Sécuriser un site Wordpress : les 7 techniques à retenir
Pourquoi la sécurité sur Wordpress est-elle essentielle ?
Tous les sites sont des cibles pour les hackers
Les motivations des hackers sont multiples
- Utiliser votre site pour tenter d’infecter les ordinateurs de vos visiteurs
- Intercepter les informations personnelles de vos visiteurs
- Rendre inaccessible l’accès à votre site et vous demander une rançon pour vous restituer les données
- Rediriger vos visiteurs vers d’autres sites pour gonfler des revenus d'affiliations
- Injecter du code sur votre serveur pour utiliser ses ressources et envoyer des spams ou effectuer d’autres attaques
- Polluer votre site de contenus sans rapport avec votre activité, pour le plaisir.
- Placer ou remplacer des bannières de publicité pour détourner les revenus
- Ajouter un lien dans votre pied de page pour améliorer leur référencement
- Espionner la concurrence
Les conséquences d’un site piraté ?... du temps et de l’argent
- Un piratage coûte cher : répercussion sur le chiffre d’affaire en cas de fermeture du site, nettoyage, désinfection, restauration …
- Un piratage détériore votre image, si vos visiteurs visualisent des contenus non appropriés ou si des informations sensibles sont dérobées.
- Un piratage nuit à vos performances sur les moteurs de recherches. Google peut ralentir le référencement naturel ou pire blacklister un site endommagé.
Site infesté ou paralysé, les types d’attaques en jeu
Un contrôle total du site
Le pirate prend le contrôle de votre base de données et de la totalité de votre site.
Pourquoi ? Transformer votre site, le détruire, revendre ou voler des informations et des données sensibles.
Une infection de votre site
Tendance du moment, le parasitage infeste votre site et l’ordinateur de vos utilisateurs, à l’aide d’un malware ou d’un code malveillant. Comme tout bon parasite, son but est de rester invisible sur son hôte afin d'y rester le plus longtemps, et d’y puiser le maximum de ressources. Il faut en moyenne 201 jours à une entreprise pour découvrir qu’elle a été victime d’une cyberattaque, selon l’Institut Ponemon.
Pourquoi ? Revendre des informations, envoyer des spams, accéder à des données sensibles telles que les données bancaires.
Comment sécuriser votre site Wordpress ?
Vous souhaitez prendre les précautions de sécurité nécessaires et éviter ces désagréments ?
Voici des solutions pour repousser efficacement et durablement les risques et décourager les cybercriminels. Car, en matière de hacking, le dicton « Il vaut mieux prévenir que guérir » sonne à la perfection.
1. Installer la dernière version PHP sur le serveur et la maintenir à jour
Solutions :
- Utiliser la version 7.3+ de PHP. La dernière version de PHP prise en charge est actuellement la 7.4.
- Utiliser à minima la version 7.3 de PHP
2. Installer correctement sa configuration Wordpress
Solutions :
- Modifier le préfixe des tables de la base de données
- Déplacer le fichier de config “wp-config.php”
- Ajouter un trou noir dans le robots.txt
- Désactiver l’affichage des fichiers dans les dossiers
- Ne pas divulguer les modules PHP
- Ne pas divulguer la version de WordPress
- Se protéger contre l’accès aux mauvaises URLs
- Protéger readme
- Supprimer le fichier licence.txt
- Sécuriser des fichiers SVG
- Désactiver l’éditeur de fichiers
- Filtrer les uploads
3. Mettre à jour régulièrement le coeur de Wordpress et les plugins
Wordpress offre un premier niveau de sécurité, si tant est qu’il soit mis à jour systématiquement. De même, les plugins WordPress peuvent être synonymes de vulnérabilités supplémentaires. La qualité de conception de ces extensions dépend, en effet, des compétences de programmation des auteurs, aux savoir-faire inégaux en la matière.
4. Mettre en place une protection contre les attaques robots malveillants
Des logiciels malveillants sont programmés par des développeurs aux mauvaises intentions pour mener plus massivement, plus rapidement et plus efficacement leurs campagnes de hacking.
Problème :
L’attaque par force brute
Cette célèbre méthode de cryptoanalyse est la plus simple pour accéder à un site. Un algorithme essaie de se connecter au back-office en utilisant des noms d'utilisateurs et des mots de passe jusqu’à trouver le bon résultat. Avec ce sésame, le pirate accède à un service en ligne, à des données personnelles ou un ordinateur.
Un mot de passe basique tel "123456" associé à un nom d'utilisateur "admin" peut être craqué en quelques secondes. Le temps nécessaire augmente avec la complexité du mot de passe.
