière. A noter qu’il s’agit désormais d’un critère pris en compte par les moteurs de recherche pour le référencement.

    3. FAIRE LES MISES À JOUR DE WORDPRESS RÉGULIÈREMENT

    Cela peut sembler un peu bateau, mais il est important de les faire. C’est une des principales raisons de piratage. Faire des mises à jour régulières permet de sécuriser WordPress. Certaines mises à jour sont automatiques et d’autres non. Il faut les faire manuellement. Pour ces dernières, il ne faut pas trop tarder pour les réaliser. C’est pour cela qu’il est important de se connecter régulièrement à son espace administration.

    Si votre WordPress affiche sa version dans le code source, il est fortement recommandé que ce soit la dernière, sinon les pirates peuvent utiliser les failles de la version que vous utilisez. Je vous montrerais par la suite comment masquer la version.

    4. FAIRE LES MISES À JOUR DU THÈME ET DES PLUGINS

    Faire la mise à jour de WordPress, mais ne pas faire celles des plugins et de votre thème n’a pas de sens. D’ailleurs, les mises à jour sont régulières. Si vous ne les faites pas, vous risquez d’avoir très rapidement des problèmes.

    Les mises à jour étant courantes pour les plugins et les thèmes, on peut être tenté de les laisser de côté par fainéantise ou par ce qu’on ne se connecte pas souvent à son espace administrateur. C’est une mauvaise idée, je connais plusieurs personnes qui ont été piratées, car elles n’avaient pas fait les mises à jour depuis pas mal de temps.

    5. ATTENTION AU CHOIX DU THÈME ET DES PLUGINS

    De même, soyez très vigilant sur le choix de votre thème et de vos extensions. En effet, si vous utilisez un plugin ou un thème qui n’est pas suivi au niveau des mises à jour, vous vous exposez aux attaques. Il faut donc choisir ceux qui seront développés dans le temps, généralement les plus téléchargés ou les payants. D’ailleurs les plus téléchargés sont souvent des freemiums, une partie gratuite et des options complémentaires payantes.

    Pour développer un site internet dans le temps, il ne faut pas hésiter à payer un peu pour avoir des plugins et un thème de qualité qui ne poseront pas de problème de stabilité. En effet, pour les versions uniquement gratuites, les développeurs peuvent laisser le projet à l’abandon et sans mise à jour, et vous exposerez dès lors votre site.

    6. INSTALLER UNE EXTENSION DE SÉCURITÉ

    Pour sécuriser WordPress, je vous conseille d’installer une extension de sécurité. Il en existe plusieurs. Les plus connues sont certainement WordFence et iTheme. Ma préférence allant à la seconde, c’est avec celle-ci que je vais vous présenter comment sécuriser WordPress davantage.

    C’est un plugin très complet qui a été téléchargé près d’un million de fois (à l’heure où ces lignes sont écrites). Il est freemium, donc gratuit, mais avec des options complémentaires payantes. Ci-dessous, plusieurs méthodes seront présentées avec la version gratuite, qui suffit largement dans la majorité des cas.

    7. UTILISER UN MOT DE PASSE COMPLIQUÉ

    Une des principales causes de piratage, ce sont les mots de passe. Pourtant, on a souvent l’impression que ce point est pris à la légère. Il faut voir les études qui ont été faites sur le sujet. Par exemple avec le fameux « 123456 » qui a la vie dure.

    Donc, vous devez créer des mots de passe forts, qui alterne les majuscules, les chiffres et même les symboles. Cela va fortement atténuer les chances pour un attaquant de trouver le mot de passe. Il suffit d’utiliser des générateurs de mots de passe en ligne.

    8. MODIFIER LE PRÉFIXE

    Lorsque vous créez votre site WordPress, vous avez la possibilité de modifier le préfixe des bases de données. C’est au moment au vous devez renseigner les paramètres de la base de données qui sera utilisée. Par défaut, c’est « wp_ » qui est utilisé. Si vous êtes à cette étape, vous pouvez le changer immédiatement. Pour cela, remplacer le préfixe par autre chose, par exemple « vnsue_ ». Cela complique l’extraction des données en cas d’injonction SQL.

