Comment sécuriser un site ou un blog WordPress ? Plein d’astuces

WordPress alimente 24% des sites dans le monde entier. Il compte environ 40 000 plugins et met à la disposition de ses utilisateurs des dizaines de milliers de thèmes. Si beaucoup de gens l’apprécient pour son extensibilité, nombreux sont ceux qui craignent par rapport à la sécurité du site. Devant sa notoriété et sa réputation en tant que meilleure plateforme de création de blog, WordPress fait partie de l’une des principales cibles des attaques malveillantes et des pirates. Bien heureusement, l’équipe travaille dur pour régler le problème. Ce qui permet aux internautes de l’utiliser en toute sécurité. Comment sécuriser un site ou un blog WordPress ? Pour répondre à cette question, je vais tout d’abord vous énumérer les deux principaux types de piratage possibles avant de vous expliquer les différentes étapes à suivre pour sécuriser votre site. Je précise que je ne suis pas codeur et pas spécialiste de la cybersécurité.

Dans cet article je vous présente certains choses que je met en place et d’autres que j’ai trouvé suite à mes recherches comme les codes présents dans cet article. Pour en savoir plus sur ces parties techniques je vous ai mis les sources de l’articles sur lesquelles j’ai trouvé les informations les plus pointues pour aller plus loin.

Sécuriser son site WordPress : les deux principaux types de piratage

Deux principaux types de piratage peuvent attaquer les sites WordPress. En premier lieu, votre site pourrait être victime d’un pirate informatique qui résulte d’une action volontaire de certaines personnes malveillantes. Cela se produit généralement avec les sites Web populaires. Dans les cas les plus fréquents, ce sont les groupes d’activistes en désaccord avec le contenu du site qui sont susceptibles de l’usurper.

Sinon, le deuxième type de piratage correspond à une attaque non ciblée qui ne vise personne en particulier. Ce sont des piratages informatiques qui se présentent sous forme d’attaques automatisées. Ils sont capables d’analyser des adresses IP et peuvent détecter les problèmes de sécurité d’un site WordPress, d’un plugin ou d’un thème. À savoir que les vols de données les plus courants sont les vols de mots de passe et de coordonnées bancaires.

En ce qui concerne les conséquences du piratage, il se pourrait que votre page web soit remplacée par un autre site qui va essayer d’attirer vos visiteurs. Sinon, les utilisateurs du site pourront être espionnés. Et dans certains cas, des virus peuvent se propager sur le site.

Comment sécuriser un site WordPress : les étapes à suivre

Maintenant que vous avez une certaine idée des différents types de piratages possibles, je vais vous énumérer les différents moyens qui permettent de bien sécuriser votre site.

1.   Installez un plugin de sécurité

Pour protéger votre site WordPress, vous pouvez installer un plugin de sécurité. Pour ainsi faire, vérifiez vos paramètres de configuration ainsi que les documentations  afférentes. À savoir qu’un plugin bien configuré peut diminuer les risques de piratage. Parmi les différents choix possibles, vous pourrez utiliser iThemes Security. Il est en mesure d’empêcher les attaques et arrête les tentatives de connexion illégales. En outre, ce plugin peut masquer les vulnérabilités et effectuer des analyses de système. Sinon, All in One Security est également un plugin intéressant. Il est en mesure de bloquer les utilisateurs malveillants ainsi que leurs adresses IP. Il est aussi capable d’assurer la sécurité des bases de données et la connexion de l’utilisateur.Enfin, Wordfence Security est un autre plugin qui propose des analyses de sécurité et des fonctionnalités très intéressantes pour vous protéger notamment des attaques de force brute et c’est gratuit.

2. N’utilisez pas des mots de passe courants

Lorsque vous devrez choisir vos mots de passe, évitez ceux qui sont faciles à deviner. N’utilisez pas votre date d’anniversaire ni votre prénom ou du moins, combinez-les avec autre chose. Il est déconseillé d’utiliser les mots de passe séquentiels, car ils risquent d’être détectés facilement par les logiciels de suppression de mots de passe. À savoir que la création d’un mot de passe sécurisé est essentielle, car cela permet de renforcer votre page de connexion. Si vous souhaitez créer un mot de passe bien sécurisé, utilisez un générateur de mot de passe capable de combiner les caractères.

2.   Changez le nom d’utilisateur par défaut

Bien qu’il soit beaucoup plus facile de conserver le nom d’utilisateur de votre site et de l’utiliser en tant qu’administrateur par défaut, il est préférable de choisir un autre nom. En effet, de nombreuses attaques utilisent « admin » comme identifiant en espérant que les propriétaires n’ont pas la clairvoyance de le modifier. Pour effectuer la modification, créez un nouvel utilisateur à partir de Utilisateurs>Nouvel utilisateur, puis accordez vos nouveaux droits administratifs de connexion. Ensuite, connectez-vous avec votre nouveau compte d’administration et supprimez l’ancien compte « admin » par défaut.

