Sécuriser un site Wordpress : les 7 techniques à retenir
Sécuriser votre site Wordpress est un point crucial. Pourquoi ? Parce que plus de 100 000 sites web sont piratés chaque jour
Et parmi ceux utilisant un CMS, 90% des sites attaqués tournent sous WordPress[ii], logiciel le plus populaire au monde. Victime de son succès, il est devenu une cible de choix pour les hackers, cherchant à exploiter ses failles.
Rassurez-vous, la vulnérabilité sur Wordpress n’est pas une fatalité. Des sites sensibles et hautement sécurisés y sont développés comme whitehouse.gov, paylib.fr ou encore vivendi.com.
Pour contrer ces cyber-attaques, de bonnes pratiques de sécurité doivent être déployées au plus tôt dans la vie de votre site. Après un petit rappel des risques que vous encourez, nous vous livrons 7 astuces pour protéger efficacement votre site internet.
Pourquoi la sécurité sur Wordpress est-elle essentielle ?
Afin de mieux savoir à quoi vous attendre en cas d’attaque et comment réagir, rappelons les différentes nuisances possibles en matière de piratage.
Tous les sites sont des cibles pour les hackers
L’erreur serait de penser que les hackers s’attaquent principalement aux gros acteurs du web, et que les petits et moyens sites ne sont pas touchés. Faux.
Souvent, les piratages informatiques sont automatisés et ne font aucune différence entre les sites visés. Des robots scannent le web, pour identifier des vulnérabilités et les exploiter.
Les motivations des hackers sont multiples
- Utiliser votre site pour tenter d’infecter les ordinateurs de vos visiteurs
- Intercepter les informations personnelles de vos visiteurs
- Rendre inaccessible l’accès à votre site et vous demander une rançon pour vous restituer les données
- Rediriger vos visiteurs vers d’autres sites pour gonfler des revenus d'affiliations
- Injecter du code sur votre serveur pour utiliser ses ressources et envoyer des spams ou effectuer d’autres attaques
- Polluer votre site de contenus sans rapport avec votre activité, pour le plaisir.
- Placer ou remplacer des bannières de publicité pour détourner les revenus
- Ajouter un lien dans votre pied de page pour améliorer leur référencement
- Espionner la concurrence
Les conséquences d’un site piraté ?... du temps et de l’argent
- Un piratage coûte cher : répercussion sur le chiffre d’affaire en cas de fermeture du site, nettoyage, désinfection, restauration …
- Un piratage détériore votre image, si vos visiteurs visualisent des contenus non appropriés ou si des informations sensibles sont dérobées.
- Un piratage nuit à vos performances sur les moteurs de recherches. Google peut ralentir le référencement naturel ou pire blacklister un site endommagé.
Site infesté ou paralysé, les types d’attaques en jeu
Un contrôle total du site
Le pirate prend le contrôle de votre base de données et de la totalité de votre site.
Pourquoi ? Transformer votre site, le détruire, revendre ou voler des informations et des données sensibles.
Une infection de votre site
Tendance du moment, le parasitage infeste votre site et l’ordinateur de vos utilisateurs, à l’aide d’un malware ou d’un code malveillant. Comme tout bon parasite, son but est de rester invisible sur son hôte afin d'y rester le plus longtemps, et d’y puiser le maximum de ressources. Il faut en moyenne 201 jours à une entreprise pour découvrir qu’elle a été victime d’une cyberattaque, selon l’Institut Ponemon.
Pourquoi ? Revendre des informations, envoyer des spams, accéder à des données sensibles telles que les données bancaires.
Comment sécuriser votre site Wordpress ?
Vous souhaitez prendre les précautions de sécurité nécessaires et éviter ces désagréments ?
Voici des solutions pour repousser efficacement et durablement les risques et décourager les cybercriminels. Car, en matière de hacking, le dicton « Il vaut mieux prévenir que guérir » sonne à la perfection.
1. Installer la dernière version PHP sur le serveur et la maintenir à jour
PHP (PHP Hypertext Preprocessor) est un langage utilisé par environ 79% des sites web. PHP est le langage côté serveur avec lequel WordPress fonctionne.
Problème :
Ne pas mettre à jour sa version expose à des failles de sécurité et limitera la performance du site.
Solutions :
- Utiliser la version 7.3+ de PHP. La dernière version de PHP prise en charge est actuellement la 7.4.
- Utiliser à minima la version 7.3 de PHP
2. Installer correctement sa configuration Wordpress
La configuration de base n’est vraiment pas optimale et laisse filtrer de nombreuses failles de sécurité exploitables par des individus malintentionnés.
