Comment sécuriser son WordPress avec les 5 W

WordPress est utilisé par 24 % des sites dans le monde, et de tous les systèmes de gestion de contenu (CMS), il est de loin le plus utilisé par 83 % des créateurs de sites web. Pour vous, c’est le bonheur, votre WordPress est au comble de son succès. Mais nous sommes bien loin d’être dans un temps de pause ! Plus que jamais, il est essentiel de sécuriser son site de différentes façons, toutes assez simple en plus, étant donné qu’avec sa grande popularité, ce CMS est souvent la cible de pirates. Pour pouvoir bien illustrer le portrait complet de la situation et que vous ayez accès à tous les outils, j’ai fait appel à un concept simple en journalisme : les 5 W. Cependant, ils ne seront pas dans le même ordre auquel vous les attendez.

Le premier point, le Quand, va de soi. Étant donné que WordPress est de loin le CMS, le plus utilisé, les démarches pour sécuriser son site doit être fait dès sa création initiale et si ce n’est pas déjà fait pour votre site actuel, il serait important de le faire dès maintenant. 

Qui ? Mais qui peut apporter ces changements simples ?

En vérité tout le monde. Oui, vous avez bien lu, tout le monde. Pas besoin d’embaucher un développeur pour apporter ces changements simples à votre site. Tout ce dont vous avez besoin, c’est du temps et avec la présente quarantaine qui affecte une bonne partie de la planète, ce n’est vraiment pas ce qu’il manque, du temps.

Où ? Sur quelle plateforme doit-on apporter des changements ? 

En grande partie, les changements se font directement dans les réglages de WordPress avec de très simples modifications à apporter. Les plus débrouillards d’entre vous y rajouteront des plugiciels et activeront des modules SSL du CMS.

Pourquoi il est important de sécuriser sa page WordPress ?

J’ai déjà fourni un élément de réponse là-dessus, mais il y a un aspect important à considérer : le piratage d’un site Internet est un problème qui n’arrive pas uniquement aux autres ! Comme un virus causant une pandémie mondiale, c’est un problème important à prendre au sérieux. Surtout lorsque vous êtes une grosse entreprise et que votre stratégie digitale est proportionnelle à votre chiffre d’affaires. Réparer les dommages d’un hacker sur un site Internet peut être excessivement coûteux et complexe comme processus. Encore une fois, d’où l’importance de sécuriser sa page pour ainsi y éviter des ennuis, et rapidement.

D’ailleurs, en 2014 selon l’organisme WP Security, ce serait autour de 70 % des sites WordPress qui seraient jugés comme non sécuritaires. Ils ont aussi dressé les différentes raisons pourquoi des pages se sont fait pirater au cours de cette année-là.

  • 41 % des sites WordPress ont été piratés à cause d’une faille de sécurité au niveau de la plateforme d’hébergement. Comme le mentionne cet article de notre blogue publié en 2017 : « En tant qu’hébergeur web focalisé sur l’infogérance : la performance et la sécurité, nous sommes bien placés pour constater la quantité d’attaques qui augmente constamment. Nous avons déjà en place plusieurs systèmes permettant de lutter contre plusieurs types d’attaques. »
  • 29 % ont été piratés à cause d’un problème de sécurité au niveau du thème WordPress utilisé.
  • 22 % ont été piratés à cause d’un problème de sécurité au niveau des plug-ins utilisés.
  • 8 % des sites WordPress ont été piratés à cause d’un mot de passe trop faible.

Les pirates du web sont ingénieux, et pour pouvoir arriver à leur fin, tenteront d’atteindre votre site WordPress en s’attaquant à différents types d’attaques. En voici quelques-unes :

I — Backdoor

En contournant les cryptages des espaces de connexion WordPress, les pirates font des dommages directement au serveur d’hébergement, avec la contamination intersites, compromettant ainsi les autres sites du serveur. Pour cela, il est recommandé d’avoir un compte World ou un compte cPanel indépendant pour chaque site web.

C’est de loin l’attaque la plus répertoriée par serveurs d’hébergement. Heureusement, cette vulnérabilité est facile à repérer grâce à des systèmes comme Imunify de Cloudlinux. Elle peut également être prévenue par l’activation de la double authentification.

II Pharma Hack

Cette attaque consiste à insérer du code malhonnête dans les versions obsolètes des sites web et extensions WordPress pour ainsi les rediriger vers des publicités vendant des produits contre la dysfonction érectile. Les moteurs de recherche ont donc suffisamment d’information pour bloquer la page, parce qu’elle donne l’impression de distribuer du pourriel. La solution à cette attaque passe par un nettoyage plus approfondi, ce qui peut être long et hasardeux. Néanmoins, c’est facile de prévenir ce type d’attaque, en s’assurant d’avoir toutes les versions de WordPress, de ses thèmes et de ses plugiciels à jour.