4.   Configurez une authentification à double facteur

Une autre mesure qui pourrait renforcer la sécurité de votre site WordPress serait de configurer une authentification à double facteur. Même si vous avez déjà utilisé un mot de passe sécurisé et que vous avez modifié votre nom d’utilisateur, l’activation de l’authentification à double facteur va empêcher aux personnes malintentionnées d’accéder à vos informations de connexion. Pour configurer cette fonctionnalité, vous pouvez utiliser des plugins comme Authy, Rublon, UNLOQ et Keyy.

5.   Gardez certaines informations strictement pour vous

Lorsqu’une nouvelle personne doit accéder à votre site, essayez de limiter les informations que vous allez lui donner. Partagez uniquement les informations dont elle a besoin afin de bien réaliser son travail. Si par exemple, elle va effectuer de simples modifications, il n’est pas nécessaire de donner un accès administratif complet. Il est toujours conseillé d’agir avec prudence afin d’éviter toutes possibilités de piratage.

6.   Désactivez l’édition de fichier

La désactivation de l’édition de fichier est également un moyen efficace qui permet de sécuriser votre site. Pour ainsi faire, faites une sauvegarde de votre fichier wp-config.phppuis, modifiez l’original en ajoutant le texte ci-dessous :

define(‘DISALLOW_FILE_EDIT’, true);

Ce sont des codes qui permettent de protéger votre site contre les pirates informatiques. De cette manière-là, il serait difficile de faire des modifications à partir de l’éditeur d’apparence de WordPress.

7.   Cachez votre numéro de version WordPress

Beaucoup de personnes sont curieuses de savoir le nombre de sites qui sont actifs. Pour le connaître, ils vérifient les numéros de version. Sachez toutefois que cela peut poser des problèmes, car certaines versions WordPress sont très vulnérables aux attaques malveillantes. Afin de cacher ou de supprimer votre numéro de version, modifiez votre fichier function.php en ajoutant le code suivant :

add_filter( ‘the_generator’, ‘__return_null’ );

8.   Faites des mises à jour régulières des plugins, des thèmes et de WordPress

Pour vous rassurer que vous disposez d’un bon système de sécurité, il est conseillé d’effectuer des mis à jour réguliers. Sinon, il est préférable de  profiter des mises à jour automatiques afin d’éviter les oublis. Pour ainsi faire, ajoutez à votre fichier wp-config.phple code ci-dessous :

add_filter (‘auto_update_theme’, ‘__return_true’);

add_filter (‘auto_update_plugin’, ‘__return_true’);

9.   Utilisez les meilleurs thèmes et les meilleurs plugins

Lorsque vous allez acheter vos plugins, choisissez toujours des sites réputés et évitez autant que possible de télécharger des plugins premium gratuits. En effet, ils peuvent être infectés par des logiciels malveillants. Ce qui pourrait engendrer des problèmes considérables. Par ailleurs, vérifiez bien le plugin ou le thème de votre choix avant de les télécharger. Lisez les avis laissés par les utilisateurs et renseignez-vous sur la date de la dernière mise à jour. Et dernièrement, assurez-vous que le thème ou le plugin soit bien compatible avec votre version WordPress.

10.   Sauvegardez régulièrement vos bases de données

Chaque site possède une base de données dans laquelle sont conservés ses contenus. Ces données doivent être archivées régulièrement. Ce qui vous permet de les récupérer en cas de souci. Si vous pouvez le faire, procédez à une sauvegarde hebdomadaire. En outre, ayez l’habitude de bien noter sur chaque dossier de sauvegarde la date du dernier archivage. En cas de piratage ou de la perte du site, il vous serait beaucoup plus facile de régler le problème. À savoir qu’il est possible d’utiliser des plugins de sauvegarde gratuits. Ce qui vous éviterait de faire les choses manuellement.

11.Modifiez l’adresse de connexion

Pour protéger votre site, vous pourrez également modifier votre adresse de connexion. WordPress va vous proposer une adresse par défaut qui est : mon-site.com/wp-admin. Et pourtant, cela va faciliter le travail des hackers. Pour sécuriser votre site, vous pourrez changer l’URL en modifiant le fichier .htaccess. Sinon, vous pouvez utiliser d’autres extensions comme Custom Login URL. C’est une solution très pratique pour ceux qui ne s’y connaissent pas en code.