    Mais si vous avez déjà fait l’installation, il est possible de changer très facilement le préfixe. Avec l’extension iTheme. Il suffit d’accéder aux options avancées « Change Database Table Prefix », de sélectionne « oui » à côté de « Change prefix »  et de valider. Un message confirme le changement. Faites une sauvegarde de votre base de données au cas où un problème surviendrait.

    9. SUPPRIMER LE COMPTE ADMIN

    Le compte Admin est celui qui est créé par défaut lorsqu’on créer un site avec WordPress. Si vous ne faites rien, il reste accessible depuis l’espace de connexion. Autrement dit, les pirates connaissent un compte avec les droits absolus sur votre site. Il suffit de découvrir le mot de passe et on peut accéder à l’administration.

    L’idée est donc de supprimer ce compte. Pour cela, il suffit de créer un nouvel utilisateur possédant les droits « Administrateur ». Ensuite, vous vous connectez avec le compte que vous venez de créer. Vous pouvez supprimer le compte Admin.

    Une autre bonne pratique est de créer un compte supplémentaire qui sera dédié uniquement à la rédaction du contenu (article, page…). Ainsi, si vous créez une page auteur, cela évite de communiquer l’identifiant de connexion d’un compte administrateur (certains thèmes l’affichent), ce sera celui d’un compte ayant peu de droits.

    10. CHANGER L’ADRESSE URL DE LA PARTIE ADMINISTRATION

    Une solution radicale pour empêcher les tentatives de connexion à la partie administration de votre site WordPress, c’est de la déplacer. Par défaut, l’adresse URL est votresite.com/wp-admin. Autrement dit, si vous laissez cet accès, tout le monde peut arriver sur votre page de connexion, car elle est connue de tous.

    L’idée, c’est donc de modifier cet accès en changeant la valeur wp-admin qui devient erroné et la remplacer par un autre nom. Par exemple, votredomaine.com/monaccess. Cela masque la connexion au tableau d’administration.

    Pour cela, vous pouvez faire la modification directement dans le fichier .htaccess qui se trouve à la racine de WordPress. Vous y accédez par l’intermédiaire du client FTP , comme pour le fichier function.php  du thème. C’est une solution un peu technique, alors je vous propose plus simple en utilisant le plugin iTheme.

    Vous devez aller dans la partie « Options avancées ». Dans celle-ci, vous trouverez le bloc « Cacher l’administration ». Dans la fenêtre, vous devez renseigner activer la fonction et renseigner le nom que vous souhaitez donner à votre espace d’administration. Utilisez des minuscules et des lettres « classiques » dans le champ « Identifiant de connexion ». Dans l’exemple ci-dessous, il faudra désormais utiliser « wplogin ».

    Une fois que c’est fait, vous pouvez accéder à votre espace par l’intermédiaire de cette nouvelle URL. Donc votredomaine.com/wplogin.

    11. EMPÊCHER LE BRUTE FORCE SUR LE LOGIN ADMIN (NOMBRE DE TENTATIVE)

    Si vous avez laissé votre espace de connexion administrateur accessible ou si un pirate trouve la nouvelle adresse de ce dernier, il peut tenter d’utiliser une méthode qui s’appelle, le brute force.

    Pour cela, il va tenter une multitude de combinaison possible par l’intermédiaire d’un logiciel qui test les mots de passe et le login jusqu’au moment où la combinaison tombe juste. S’il a déjà le login (par exemple admin), il a juste à se concentrer sur le mot de passe. Cette technique permet de trouver un mot de passe après un délai long (car il faut tout tester). Pour gagner du temps, les pirates peuvent utiliser des dictionnaires contenant les mots de passe les plus courants, mais ce n’est pas la question.

