Saviez-vous qu’environ un site internet sur trois est un site WordPress ? Revers de ce succès mondial, le CMS est source de nombreuses attaques de hackers. Comment s’en prémunir en sécurisant au mieux son site ? Voici quelques erreurs courantes… Et comment les éviter !
7 erreurs fréquentes en terme de sécurité
Erreur n°1 : Se croire à l’abri
Trop de webmasters estiment, à tord, que leur site ne risque aucune attaque tout simplement parce qu’il s’agit d’un « petit site ». Qui irait s’attaquer à un blog de mode ou encore au site vitrine d’une boulangerie ?
Pourtant, gardez bien à l’esprit que TOUS les sites sont susceptibles d’être un jour attaqués. Et ce, qu’importe leur thématique ou leur succès. Le vôtre peut donc être ciblé à tout moment.
Dans 99.9% des cas, les attaques ne sont pas dirigées expressément contre vous en particulier, vous ne serez, si j’ose dire, qu’une « victime collatérale ». Le hacker sera certainement un jeune pirate qui se sera mis au défi d’attaquer le plus grand nombre de sites possible.
Ces personnes utilisent des scripts (fait maison ou trouvés sur le net) afin de déceler la moindre faille de sécurité. Lorsqu’une faille est trouvée, ledit script lance alors une batterie d’attaques pour tenter de l’exploiter.
Ces attaques peuvent prendre diverses formes :
- Insertion de liens et textes non désirés (visibles ou non) dans vos contenus ;
- Installation de pages de pshishing dans le but de piéger vos utilisateurs en leur envoyant des emails d’arnaque ;
- Prise de contrôle de votre site, par exemple suppression de votre contenu ou autre ;
- Vol de vos mots de passe et informations personnelles ;
- Etc, etc.
Erreur n°2 : Ne pas faire les mises à jour… et le faire savoir !
Des mises à jour de WordPress sont régulièrement disponibles, et bien qu’elles soient mises en évidence dans leur tableau de bord, beaucoup de webmasters négligent de les lancer ou le font tardivement.
Une mise à jour permet de corriger des failles de sécurité. En ayant systématiquement la dernière version de WordPress, vous supprimez les risques de vous faire attaquer via des failles de sécurité connues.
Et cela est valable pour tous vos sites : y compris ceux dans lesquels vous ne postez plus de contenu (ou peu).
Par mesure de sécurité, nous vous conseillons de cacher la version de WordPress que vous utilisez. Pour cela, deux choses à faire :
• Supprimez le fichier « readme.html » situé à la racine de votre site ;
• Masquez le numéro de version affiché dans les « meta name », en ajoutant cette petite ligne de code dans votre fichier « function.php »
Remove_action(« wp_head », « wp_generator ») ;
Erreur n°3 : Choisir un mot de passe basique
Il est crucial de choisir un mot de passe complexe, que vous n’utilisez nulle part ailleurs. Quelques conseils pour le choisir :
- Au moins 8 caractères
- Un mélange de chiffres, de lettres minuscules et de lettres majuscules
- Qui ne forme pas un mot existant dans le dictionnaire
Choisissez des mots de passe différents pour l’administration de votre site, votre base de données, votre adresse e-mail et votre accès FTP.
Erreur n°4 : Négliger l’installation de la base SQL
Lors de l’installation de votre blog, WordPress vous propose de choisir un préfixe pour les tables de votre base de données. Par défaut, il vous propose de l’appeler « wp_ ». Surtout, ne gardez par ce paramètre par défaut, et modifiez le préfixe !
Choisissez n’importe lequel, de préférence un qui alterne les lettres et les chiffres afin de le rendre difficile à trouver.
Vous avez déjà installé WordPress et utilisez le préfixe « wp_ » ? Tout n’est pas perdu ! Vous pouvez procéder au changement manuellement ou encore utiliser un plugin pour vous aider dans cette tache, tel que Change DB Prefix.
Erreur n°5 : Laisser les droits d’accès par défaut
Peut-être avez-vous pris l’habitude de laisser les permissions par défaut à vos dossiers et fichiers, ou pire, de les modifier en « 777 » (qui donne accès à tous en écriture aussi bien qu’en lecture). Sachez que plus vous restreindrez ces droits d’accès et moins vous donnerez la possibilité aux hackeurs de rentrer dans votre site pour y ajouter, supprimer ou modifier des fichiers.
Voici une petite suggestion :
- Dossier « www » : 705
- Fichier de configuration et htaccess : 404
- Autres fichiers : 404
- Autres dossiers : 505
- Si un fichier en particulier a un besoin en droit d’écriture : 604 pour le fichier et 705 pour le dossier dans lequel il est.
Ces droits ont l’avantage de ne permettre à personne de modifier vos fichiers ou d’en insérer à votre insu. En revanche, ce système a l’inconvénient de vous demander de changer les droits en 705 (pour les dossiers) et 604 (pour les fichiers) avant de lancer toute mise à jour, sans quoi elle ne pourra se faire. N’oubliez pas de remettre les droits sécurisés après !
Erreur n°6 : Utiliser un thème gratuit, trouvé sur un moteur de recherche
Les thèmes gratuits trouvés sur les moteurs de recherche contiennent souvent de nombreuses failles de sécurité, intentionnelles ou non. Mieux vaut utiliser un thème gratuit trouvé sur un site officiel, acheter un thème Premium sur un site de confiance (ThemeForest par exemple) ou encore commander un thème unique auprès d’un professionnel.
