24/11/2014 — Coding & Digital Innovation Last modified on 28 Nov 2016

Sécuriser son site web sous WordPress avec Wordfence et iThemes Security

sécuritéwordpress - Sécuriser son site web sous WordPress avec Wordfence et iThemes Security

Le CMS WordPress est très utilisé car très facile à mettre en place, complet, bénéficiant d’une communauté importante… Cependant, comme avec tout logiciel, son utilisation pose un certain nombre de problèmes de sécurité : il apparait ainsi que plus de 70% des sites créés sous WordPress sont non protégés, selon une étude de 2013.

La majorité des failles ne vient pas du soft en lui-même, mais le plus souvent de son utilisation: plugins en tout genre codés avec les pieds, configuration de l’hébergement, mises à jour …. les possibilités de mal faire sont nombreuses. On se réfère là au fameux mot PEBKAC : Problem Exists Between Keyboard And Chair.

WordPress est l’un des CMs les plus répandus : il est donc logiquement une des cibles privilégiées des hackers et des scripts kids, ces internautes qui n’ont pas ou peu de notions en matière de sécurité informatique mais qui s’amusent à infiltrer des systèmes en utilisant des scripts, failles ou programmes mis au point ou découverts par d’autres.

Il est donc primordial de limiter au maximum les risques : pour cela, quelques techniques simples peuvent vous éviter de nombreux ennuis…

Les scripts kids n’ont pas de cibles précises, et ne cherchent pas forcément à hacker des sites influents. Ils piratent pour s’amuser et cela peut donc toucher n’importe qui. Ils connaissent parfaitement les failles de WordPress et savent donc parfaitement où taper. Vous risquez donc fort de vous retrouver sans contenu, a minima.

Le danger étant que vous ne vous en rendiez pas compte tout de suite, s’il ne s’agit pas d’un défaçage, mais par exemple de l’insertion d’un script malveillant : vous allez perdre des visiteurs et risquez jusqu’à l’exclusion de Google pour « Site non fiable ».

Les quatre règles de base pour sécuriser son site web avec WordPress

  1. La mise à jour de WordPress vous ferez
    Pour éviter de vous faire pirater trop vite il faut commencer par tenir son WordPress à jour ! C’est la règle numéro un et pas la plus dure à suivre.
  2. Le user « Admin » vous changerez
    Le nom par défaut dans l’administration WordPress est « Admin », et personne ne pense à le changer. C’est donc le premier nom que le hacker va utiliser pour pénétrer sur le site, il n’a pas besoin d’aller chercher trop loin.
  3. Le mot de passe vous compliquerez
    Une fois le nom d’utilisateur par défaut rentré, le hacker va tenter de trouver le mot de passe. Beaucoup de mots de passe sont aussi simple que « motdepasse » « admin » ou « 12345 », voire « Maman », autant dire que ça ne lui fait pas trop peur …
    Pour rappel, un bon mot de passe combine : minuscule, majuscule, chiffre et symboles, sur 8 à 12 caractères ! Si vous n’avez pas d’inspiration allez directement là-dessus http://www.generateurdemotdepasse.com/
  4. L’accès aux ressources sensibles  vous cacherez
    Eviter que l’on puisse avoir accès à vos backoffices de n’importe où ? Cela vaut pour votre interface d’administration, mais également pour votre accès à phpmyadmin…

Les 2 plugins indispensables

Et pour aider à faire tout cela et bien plus encore deux plugins sont indispensables, ou du moins fortement conseillés par nos soins :

IThemes Security

ithemessecurity - Sécuriser son site web sous WordPress avec Wordfence et iThemes Security

iThemes Security : le couteau suisse de la protection WordPress

IThemes security c’est le plugin le plus complet pour protéger votre site, qui fait tout sauf le café.

iThemes security permet (notamment) de faire les opérations de bases suivantes :

  • Supprimer ou renommer l’utilisateur « Admin », ainsi que le user dont l’ID est « 1 » et de bannir automatiquement par la suite tous les hosts qui tenteront de se connecter avec ce user
  • Vous protéger contre des attaques de type « Brut Force » : évite que quelqu’un puisse essayer tous les mots de passe du monde …
  • Limiter l’accès aux fichiers sensibles du type wp-config, htaccess, etc.
  • Effacer la version de WordPress du code source de vos pages web, ceci afin de limiter les chances d’être visé par une bête requête dans Google ou autre.
  • Changer le préfixe de vos tables de BDD, si vous ne l’avez pas fait à l’install, afin d’éviter le traditionnel « wp_ »
  • Cacher votre interface de connexion à l’administration
  • Programmer des sauvegardes régulière de vos fichiers et contenus

Et bien d’autres choses encore … Vous pouvez vous référer à ce guide pour avoir un aperçu global de son fonctionnement idéal, et ça vous fera travailler votre anglais.

Le télécharger : https://wordpress.org/plugins/better-wp-security/

Wordfence

wordfence - Sécuriser son site web sous WordPress avec Wordfence et iThemes Security

Wordfence : jouez la double sécurité.

Wordfence vient compléter IThemeSecurity. Il compte pratiquement, à ce jour, 4 millions de téléchargements, ce qui en fait également une référence en matière de sécurité.

A la manière d’un antivirus et d’un firewall sur PC, ce plugin est un outil qui va par exemple vous permettre de scanner tous les fichiers du thème, du CMS et des plugins afin de détecter le moindre code malveillant.

Vous pouvez donc continuer à utiliser vos plugins préférés en toute sérénités une fois qu’ils ont été validés par Wordfence, qui par ailleurs est égalment proposé en version premium avec un outil de cache surpuissant (mais l’aspect rapidité de WP fera l’objet d’un prochain post …)

Il permet également de surveiller votre trafic en temps réel, d’imposer aux users de votre blog la définition de mots de passe TRES sécurisés, de mettre en place un système d’authentification à deux niveaux… en gros, de blinder votre site.

Combiné à iThemes Security, vous faites de votre WordPress une forteresse imprenable.

Le télécharger : https://wordpress.org/plugins/wordfence/

Sécuriser votre accès à la base de données

Ah un dernier conseil … la dernière grosse faille qui a fait sué de nombreux webmasters concernait un plugin de slider – Revolution Slider pour ne pas le nommer, qui donnait accès via une url à votre fichier wp-config … et donc à vos identifiants de Base de Données. A quoi bon alors sécuriser votre wordpress si l’on peut directement se connecter à votre BDD … réponse, à rien.

Plus de 1000 thèmes incluant ledit plugin non mis à jour ont alors été mis sous le feu d’une menace potentielle… Et beaucoup de sites sont encore vulnérables, sans le savoir.

Posez-vous alors la question suivante : peut-on accéder facilement à votre outil d’administration de BDD ? Peut-on exécuter du code en direction de votre base de données depuis n’importe quel serveur ? votre hébergeur impose t-il le host localhost ou assimilé ? …

Il ne coute rien de renommer votre répertoire phpmyadmin en quelquechose de moins commun, ou d’en restreindre l’accès à vos ips uniquement.

Autant de « tricks » qui peuvent vous éviter de gros ennuis … un jour.

 

Informations mises à jour le 28 Nov 2016

A lire ensuite :

Rien à lire de plus ;-)