III — Tentative de connexion par Brute-force

Par des scripts automatisés, les tentatives de connexion par Bruteforce exploitent en bloc une liste de mots de passe faibles pour ainsi tenter d’accéder à votre page WordPress. L’authentification à deux étapes et le changement du nom d’usager pour autre chose que « Admin » sont d’emblée une excellente méthode de prévention pour ce genre d’attaques. En revanche, plusieurs ne suivent pas ces mesures, et étant donné que des mesures d’automatisation de l’attaque sont utilisées, des dommages dévastateurs peuvent être infligés.

Quoi donc faire alors pour la sécuriser, et comment ?

Sécuriser sa page WordPress peut passer à travers des étapes assez simples comme un peu plus complexes. Donc voici 6 trucs vous permettant de tenir votre site WordPress loin des pirates.

1. La base : L’hygiène essentielle pour une bonne étiquette du Net.

En ce contexte de pandémie mondiale, l’hygiène est une caractéristique essentielle et il en va de même par la manière dont nous nous comportons sur Internet et avec nos sites WordPress pour ainsi être un bon citoyen du web. Voici en rafale quelques règles de base à adopter dès maintenant.

  • Ne vous connectez pas à l’admin de votre site WordPress lorsque vous utilisez un réseau Internet non sécurisé. Par exemple, un réseau wifi d’un café.
  • Vérifiez que votre ordinateur n’a pas de virus, en utilisant un logiciel antivirus.
  • Installez un pare-feu sur votre ordinateur pour renforcer la protection.
  • Lorsque vous entrez votre identifiant et votre mot de passe pour vous connecter dans un lieu public, vérifiez que personne ne regarde votre écran.
  • Ne donnez jamais vos identifiants et mots de passe à des personnes dont vous n’avez pas confiance.
  • Ne donnez pas le rôle d’éditeur à une personne dont vous n’avez pas confiance.

2. Un mot de passe et un nom d’utilisateur complexe en valent mieux que 10 (trop) simples

Cette étape peut sembler évidente, mais elle est trop souvent ignorée. Selon ce même rapport, plus de 8 % des comptes WordPress ont été piratés pour un mot de passe jugé trop faible, selon ce même rapport datant de 2014. Il est donc fort important de changer son mot de passe fréquemment et d’utiliser un mot de passe renforcé. 

Rappelons qu’un mot de passe renforcé doit comporter au moins 8 caractères, ne pas avoir un nom d’utilisateur, de famille, d’entreprise, de mots entiers et devra également avoir au moins un chiffre, une lettre majuscule, une lettre minuscule et un caractère spécial. Des générateurs de mots de passe comme Norton Password Generator et Strong Password Generator sont disponibles en ligne gratuitement pour générer un mot de passe renforcé et des gestionnaires de mots de passe comme DashlanePasspack, KeePass et LastPass.

En ce qui a trait aux pseudonymes des différents administrateurs, éditeurs et modérateurs du site, WordPress suggère le nom d’admin comme premier utilisateur. Il est fortement recommandé de personnaliser ce nom d’utilisateur pour doubler la tâche des pirates qui auront ainsi à trouver votre mot de passe, mais aussi votre identifiant. Également, dans la même optique d’idée, il est également suggéré de modifier l’adresse de connexion admin de votre WordPress. Il est possible d’utiliser un plugiciel comme « change wp-admin login » ou bien faire le changement manuellement.

3. Installer un plugiciel de sécurité

Pour les gens qui ne sont pas à 100 % à l’aise avec l’informatique, un plugiciel (plug-in en anglais) de sécurité représente une solution intéressante, étant donné qu’il représente une solution qui gérera tous les aspects de la situation. En gros, ce sont des options qui permettent de réaliser de manière automatique des manipulations simples.

Parmi les plugiciels de sécurité qui offrent des fonctionnalités intéressantes avec WordPress, on remarque en premier plan Wordfence, de loin le plus téléchargées par les usagers. Il est actif sur deux millions de sites et possède une impressionnante moyenne de 4,8 étoiles sur 5. La version premium est à privilégier, étant donné qu’elle propose des mises à jour quotidiennes, plus elles sont fréquentes, plus la sécurité est renforcée.

Sinon, dans les autres plugiciels appréciés, Bulletproof Security est un excellent choix pour sa polyvalence. C’est une solution clé en main qui limite les tentatives de connexion manquées, bloque les adresses IP des pirates potentiels et ajoute un pare-feu supplémentaire. La version payante offre des options de blocage supplémentaire, mais la version gratuite de Bulletproof Security est tout à fait suffisante.

4. Télécharger toutes les mises à jour de WordPress et s’assurer d’avoir les plus récentes versions des plugiciels et des thèmes.

