Comment améliorer la sécurité d’un site WordPress

Par dans Sécurité 0
Comment améliorer la sécurité d’un site WordPress

La question qui tue. Parmi les arguments des anti-WordPress, on retrouve régulièrement les soit-disant problèmes de sécurité liés à l’utilisation de ce CMS. Pourtant la plateforme est l’une des plus sécurisées et des plus suivies du marché. Cette fausse idée est en grande partie du à sa popularité qui en fait forcément une cible de choix pour les pirates mais aussi et surtout à la méconnaissance de ses utilisateurs en termes de sécurité.

Passage en revue des bonnes pratiques pour sécuriser un site WordPress.

Pour vivre heureux, vivons cachés

Vous utilisez WordPress mais est-ce utile de le faire savoir ?

Commencez par supprimer tout lien de crédit éventuel dans le footer par exemple.

Sachez également que WordPress fournit dans son code une information précieuse pour les pirates : sa version. Pourquoi est-ce un problème ? Parce que si vous n’avez pas mis à jour votre site, un pirate pourrait exploiter une faille découverte avec la version qui tourne actuellement sur votre site.

Faites donc en sorte de supprimer au maximum les traces de WordPress. Même s’il reste toujours possible de savoir que le site utilise le CMS, moins vous donnerez d’informations sur votre site et mieux vous serez protégé.

wordpress balises

Il est gentil WordPress, il donne plein d’informations aux hackers…

Protéger l’accès à votre back-office

Par définition, le meilleur moyen d’empêcher un piratage de votre site est d’empêcher l’accès au back-office aux éventuels pirates. Pour cela vous disposez de plusieurs possibilités.

Changer l’url de connexion au back-office

Via un module ou une règle dans votre fichier .htaccess, modifier l’url d’accès de votre back-office (par défaut /wp-admin sur tous les WordPress) vous protégera d’une grosse partie des tentatives de brute-force sur votre site.

Voici un exemple de règle .htaccess :

RewriteRule ^(/)?manouvelleurl/?$ /wp-login.php [QSA,L]
Règle Apache

Ajouter un anti-spam à votre panneau de connexion

La majorité des sites sont attaqués à l’aide de robots qui testent des milliers de combinaisons de mot passe et d’utilisateur pour accéder au panneau d’administration. Ajouter un anti-spam type recaptcha vous permet de limiter ce phénomène.

recaptcha admin wordpress

Un robot ne pourra pas passer le challenge recaptcha

Configurer un anti brute-force

La règle d’or en sécurité étant qu’un pirate a toujours un temps d’avance sur vous et donc qu’il ne faut donc jamais se reposer sur ses lauriers, il convient d’anticiper la possibilité qu’un robot finisse un jour par passer le recaptcha.

Pour cela, configurer un anti brute-force qui bloquera l’adresse IP au bout de XX tentatives est une bonne pratique incontournable. Des tas de modules existent pour cela sur le répertorie de plugins WordPress.

ban ip module wordpress

8 IP bannis en 3 jours

Opter pour la double authentification

A l’image de Facebook, Des smartphones ou d’autres services, vous pouvez optez pour un système de double authentification. En plus de votre mot de passe traditionnel il vous sera demandé de saisir un code supplémentaire qui vous sera fourni par SMS ou E-mail.

double authentification wordpress

Protégez-vous avec une double authentification

Il existe là aussi plusieurs solutions pour activer ce système sur votre site.

Tenir son site à jour

Il est primordial que votre site soit constamment maintenu à jour, aussi bien au niveau du coeur de WordPress que des modules que vous utilisez. Des failles de sécurité sont régulièrement découvertes et effectuer les mises à jour permet de s’en prévenir.

Sauvegarder son site

Il ne faut jamais dire jamais. C’est pourquoi faire un backup complet de votre site et de sa base de données pourrait vous sauver le jour (peut-être) où un problème surviendrait. De toute façon en dehors de l’aspect sécurité, faire une sauvegarde de son site est une bonne pratique quoi qu’il en soit.

Modifier le préfixe de table dans votre base de données

Un pirate pourrait pour tenter d’accéder à vos informations effectuer des requêtes sur votre base de données. Sachant que les tables de WordPress portent toujours les mêmes noms, modifier le préfixe des tables préviendra qu’un pirate finisse par arriver à ses fins. En plus c’est facile à faire, WordPress vous propose de le modifier à l’installation :

install wordpress

Il suffit de changer le préfixe à l’installation

Faire preuve de bon sens

Sécuriser son site c’est bien, vous sécuriser c’est mieux.

Commencez par utiliser un mot de passe compliqué pour votre site et non le nom de votre animal de compagnie, histoire de ne pas faciliter la tâche à une personne mal intentionnée.

Assurez-vous par ailleurs de sécuriser vos différents périphériques (pc, smartphone, tablette…) Un pirate pourrait très bien finir par accéder à votre site s’il a réussi à rentrer sur l’une de vos machines.

Munissez-vous d’un bon anti-virus et d’un bon pare-feu.

Sécuriser l’hébergement/le serveur

Moins souvent, le piratage d’un site WordPress est du à une faiblesse dans la sécurité de l’hébergement ou du serveur dédié que vous utilisez.

Assurez-vous donc de bien sécuriser cet aspect et notamment l’accès FTP, SSH et Mysql : anti brute-force, log avec alerte… La aussi les solutions ne manque pas.

En conclusion

Vous l’aurez compris, la sécurisation d’un site WordPress n’est pas un aspect à négliger. Cela prend un peu de temps, mais vous perdrez moins de temps à sécuriser votre site qu’à tout remettre en place une fois que celui-ci aura été piraté et je ne parle pas de l’image que vous renverrez si votre site piraté est visité par vos prospects/clients…

Vous souhaitez un audit de sécurité ? Vous avez besoin de conseil ou vous souhaitez sécuriser votre site ? N’hésitez pas à nous contacter.

Déposer un commentaire

Votre adresse de messagerie ne sera pas publiée.

Charles Berthommé

Avatar

A propos

Développeur & Intégrateur au sein de l'agence web API Studio dont je suis également le gérant. Formateur auprès de l'université de Strasbourg.

Au fil des tweets

Logo API Studio
Réseaux sociaux
Contacter l'agence