12. Empêchez la navigation dans les dossiers

Les dossiers disponibles sur un site WordPress sont accessibles à tous. C’est pourquoi, il est important de les bloquer afin d’assurer la protection du site. Pour le faire, il suffit de modifier les conditions d’accès  à partir de votre .htaccess ou choisir un plugin comme Hide My WordPress.

11.Utilisez https

Pour crypter les données transmises entre un client et un serveur, utilisez https. Le fait que ces données ne soient pas cryptées pourrait engendrer  de gros problèmes, surtout s’il s’agit du mot de passe administrateur. Pour ce faire, activez le module ssl de apache. Puis, créez un nouveau fichier dans le répertoire sites-availableen le nommant nomsite-ssl.  Puis placez dans ce fichier :

<VirtualHost *:443>

ServerName www.votresite.fr

ServerAlias votresite.fr

DocumentRoot /var/www/votredossier/

SSLEngine on

SSLCertificateFile /etc/apache2/server.crt

SSLCertificateKeyFile /etc/apache2/server.key

</VirtualHost>

Ensuite, générez les fichiers de certificat :

sudo openssl req -x509 -nodes -days 365 -newkey rsa:1024 -out /etc/apache2/server.crt -keyout /etc/apache2/server.key

À savoir que le « Common Name » correspond à votre nom de domaine. Et pour activer le site, utilisez :

sudo a2ensite nomsite-ssl

Ensuite, redémarrez apache avec :

service apache2 reload

Puis, téléchargez le plugin : http://wordpress.org/plugins/wordpress-https/

Et finalement, cochez les deux premières cases avant de cliquer sur Saves Changes. Et c’est ainsi que votre site sera transformé en https.

Autre méthode très simple que j’utilise personnellement : 

Vous activez le certificat ssl sur votre hébergeur , par exemple moi sur mon hébergeur o2switch c’est sur le schéma ci-dessous. Voir l’hébergeur o2switch

et ensuite il existe un plugin pour passer en https très simplement, je l’ai utilisé sur plusieurs sites: really simple ssl

12.Bloquez les attaques de type « brute force »

Pour se connecter à votre administration WordPress, il est possible d’essayer plusieurs couples identifiant / mot de passe. Pour limiter les tentatives autorisées pendant un certain moment, vous pouvez installer le plugin Login LockDown. Cela va aussi aider à protéger votre site.

13.Utilisez un scanner de failles de sécurité

Afin d’identifier vos failles de sécurité, il est possible d’utiliser un plugin WP Security. Il dispose de différents outils pratiques pour protéger votre site. Par ailleurs, il pourra indiquer le CHMOD de vos répertoires ainsi que celui qui est conseillé. À savoir qu’un point rouge apparaîtra s’il est nécessaire d’intervenir avec un client FTP. Par contre si tout est vert, vos données sont bien sécurisées. À noter que ce plugin permet également de générer des mots de passe et de changer le préfixe de vos bases de données.

14.Désactivez Windows Live Writer

Il s’agit d’un logiciel Microsoft qui permet de bloguer à partir d’une application de bureau. Cependant, WordPress ajoute également une autre ligne de code dans le header pour des raisons de compatibilité. À savoir que cette action est source d’insécurité d’où l’intérêt de désactiver Windows Live Writer.

15.Bloquez l’accès au fichier readme.html

Il existe des fichiers qui peuvent révéler des informations sur la version WordPress que vous utilisez. Tel est le cas de readme.htm lou encore license.txt. Pour les bloquer, vous pouvez utiliser le fichier .htaccess :

<files readme.html>

deny from all

</files>

<files license.txt>

deny from all

</files>

 

Voilà, j’espère que cet article vous a pu aider à comprendre un peu plus sur les possibilités de piratages. Sinon, il contient des conseils pratiques par rapport à la sécurisation d’un site ou d’un blog WordPress. Bien évidemment, il n’est pas nécessaire de tout appliquer à la fois. Il vous reste à déterminer ceux qui vous semblent les plus appropriés à votre site. En cas de besoin d’informations complémentaires, faites des recherches sur le point qui vous intéresse. Sinon, n’hésitez pas à demander l’intervention d’un développeur au cas où vous jugez l’action trop compliquée et que vous n’êtes pas en mesure de le réaliser toute seule. Et pour terminer, j’aimerais vous rappeler certains points assez importants sur lesquels je n’ai pas pu insister dans cet article. Évitez d’utiliser les mêmes mots de passe pour plusieurs services ou sites différents. Évitez de cliquer sur les offres alléchantes, surtout lorsque l’on vous demande votre mot de passe. Et dans la mesure du possible, évitez de vous connecter à un ordinateur qui ne vous appartient pas.

 

Sources :

wpsuperstars.net

codeur.com

leblogduhacker.fr

wpchannels.com

 

5/5 - (1 vote)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

You cannot copy content of this page