Si vous n’êtes pas convaincu, je vous invite à lire cet article, qui explique très bien les risques : « Il ne faut jamais chercher un thème gratuit sur un moteur de recherche« .
Erreur n°7 : Installer n’importe quel plugin
Outre les thèmes, prenez également garde aux plugins que vous installez : beaucoup sont bourrés de failles de sécurité !
Aussi, il est fortement recommandé de les télécharger sur les sites officiels :
Avant d’installer un plugin sur votre site web, testez-le au préalable sur une version en local afin de s’assurer de sa compatibilité. Vous pouvez également consulter les rapports de bugs et de failles de sécurité des plugins que vous comptez utiliser en les recherchant sur un moteur de recherche.
Et lorsque vous décidez de ne plus utiliser un plugin, supprimez-le au lieu de simplement le désactiver ! Ne gardez que le strict minimum.
Astuces bonus pour sécuriser votre site wordpress
Configurer le fichier .htaccess
Ajoutez les lignes ci-dessous à votre fichier .htaccess (situé à la racine de votre site) pour contribuer à la sécurisation de deux pages régulièrement soumises aux attaques : « wp-config.php » et « .htaccess » lui-même.
Premier code à ajouter :
<files wp-config.php>
order allow,deny
deny from all
</files>
Second code à ajouter :
<files .htaccess>
order allow,deny
deny from all
</files>
Pour un .htaccess encore plus sécurisé, vous pouvez suivre les conseils dispensés par ce site (en anglais).
Séparer le compte « Auteur » du compte « Administrateur »
La plupart des attaques ciblent le premier membre inscrit sur le site, puisqu’il s’agit toujours de l’administrateur. Afin de réduire le risque d’attaques de ce côté-ci, voici quelques astuces :
- Se créer un second compte d’administrateur et supprimer le premier afin de changer son identifiant unique (user_id) ;
- Se créer un compte auteur et ne publier que sous ce nom-là : le compte administrateur ne sert qu’à installer de nouveaux plugins et à faire des mises à jour ;
- Ne jamais utiliser un pseudo du type « admin » ou encore « root », trop faciles à deviner : privilégiez des pseudos plus originaux ;
- Installer un plugin pour limiter le nombre de tentatives de connexion sur les comptes administrateurs afin de réduire les risques de piratage ;
- Retirer les accès d’administrateurs des personnes qui n’en ont plus besoin (temporairement ou non) : chaque compte administrateur est en effet une possible porte d’entrée pour les hackeurs !
Interdire le listing des répertoires
Permettre aux utilisateurs (et donc aux hackeurs !) de consulter la liste des répertoires de votre site est une possible porte d’ouverture aux attaques. Pour interdire ce listing, modifiez votre fichier .htaccess en y ajoutant le code suivant :
Options -Indexes
Faire des sauvegardes régulières
Il est fortement recommandé (pour ne pas dire « obligatoire », mais le coeur y est !), de faire régulièrement des sauvegardes de votre base de données et de votre contenu FTP. Une fois par jour est l’idéal, au grand minimum toutes les semaines, à moduler bien sûr en fonction de votre rythme de publication.
Vous pouvez utiliser un script que vous aurez vous-même créé, ou bien installer le plugin WP DBManager, qui se chargera de tout pour vous.
Réaliser des sauvegardes régulièrement vous permettra de remettre votre site d’aplomb en quelques instants après un piratage. A noter par ailleurs qu’il est conseillé de réaliser une sauvegarde avant toute mise à jour, au cas où un problème surviendrait.
Attention toutefois à télécharger régulièrement vos sauvegardes sur votre ordinateur (ou un disque dur externe) au cas où : si le hackeur venait à supprimer tous vos fichiers y compris votre sauvegarde, vous seriez bien embêté !
Bonus : 2 plugins utiles
WordPress Security Scan
Ce plugin très utile scanne votre installation WordPress pour dénicher toutes les failles qui s’y trouvent. Il vérifie notamment que votre site est bien à jour, que vos tables de base de données sont correctement préfixées (voir plus haut), que les permissions de fichiers sont correctes….
iThemes Security
Voici un plugin très complet et intuitif, qui vous aide à sécuriser votre site web pas à pas. Insidedaweb a créé un excellent tutoriel à son sujet, n’hésitez pas à le consulter : tutoriel iThemes Security.
Grâce à toutes ces petites astuces, vous devriez être relativement tranquille d’un point de vue piratage ! Et surtout n’oubliez jamais la règle d’or : mises à jour systématiques et aucune utilisation de paramètres par défaut. Bonne chance !
[…] Découvrez ce mois-ci un article dédié à la sécurisation de votre site WordPress : « Comment sécuriser votre site WordPress 4 ? » […]
Bonjour
Merci pour cet article très complet
Les sites worpress hébergé chez OVH rencontre un problème de compatibilité avec l extension de sécurité Acumix …
je vous recommande d utiliser soit Itheme sécurité soit Wordfence afin de sécuriser facilement votre site WordPress.
Certain plugins WordPress comportent des failles de sécurité …et ces extensions sont parfois incompatible entrent elle…
Si votre site wordpress plante suite a l installation d un de ces plugin pas de panique …connectez vous via le ftp …. allez dans le dossier wp-content ….puis plugins et renommer l extension qui pose problème exemple :itheme security deviendra ithemesecurity1 et voila ca remarche !