Ce point-ci semble encore une fois aussi évident, mais plusieurs personnes oublient également cet aspect important. Ils sont généralement mis à jour pour pouvoir justement couvrir des brèches de sécurité de la plateforme. Autrement dit, plus votre version de WordPress et de ses ajouts est ancienne, plus vous avez de chances de vous faire pirater. Il y a de nouvelles « grosses » mises à jour tous les 6 mois et des plus « petites » beaucoup plus souvent.

Il existe une manière de procéder aux mises à jour de façon automatique depuis la version 3.7 de WordPress, mais elle procède uniquement aux grosses mises à jour, donc il faut continuer de porter attention. D’ailleurs, pour conclure sur les mises à jour, il ne faut pas oublier de s’assurer d’avoir la version la plus récente de son plugiciel de sécurité également.

5. Activer la double authentification

La double authentification ou vérification en deux étapes est une méthode à laquelle un utilisateur peut accéder à une ressource informatique (un ordinateur, un téléphone intelligent ou encore un site web) après avoir présenté deux preuves d’identité distinctes à un mécanisme d’authentification. Par exemple, pour pouvoir retirer de l’argent de son compte bancaire dans un guichet automatique, on requiert la carte d’accès ET le NIP. Pas un, mais les deux éléments sont requis.

Pour l’installation de celle-ci, comme expliqué dans la base de connaissances, on suggère l’installation de l’extension Limit Login Attemps, qui bloquera l’accès à l’espace de connexion du site après 5 tentatives de connexion. En revanche, dans certains cas les attaques étant lancées par de très gros réseaux de bots malveillants, ce module n’est pas suffisamment performant et n’arrive pas à bloquer toutes les IPs.

C’est donc dans cette optique qu’un tutoriel d’installation de la double authentification directement dans WordPress est disponible dans la base de connaissances de PlanetHoster, via les fichiers htaccess.

6. Passer au HTTPS

Les mentions HTTP et HTTPS, qu’on peut voir parfois dans un fureteur web avant une adresse Internet, sont des protocoles utilisés pour le transfert de données. Le « S » qui les différencie mentionne qu’il s’agit d’une connexion sécurisée. Les données marquant nos traces sur le web sont donc cryptées, donc protégeant entre autres les accès au compte administrateur.

Pour passer du protocole HTTP au HTTPS, il faut passer par les 4 étapes suivantes, comme recommandé dans un court tutoriel dans la base de connaissances de PlanetHoster :

  1. Se connecter à son espace WordPress via votrenomdedomaine.ext/wp-login.php.
  2. Dans le menu de votre tableau de bord, naviguez sur Réglages -> Général 
  3. Une fois sur la page de configuration des réglages généraux, il suffit de mettre à jour les champs nommés “Adresse web de WordPress” ainsi qu’“Adresse web du site” (URL) en remplaçant le “HTTP” par “HTTPS”  
  4. N’oubliez pas de cliquer sur le bouton bleu “Enregistrer”

Une autre méthode pour le passage entre les deux protocoles, via le logiciel phpMyAdmin est également disponible dans le document. De plus, il est également suggéré de télécharger l’extension “SSL Insecure Content Fixer”, afin d’ainsi éviter des erreurs d’URL qui pourraient se glisser lors de la transition.

Et vous, quels moyens prenez-vous pour sécuriser votre site WordPress ?


facebooktwitterlinkedin


5 réponses à “Comment sécuriser son WordPress avec les 5 W”

  1. Je passe plusieurs de mes sites chez cet hébergeur. Client satisfait. je vais suivre les recommandations. Merci .

  2. proposez vous des packs VPS hosting?

  3. Rachel dit :

    Bonjour! J’utilise Wordfence pour la sécurité mais je le trouve lourd et il prends beaucoup de ressources. Est-ce que Bulletproof Security est plus léger? Ou bien avez-vous d’autres plugins de sécurité à recommander?
    Merci!

  4. Amaury dit :

    Wordfence est lourd, intrusif, crée un nombre impressionnant d’entrées dans wp_options… qui restent après désinstallation…
    Par ailleurs ils publient régulièrement des infos sensationnalistes sur des failles en précisant « nos clients ont été protégés, les utilisateurs gratuits le seront dans un mois.

    Bref, à fuir.

    J’utilise depuis plus de 10 ans NinjaFirewall : https://nintechnet.com/
    Ça n’impacte pas les perfs, ça peut s’utiliser pour des sites non WordPress, je n’ai jamais été infecté (mais je suis aussi protégé par la surveillance constante de PlanetHoster ^^)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Auteur

Julie Côté
Journaliste
Tout récemment détentrice d’un baccalauréat en journalisme de l’UQAM, mon amour pour le web date cependant depuis bien plus longtemps. J’ai débuté comme chroniqueuse d’un podcast en 2012, bien avant que le terme soit reconnu au Canada.