10 règles de base pour sécuriser votre site WordPress
Quelles sont les recommandations pour sécuriser votre site WordPress ? Ce SGC, qui tourne sur presque 25 % des sites web sur Internet, est en soi très sûr. Mais plus vous y ajoutez des plugins, des thèmes et du code supplémentaire, plus vous courez le risque d’être piraté. Voici donc 10 astuces qui vous permettront d’éviter ce genre de problème.
Découvrez notre hébergement WordPress
1. Gardez WordPress à jour
- Si, lorsque vous vous connectez à votre tableau de bord, vous voyez qu’une mise à jour est disponible, installez-la dès que possible.
- Ne vous laissez pas arrêter par la crainte que votre site ne fonctionne plus correctement du fait qu’un des plugins ou un des thèmes n’est pas compatible avec cette nouvelle version.
- Faites toujours une sauvegarde avant l’installation, de manière à pouvoir revenir à l’ancienne version (si nécessaire).
2. Pour les plugins et les thèmes, jouez la carte de la sécurité
- Veillez également à garder les plugins et les thèmes à jour. Ils peuvent en effet être une porte dérobée qui donne accès à la partie dédiée à l’administration de votre site ! Pensez-y : d’après la plupart des sources, dans l’affaire des Panama Papers, les informations auraient été détournées via un plugin obsolète qui n’avait pas été mis à jour à temps !
- Supprimez les plugins et les thèmes que vous n’utilisez pas. Il ne suffit pas de les désactiver.
- Ne téléchargez que les plugins et les thèmes provenant de sources fiables, comme le Theme Directory et le Plugin Directory proposés par WordPress même, les sites de développeurs tels que org ou les sites qui jouissent d’une excellente réputation, comme p. ex. Themeforest.
3. Prenez de bonnes habitudes en matière de mots de passe
- N’utilisez jamais « admin » comme nom d’utilisateur. Pour leurs attaques, les hackers partent à la recherche de sites qui utilisent « admin » comme nom d’administrateur. L’avez-vous fait malgré tout ? Dans ce cas, suivez les instructions fournies dans cette vidéo pour modifier le nom de l’administrateur/utilisateur.
- Utilisez un mot de passe difficile à trouver, composé de chiffres et de lettres minuscules et majuscules. Depuis la version 3.7, WordPress propose un outil qui indique à quel point le mot de passe est sûr.
- Modifiez régulièrement votre mot de passe ; utilisez un gestionnaire de mots de passe comme 1Password ou Lastpass, qui retiendra vos mots de passe pour vous.
- Veillez à ce que vos utilisateurs utilisent eux aussi des noms d’utilisateur et des mots de passe difficiles à trouver.
- N’utilisez JAMAIS le même mot de passe pour plusieurs sites.
4. Limitez le nombre de connexions
Les hackers utilisent souvent des attaques par « force brute », via lesquelles ils effectuent de très nombreuses tentatives de connexion au site, jusqu’à ce qu’ils aient deviné le mot de passe. Prenez donc les mesures suivantes :
- Installez un plugin qui limite le nombre de fois qu’un utilisateur peut tenter de se connecter depuis une certaine adresse IP dans un certain laps de temps, comme p. ex. Login LockDown. Ce genre d’outil est généralement inclus dans des packs de sécurité, qui offrent bien d’autres fonctions de sécurité, comme iThemes Security ou Securi Scanner.
- Si vous visez une sécurité maximale, utilisez l’authentification à deux facteurs, qui exigera l’utilisation d’un mot de passe et d’un « token » (un code envoyé par SMS sur votre téléphone). Les plugins Clef ou Duo permettent p. ex. une authentification à deux facteurs.
5. Limitez le nombre d’utilisateurs possédant des droits
Si vous travaillez sur un site web avec une équipe, attribuez à chaque membre de l’équipe le rôle qui lui convient lors de la création de son compte sur votre site :
- Administrator (Gestionnaire) : gère l’entièreté du site web, se charge des mises à jour des plugins et des thèmes, crée des comptes d’utilisateurs et les gère, peut modifier le code du site web. Limitez le nombre d’utilisateurs ayant ce rôle au strict minimum.
- Editor (Rédacteur) : crée, modifie et publie ses messages et ceux des autres.
- Author (Auteur) : crée, modifie et publie des messages.