Ce genre d’agression peut aussi ralentir le serveur du site. Le nombre de requêtes http (c'est-à-dire le nombre de fois que quelqu'un visite votre site) est si élevé que le serveur finit par manquer de mémoire.
Solutions :
- Modifier l’URL de connexion /wp-admin par une URL unique
- protection des formulaires de connexion/inscription/contact par un ReCaptcha (visible ou invisible)
- Limiter les tentatives de connexions
- Bannir les connexions avec des noms d’utilisateurs inconnus
- Masquer des erreurs de connexion pour éviter les fuites d’informations
- Utiliser un Captcha sur l’URL de l’administration
- Utiliser une liste noire de noms d’utilisateurs
- Stopper l’énumération des utilisateurs & auteurs
- Mettre à jour régulièrement les mots de passes utilisateurs
- Mettre en place le 2FA (double authentification)
- Désactiver la fonctionnalité XML-RPC
- Se protéger des mauvais User-Agents
- Se protéger des mauvaises méthodes de requêtes (GET/POST/HEAD)
- Protéger le site contre faux bots SEO
- Protéger le site contre les mauvais contenus des URLs
- Protéger le site contre les scanners d’injections SQL
- Protéger le site contre les 404 sur les fichiers .php
Problème : Le spamming
Les spams ne sont pas réservés aux boîtes mails. Ils pullulent dans les commentaires Wordpress en vous promettant de devenir millionnaire en 6 mois. Mais, leur but est surtout de détourner vos visiteurs vers des sites malveillants.
Solution :
- Anti-spam : désactiver les commentaires et/ou protection de celui-ci en fonction du site
5. Crypter les données confidentielles en installant un certificat SSL (HTTPS)
La protection des données est cruciale pour une boutique en ligne, dont les risques d‘attaque sont accrus pour s’emparer des données bancaires.
6. Sécurité des headers HTTP
Un autre outil pour renforcer la sécurité WordPress sont les headers HTTP. Ceux-ci permettent l’échange entre le navigateur et le serveur, d’informations relatives à la gestion du site, comme l’authentification, le comportement du cache, les timeouts de connexions ou encore les cookies.
- Content-Security Policy
- X-XSS-Protection
- Strict-Transport-Security
- X-Frame-Options
- Public-Key-Pins
- X-Content-Type
- Contrôler le paramétrage des headers http à l’aide d’outil tel que https://securityheaders.com/
- L'objectif est d’obtenir une note A voire A+ dans le meilleur des cas.
7. Réaliser des sauvegardes (backup) automatiques régulières
Un site sécurisé mettra à mal la majorité des tentatives de piratage. Néanmoins, et parce que les techniques de piratages se multiplient et se renouvellent quotidiennement, les attaques sont de plus en plus sophistiquées. La sécurité informatique à 100% n’existe donc pas.
- Sauvegarde automatique côté serveur réalisée par notre hébergeur :
• Des disques de sauvegarde dans différentes salles d’hébergement
• Un enregistrement permanent d’1 semaine de sauvegardes journalières et 1 mois de sauvegardes hebdomadaires
- Sauvegarde automatique programmée depuis le CMS sur des outils tierces pour des besoins spécifiques :
Comment éviter un piratage Wordpress ?
- S’entourer d’experts en cybersécurité : la sécurité informatique ne s’improvise pas contrairement au piratage devenu un jeu d’enfants. Les forums foisonnent et la requête « comment hacker » est très populaire sur les moteurs de recherche.
- Se défendre sans tarder : les verrous de sécurité doivent être activés dès la conception et la mise en production du site pour couper court à tout piratage.
- Ne pas relâcher sa garde : une maintenance doit être assurée en continu car les techniques d’attaques évoluent continuellement. D’où l’importance, d’un réel suivi de la sécurité et de la maintenance de votre site web qui évitera la majorité des attaques.
Votre site internet est-il suffisamment sécurisé ?
- Évaluer le niveau de sécurité de votre site et repérer ses points faibles
- Protéger votre site internet efficacement, renforcer les mesures de sécurité
- Maintenir votre site en sécurité durablement, confier à nos équipes la maintenance de sécurité de votre site internet WordPress.
Les sources:
Plus de posts
Google Analytics 4, migration, CNIL et RGPD : à savoir et à faire
06 mai 2023
Pourquoi Figma est génial ? On vous dit tout.
01 juin 2021
Une animation digitale pour se rassembler
26 novembre 2020
Les outils indispensables de notre studio digital
12 octobre 2020
Développement d’une carte dynamique pour son site internet avec Google Maps API
29 septembre 2020
Avec ou sans www ?
08 septembre 2020