Problème :
La configuration de base n’est vraiment pas optimale et laisse filtrer de nombreuses failles de sécurité exploitables par des individus malintentionnés.
Solutions :
- Modifier le préfixe des tables de la base de données
- Déplacer le fichier de config “wp-config.php”
- Ajouter un trou noir dans le robots.txt
- Désactiver l’affichage des fichiers dans les dossiers
- Ne pas divulguer les modules PHP
- Ne pas divulguer la version de WordPress
- Se protéger contre l’accès aux mauvaises URLs
- Protéger readme
- Supprimer le fichier licence.txt
- Sécuriser des fichiers SVG
- Désactiver l’éditeur de fichiers
- Filtrer les uploads
3. Mettre à jour régulièrement le coeur de Wordpress et les plugins
Wordpress offre un premier niveau de sécurité, si tant est qu’il soit mis à jour systématiquement. De même, les plugins WordPress peuvent être synonymes de vulnérabilités supplémentaires. La qualité de conception de ces extensions dépend, en effet, des compétences de programmation des auteurs, aux savoir-faire inégaux en la matière.
Problème :
Utiliser des plugins vulnérables ou une version trop ancienne de Wordpress est l’une des plus grosses erreurs de sécurité à éviter. Ces mises à jour incluent souvent des correctifs de sécurité essentiels.
Solutions:
Utiliser une version récente de Wordpress et avoir ses plugins à jour.
4. Mettre en place une protection contre les attaques robots malveillants
Des logiciels malveillants sont programmés par des développeurs aux mauvaises intentions pour mener plus massivement, plus rapidement et plus efficacement leurs campagnes de hacking.
Problème :
L’attaque par force brute
Cette célèbre méthode de cryptoanalyse est la plus simple pour accéder à un site. Un algorithme essaie de se connecter au back-office en utilisant des noms d'utilisateurs et des mots de passe jusqu’à trouver le bon résultat. Avec ce sésame, le pirate accède à un service en ligne, à des données personnelles ou un ordinateur.
Un mot de passe basique tel "123456" associé à un nom d'utilisateur "admin" peut être craqué en quelques secondes. Le temps nécessaire augmente avec la complexité du mot de passe.
Ce genre d’agression peut aussi ralentir le serveur du site. Le nombre de requêtes http (c'est-à-dire le nombre de fois que quelqu'un visite votre site) est si élevé que le serveur finit par manquer de mémoire.
Solutions :
- Modifier l’URL de connexion /wp-admin par une URL unique
- protection des formulaires de connexion/inscription/contact par un ReCaptcha (visible ou invisible)
- Limiter les tentatives de connexions
- Bannir les connexions avec des noms d’utilisateurs inconnus
- Masquer des erreurs de connexion pour éviter les fuites d’informations
- Utiliser un Captcha sur l’URL de l’administration
- Utiliser une liste noire de noms d’utilisateurs
- Stopper l’énumération des utilisateurs & auteurs
- Mettre à jour régulièrement les mots de passes utilisateurs
- Mettre en place le 2FA (double authentification)
- Désactiver la fonctionnalité XML-RPC
- Se protéger des mauvais User-Agents
- Se protéger des mauvaises méthodes de requêtes (GET/POST/HEAD)
- Protéger le site contre faux bots SEO
- Protéger le site contre les mauvais contenus des URLs
- Protéger le site contre les scanners d’injections SQL
- Protéger le site contre les 404 sur les fichiers .php
Problème : Le spamming
Les spams ne sont pas réservés aux boîtes mails. Ils pullulent dans les commentaires Wordpress en vous promettant de devenir millionnaire en 6 mois. Mais, leur but est surtout de détourner vos visiteurs vers des sites malveillants.
Solution :
- Anti-spam : désactiver les commentaires et/ou protection de celui-ci en fonction du site
5. Crypter les données confidentielles en installant un certificat SSL (HTTPS)
La protection des données est cruciale pour une boutique en ligne, dont les risques d‘attaque sont accrus pour s’emparer des données bancaires.
Problème :
sécuriser les paiements et les données sensibles
À chaque paiement, une communication se fait entre le navigateur et le site e-commerce. Lorsque vous saisissez votre numéro de carte bancaire dans votre navigateur, celui-ci va partager ce numéro avec le e-commerçant. Une fois le paiement reçu, il indique alors à votre navigateur de vous informer que votre achat a été effectué avec succès.
Si la communication n'est pas cryptée, un pirate peut facilement intercepter les numéros de carte.
Ce cryptage des données est également essentiel si vous utilisez un formulaire de contact ou d’inscription. Des données personnelles telles que des adresses, numéros de téléphone ou encore logins et mots de passe vont circuler « en clair ». Il est donc essentiel de s’en prémunir.