    Une solution pour empêcher cette attaque est de mettre en place un bannissement de l’adresse IP après un certain nombre de tentatives. Il faut des milliers ou des centaines de milliers de tentatives pour réussir, mais l’attaquant à tous sont temps si on ne le détecte pas. Si vous bloquez l’adresse IP rapidement, l’attaque s’arrête.

    Le plugin iTheme permet de mettre en place cela. Il faut aller dans l’option « Local Brute Force Protection ». Dans cette partie, il suffit de renseigner le nombre de tentatives maximum autorisé. Par exemple 5. Et le délai pendant laquelle l’IP sera bannie. Par exemple, 60 minutes. De même, si vous avez enlevé le compte Admin, vous pouvez bannir automatiquement une IP qui tente une connexion avec cet identifiant.

    12. SAUVEGARDER VOTRE HÉBERGEMENT ET VOTRE BASE DE DONNÉES

    Il est très important de faire des sauvegardes régulières de votre hébergement (espace FTP) et de votre base de données. En cas de problème ou de piratage, vous pourrez rapidement restaurer votre site WordPress. Il faut aussi penser aux cas de dysfonctionnement (par exemple le syndrome de la page blanche) ou des mises à jour qui provoquent un bug. Une sauvegarde vous permet de remettre le site en fonctionnement rapidement.

    Pour la base de données, vous pouvez utiliser le plugin iTheme avec la partie « Sauvegarde de la base de données ». Dans celle-ci, vous accédez aux options de gestion. Vous pouvez choisir de recevoir la sauvegarde par mail (à partir d’une certaine taille, c’est problématique) ou sur le serveur, choisir le nombre de sauvegardes à conserver, choisir les tables à sauvegarder…

    13. AJOUTER CLOUDFARE

    Connaissez-vous Cloudfare ? C’est un plus intéressant pour sécuriser WordPress. Surtout, il améliore également la vitesse de chargement de vos pages. Ce qui est bon pour le référencement naturel.

    Il s’agit d’une application qui va se placer entre le site internet et le visiteur. Surtout, elle est gratuite pour sa version de base qui est déjà suffisante. Sur le plan de la sécurité, elle va filtrer les requêtes des visiteurs vers votre site pour bloquer les tentatives de piratages.

    14. ATTENTION À VOTRE PC ÉGALEMENT

    Peut-être une faille à laquelle vous n’avez pas pensé. Votre PC est un maillon faible de la chaîne. Pourquoi ? Un exemple simple, un enregistreur de frappe est installé à votre insu sur votre ordinateur. Les mots de passe pour vous connecter à votre espace administrateur, votre login, l’URL modifiée seront récupérés par le pirate qui pourra en faire ce qu’il veut. De même, pour les identifiants de votre compte hébergeur ou de la connexion FTP.

    C’est pour cela que votre PC est aussi important. Vous devez donc être très vigilant avec ce dernier et mettre en place une politique de sécurité (antivirus, pare-feu, anti malware…).

    CONCLUSION

    Voilà, cet article se termine. Il vous permet de mettre en place des bonnes pratiques pour sécuriser WordPress. Je souhaitais que les méthodes présentées soient les plus simples possible. En effet, bon nombre d’entre elles  auraient pu être réalisées sans l’utilisation du plugin « iTheme ». Pour cela, il aurait fallu utiliser des codes à insérer directement dans les fichiers de votre espace FTP.

    Cela peut-être déroutant pour ceux qui ne sont pas habitués. J’ai donc privilégié le plus possible la simplicité et la fonctionnalité. En procédant de la sorte, vous obtenez les mêmes résultats, sans connaissances particulières. Désormais, vous pouvez rapidement sécuriser WordPress.

     

     

      2 thoughts on “COMMENT SÉCURISER VOTRE SITE WORDPRESS ?

      Laisser un commentaire

      Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *