•  

15 conseils pour protéger WordPress des attaques et piratages

protéger wordpress astuce conseil piratage sécuriser

WordPress est l’un des outils de création de site le plus populaire au monde, et pour cause, ses avantages sont très nombreux : Il est gratuit, open-source, dispose d’une immense communauté, on trouve donc pour WordPress des milliers de thèmes, plugins…

On l’a vu les possibilités sont grandes, avec WordPress on peut créer un site dans n’importe quelle activité, du blog d’opinion personnel au site professionnel au passant par le e-commerce, sans avoir de connaissances en programmation !

Protéger WordPress

Néanmoins, cette popularité est à double tranchant, car elle rend WordPress vulnérable, si un hacker trouve une faille sur WordPress, il peut potentiellement pirater des milliers de sites internet (et ne croyez pas que votre blog de photo de chats visités seulement par votre grand-mère et vous soit à l’abri). Des robots parcourent le web à la recherche des sites vulnérables en permanence !).

Il est donc primordial de protéger votre site avant ou rapidement après sa mise en ligne, en suivant mes recommandations vous limiterez les risques que votre site soit piraté.

Je vais vous expliquer comment sécuriser votre site WordPress avec des petites astuces simple et facile. Ces conseils sont pertinents, en particulier ceux sur les clefs de sécurité, les noms et chemins de l’interface et des bases de données, et les plugins de sécurisation.

1. Mettre à jour WordPress

Quand vous vous connectez sur votre interface d’administration, le message WordPress *.*.* est disponible ! Pensez à faire la mise à jour s’affiche ? Il faut bien entendu cliquez sur ce lien dès que vous avez 2 minutes pour mettre à jour votre installation WordPress.


mise a jour wordpress


Vous pouvez avoir aussi plein de raison de ne pas vouloir mettre à jour votre installation WordPress:

  • Vous ne savez pas si votre superbe thème personnalisé sera toujours compatible avec la dernière version
  • Vous avez peur de faire planter votre site et de devoir refaire toute l’installation de WordPress.

Alors oui il existe un risque que la mise à jour se passe mal, mais utiliser une vieille version de WordPress c’est continuer à utiliser une version de WordPress qui a des failles connues, et comme je vous l’ai dit, des robots parcourent le web à leurs recherche, et tôt ou tard ils tomberont dessus.

Vous avez le choix entre mettre à jour WordPress avec un faible risque que les choses se passent mal ou ne pas faire les mises à jour avec la certitude qu’un jour un robot passera par là. Voici comment faire les mises à jour WordPress avec sureté.

2. Mettre à jour les plugins et le thème

Pour la même raison qu’il faut mettre à jour WordPress, vous devez mettre à jour les plugins de WordPress. Les plugins sont des scripts qui se connectent à la base de données de WordPress et peuvent donc potentiellement la modifier ou l’effacer. Veuillez donc à ce qu’ils soient également toujours à jour. Idem pour votre thème WordPress.

3. Protégez l’interface d’administration

Ne facilitez pas la tâche aux hackers ! Ils connaissent très bien WordPress, et savent que pour se connecter, il faut passer dans 99% des cas par wp-admin ou login.php.

Empêchez l’accès direct à ces fichiers ou répertoires vous protégera d’une grande partie des robots qui traînent à la recherche de WordPress mal sécurisés.

Pour ce faire, je vous recommande le petit plugin Rename WP-login.

4. Renommer le compte administrateur

De la même manière, par défaut le pseudo de votre compte utilisateur principal est « admin ». Changez-le et ne faites pas apparaître se pseudo comme nom d’auteur de vos articles sur le site ! Soyez imaginatif.

Je vous recommande même de créer un autre utilisateur avec les droits administrateur et ensuite de supprimer votre ancien compte admin. Le pseudo Admin crée de base porte l’ID 1, avec cette technique votre ID sera différent de 1.

5. Utiliser un mot de passe complexe unique

Certains robots utilisés par les hackers vont tenter de trouver votre mot de passe avec des attaques dites « bruteforce ». Pour ce faire, ils testent tous les mots de passe d’une longue liste qu’ils ont. Et inutile de vous dire que « Azerty », « qwerty », « 123456789 », ou « password » ne feront pas long feu !

Dans la mesure du possible essayez de mettre un mot de passe différent de ceux que vous utilisez ailleurs, ainsi si le mot de passe de votre site WordPress est trouvé, le hacker ne pourra pas accéder à votre hébergeur, boite mail etc…

Il existe des sites permettant de créer des mots de passe complexes et uniques par site, en voici un.

6. Utiliser le compte administrateur que quand c’est nécessaire

Sur WordPress, il y a beaucoup de choses que vous pouvez faire avec un simple compte éditeur : écrire des articles, ajouter des fichiers à la médiathèque… Et vous devriez toujours réaliser ces actions depuis un compte éditeur, car quand vous êtes connecté en administrateur votre site est plus vulnérable : vous pouvez être attaqué d’une autre façon (vol de cookies/session par exemple). Des codes malicieux, s’ils ont réussi à s’installer sur votre site, seront exécutés avec plus de privilèges…

Cela est particulièrement vrai si vous utilisez un autre pc : Vous ne savez pas si l’ordinateur de ce cybercafé n’est pas vérolé, plein de keyloggers,… Alors ne vous connectez pas à votre compte administrateur dessus, préférez-vous connecter en éditeur.

Pour résumer : On ne se connecte au compte administrateur que depuis une machine sûre, et pour faire des modifications sur le site qui ne peuvent être faites qu’en administrateur. Si on veut modifier ou poster un article, on se connecte avec un compte éditeur.