En 2021, installer un certificat SSL sur son serveur est indispensable. Cela améliorera au passage votre SEO, votre crédibilité et la confiance que les visiteurs accorderont à votre site.
Solution :
Installer un certificat SSL sur le serveur
6. Sécurité des headers HTTP
Un autre outil pour renforcer la sécurité WordPress sont les headers HTTP. Ceux-ci permettent l’échange entre le navigateur et le serveur, d’informations relatives à la gestion du site, comme l’authentification, le comportement du cache, les timeouts de connexions ou encore les cookies.
Problème :
sécuriser les headers HTTP.
Les en-têtes HTTP sont généralement configurés au niveau du serveur web, et indiquent au navigateur comment se comporter lorsqu'il traite le contenu du site. Il en existe beaucoup mais voici les plus importants :
- Content-Security Policy
- X-XSS-Protection
- Strict-Transport-Security
- X-Frame-Options
- Public-Key-Pins
- X-Content-Type
Solutions :
- Contrôler le paramétrage des headers http à l’aide d’outil tel que https://securityheaders.com/
- L'objectif est d’obtenir une note A voire A+ dans le meilleur des cas.
7. Réaliser des sauvegardes (backup) automatiques régulières
Un site sécurisé mettra à mal la majorité des tentatives de piratage. Néanmoins, et parce que les techniques de piratages se multiplient et se renouvellent quotidiennement, les attaques sont de plus en plus sophistiquées. La sécurité informatique à 100% n’existe donc pas.
Problème :
ne pas perdre son site internet
Si vous êtes victime d’un piratage, disposer d’une sauvegarde peut faire gagner beaucoup de temps, et permettra de remettre le site dans un état antérieur à la détérioration, et ce rapidement.
En cas d’attaque, les solutions de sauvegarde automatique vont favoriser la récupération rapide d’un état sain du site.
Cette restauration permet d’assurer une continuité de service, de limiter l’impact négatif d’un piratage informatique auprès des visiteurs, et de gagner un temps précieux dans le déploiement des correctifs nécessaires afin de sécuriser le site.
Solutions :
En matière de sauvegarde, il existe plusieurs méthodes. Voici un aperçu des méthodes et des rythmes que nous recommandons :
- Sauvegarde automatique côté serveur réalisée par notre hébergeur :
• Des disques de sauvegarde dans différentes salles d’hébergement
• Un enregistrement permanent d’1 semaine de sauvegardes journalières et 1 mois de sauvegardes hebdomadaires
- Sauvegarde automatique programmée depuis le CMS sur des outils tierces pour des besoins spécifiques :
• Sauvegarde mensuelle
• Sauvegarde hebdomadaire pour les sites vitrines ayant peu de trafic
• Sauvegarde quotidienne pour les sites qui utilisent les commentaires et qui sont mis à jour toutes les semaines
• Sauvegarde toutes les 12h pour les sites ayant du contenu mis à jour plusieurs fois par semaine
• Sauvegarde toutes les 6h pour les sites ayant du contenu mis à jour quotidiennement
• Sauvegarde en temps réel pour les sites ayant des mises à jour toutes les heures
Comment éviter un piratage Wordpress ?
Vigilance et prévention sont donc les maîtres mots. Concevoir un site attractif et bien le référencer prend du temps. Il serait dommage de laisser la place à des brèches de sécurité l’exposant à des actes malveillants.
Nous l’avons vu, la menace est lourde et particulièrement en France où la criminalité informatique explose. Trois points clés sont déterminants pour se protéger du piratage informatique.
- S’entourer d’experts en cybersécurité : la sécurité informatique ne s’improvise pas contrairement au piratage devenu un jeu d’enfants. Les forums foisonnent et la requête « comment hacker » est très populaire sur les moteurs de recherche.
- Se défendre sans tarder : les verrous de sécurité doivent être activés dès la conception et la mise en production du site pour couper court à tout piratage.
- Ne pas relâcher sa garde : une maintenance doit être assurée en continu car les techniques d’attaques évoluent continuellement. D’où l’importance, d’un réel suivi de la sécurité et de la maintenance de votre site web qui évitera la majorité des attaques.
Votre site internet est-il suffisamment sécurisé ?
N’hésitez pas à consultez notre équipe pour :
- Évaluer le niveau de sécurité de votre site et repérer ses points faibles
- Protéger votre site internet efficacement, renforcer les mesures de sécurité
- Maintenir votre site en sécurité durablement, confier à nos équipes la maintenance de sécurité de votre site internet WordPress.
Les sources:
[i] D’après internet live stats
[ii] D’après Sucuri, société spécialisée en sécurité informatique, rapport 2018