- Contributor (Contributeur) : crée des messages, mais ne peut pas les publier (c’est un gestionnaire ou un rédacteur qui doit le faire pour lui).
- Subscriber (Abonné) : un invité qui a créé un compte, de manière à ne pas devoir à chaque fois réintroduire ses identifiants lorsqu’il souhaite réagir à un article.
La règle d’or : ne vous connectez pas en tant que gestionnaire lorsque vous ne devez effectuer aucune opération d’entretien.
6. Exécutez des analyses de sécurité
Tout comme, sur votre ordinateur, vous avez un antivirus qui vérifie si des virus ou logiciels malveillants sont installés sur votre machine, vous devriez en fait aussi utiliser ce même genre de programme pour WordPress. Celui-ci analysera le code de vos plug-ins, vos fichiers du noyau et vos thèmes pour s’assurer que personne ne l’ait modifié. Theme Authenticity Checker, Antivirus et Sucuri Security font partie des logiciels les plus populaires.
7. Surveillez l’activité dans votre tableau de bord
Installez un outil qui permet de garder un œil sur ce qui se passe dans votre module d’administration. WordPress enregistre automatiquement ces informations, mais les données ne sont pas faciles à lire. Utilisez donc WP Security Audit Log, Aryo Activity Log ou Simple History. Lorsque quelque chose ne tourne pas rond sur votre site, vous pouvez revenir en arrière jusqu’au moment crucial (l’installation d’un certain plugin, une modification dans votre code, le téléchargement d’un fichier…).
8. Toujours HTTPS !
Chaque fois que vous vous connectez à votre tableau de bord, votre navigateur joint un cookie d’authentification à la requête qui est envoyée au serveur. Si la communication n’est pas chiffrée, une autre personne peut intercepter ce cookie et l’utiliser pour se connecter au serveur et exécuter des commandes.
En utilisant le protocole https, la communication (y compris le cookie) est chiffrée. Pour ce faire, vous avez cependant besoin d’un certificat SSL. N’hésitez pas à consulter nos articles « SSL : qu’est-ce que c’est et comment cela fonctionne-t-il ? » et « Le certificat SSL : que devez-vous faire au juste ? »
9. Choisissez un hébergement de qualité
Sans un bon hébergeur, tous vos efforts seront vains. D’après les experts en sécurité de WP White Security, 41 % des piratages de sites WordPress seraient dus à des failles de sécurité sur l’hôte même. Choisissez donc votre hébergeur avec grand soin !
Un fournisseur d’hébergement infogéré qui se spécialise dans les systèmes de gestion de contenu, comme les différentes formules d’hébergement WordPress de Combell, offre généralement (outre l’hébergement) un pare-feu, lance régulièrement des analyses dans le but de détecter d’éventuels logiciels malveillants, veille à ce que PHP et MySQL soient à jour, et dispose d’une équipe d’assistance qui connaît WordPress sur le bout des doigts.
10. Restez toujours sur vos gardes
Soyez toujours prudent et faites surtout attention aux choses suivantes :
- Ne vous connectez pas à votre compte d’administrateur depuis un réseau Wi-Fi public (comme p. ex. chez Starbucks ou dans un hôtel).
- Utilisez exclusivement une connexion Internet de confiance, comme celle de votre domicile ou de votre bureau.
- Utilisez de préférence un RPV (Réseau Privé Virtuel).
- Pensez comme un hacker : quels sont les points les plus vulnérables de mon installation ? Comment quelqu’un pourrait-il facilement pénétrer dans mon système ?
- En tant que développeur, vous ne devriez jamais faire confiance les yeux fermés au contenu de vos utilisateurs.
- Partez de l’hypothèse qu’il y aura toujours quelqu’un qui tentera de pirater votre site.
Les astuces ci-dessus ne requièrent aucune connaissance technique particulière. Il suffit d’avoir un brin de bon sens et d’être habitué à installer des plugins. Dans un prochain article, nous approfondirons la question et vous fournirons des exemples concrets de codes que vous pourrez ajouter et des paramètres que vous pourrez modifier pour rendre votre site WordPress encore plus sûr.
LISEZ AUSSI: Panama Papers : une faille d’un plug-in de WordPress aux conséquences très fâcheuses
Découvrez notre hébergement WordPress