7. Faites des sauvegardes régulières

Malgré tous vos efforts pour sécuriser votre site, un accident est toujours possible. L’accident peut d’ailleurs ne pas être lié à un hacker, une défaillance du disque dur de votre hébergeur est, par exemple, toujours possible ou une erreur commis par vous même. Pour vous en prémunir, une seule solution : la sauvegarde.

Deux solutions s’offrent à vous :

  • Sauvegarder à la main vous-même tous vos fichiers contenu dans wp-content et votre base de donnée au format sql
  • Ou bien utiliser un plugin permettant de réaliser des sauvegardes planifiées. Il y en a beaucoup, je vous recommande personnellement BackWPup. Il permet de planifier des sauvegardes (par exemple quotidiennes) qui seront sauvegardées sur votre compte Dropbox, ftp ou par mail).

8. Définir des clefs de sécurité dans le fichier wp-config

WordPress permet dans le fichier wp-config.php, d’entrer des clefs de sécurité. La plupart des gens ne le font pas et laissent la phrase par défaut. C’est une erreur, encore une fois en faisant cela vous facilitez la tâche des hackers. Alors, si vous n’avez pas d’idée, WordPress met à votre disposition un générateur de clefs aléatoires que vous n’aurez qu’à copier aux emplacements appropriés de votre fichier.


protéger wordpress sécurisation


9. Utiliser un scanneur de failles de sécurité

Il existe des plugins WordPress pouvant scanner votre site, repérer ce qui est à leurs yeux une faille de sécurité, et vous proposer des moyens pour la résoudre. Mon préféré est iThemes Sécurity. En plus de cela, il vous protège contre les attaques bruteforce, bannit un certain nombre de robots qui ont été repérés… Bref, un must-have.

10. Se méfier des thèmes et plugins gratuits sur les stores inconnus

Les thèmes et plugins gratuits ne sont pas dangereux en eux-mêmes, mais ils peuvent l’être, en particulier s’ils ont été trouvé sur des sites peu connus : 80% proposent des parties de leur code source chiffrées. Certes, souvent c’est anodin (par exemple, pour empêcher le blogueur de retirer le copyright du thème), mais parfois c’est plus grave, et un thème ou plugin gratuit peut installer une porte dérobée sur votre site et être utilisé pour envoyer du spam…
Privilégiez les thèmes et plugins en provenance de sources fiables comme le site officiel des plugins WordPress Plugin directory.

11. Cacher le numéro de version WP

Il faut mettre à jour WordPress, je vous l’ai dit, mais il se passe parfois une semaine ou deux avant de se rendre compte qu’une nouvelle version est disponible. Une astuce pour augmenter un peu sa sécurité est de ne pas laisser le hacker savoir que vous n’utilisez pas la dernière version de WordPress (si le hacker sait quelle version de WordPress vous utilisez, il peut par exemple taper failles WordPress 3.3.1 dans Google et trouver des dizaines de failles à exploiter. En lui cachant votre version, vous lui compliqué un peu la tâche. Pour ce faire, supprimez le fichier readme.html à la racine de votre WordPress, et dans le fichier functions.php, ajoutez la ligne suivante :

remove_action("wp_head", "wp_generator");

12. Cacher les erreurs de connexion

Pendant que vous êtes dans le fichier functions.php, profitez-en pour cacher les erreurs de connexion. En effet, par défaut, WordPress affiche le message le mot de passe est incorrect ou le nom d’utilisateur est incorrect. Le hacker sait donc s’il a trouvé le bon identifiant de connexion. Ajoutez simplement la ligne suivante à la fin du fichier précité pour rendre l’erreur moins explicite.

add_filter('login_errors',create_function('$a', "return null;"));

13. Changer le préfixe des tables de la base de donnée


wp_prefix


Par défaut les bases de données qu’utilise WordPress ont le préfixe wp_, par exemple la table wp_comments contient tous les commentaires. Si vous ne l’avez pas fait à l’installation il existe le plugin Change DB prefix qui fait ceci en 1 clic.

14. Désactiver l’éditeur de fichiers

Le premier outil qu’un hacker utilisera une fois sur votre site c’est le panneau d’administration de WordPress. Depuis ce panneau, vous le savez, tout administrateur a la possibilité de modifier tous les fichiers du site depuis l’éditeur, il peut donc exécuter du code. Vous pouvez facilement désactiver cette possibilité en ajoutant cette ligne dans votre fichier config.php :

define('DISALLOW_FILE_EDIT', true);

15. Régler les permissions d’accès aux fichiers

Avec votre client FTP, réglez les permissions d’accès aux fichiers de WordPress de la façon suivante :

  • Les permissions doivent être réglées sur 0755 pour les dossiers
  • Les permissions doivent être réglées sur 0644 pour les fichiers

De cette façon, un hacker ne pourra pas exploiter une mauvaise gestion des droits pour prendre le contrôle de votre site. En outre, des permissions mal réglées peuvent poser des problèmes pour la mise à jour de votre site, ou l’installation d’un plugin.

Conclusion

Il y a des milliers d’autres choses dont nous aurions pu évoquer, certaines concernent les sites web en général (ainsi, il faut que votre hébergeur utilise une version de PHP récente, une base de données récente,…) mais pour faire bref, jamais votre site ne sera « sûr » à 100%, alors faites un maximum de sauvegardes. En suivant ces recommandations, vous éviterez la majorité des risques, et pourrez remettre votre site sur pied rapidement si jamais il venait à être corrompu.

Une question ? un avis ? une demande ? n'hésitez pas !