Bien que le logiciel WordPress soit très sécurisé et qu'il soit régulièrement audité et mis à jour par des centaines de développeurs, il y a beaucoup à faire pour sécuriser votre site.
Malheureusement, même en mettant en place des mesures de sécurité, votre site peut parfois être victime d’un piratage ciblant votre hébergeur, ou un autre site (si vous êtes sur un serveur mutualisé), ceci ne dépend donc pas uniquement de vous.
WordPress étant un des CMS les plus populaires, propulsant plus de 30% des sites, il est normal qu’il soit une cible appréciée des pirates. Peu importe votre type de contenu ou votre nombre de visiteurs mensuels, n’importe qui est exposé au risque de piratage et pour cela, il est important de prendre quelques précautions simples afin de renforcer la sécurité de votre site wordpress.
Un site WordPress piraté peut nuire gravement à la réputation de votre entreprise. En effet, les pirates peuvent voler les informations d’utilisateurs enregistrés tels que les mots de passe, ou encore installer des logiciels malveillants…
Pire encore, vous pouvez vous retrouver à payer les pirates, juste pour retrouver l’accès à votre site.
L’équipe de Fière Allure vous donne quelques mesures simples à mettre en place pour protéger votre site Web contre les failles de sécurité.
1
WordPress est un logiciel open source qui est régulièrement maintenu et mis à jour.
Généralement, WordPress installe automatiquement les mises à jour mineures. Pour les versions majeures, il suffit de les lancer manuellement.
En plus de wordpress, il est très important de garder vos thèmes et plugins à jour, généralement développés par des développeurs tiers qui proposent également des mises à jour fréquentes.
Pour cette raison, lorsque vous installez des thèmes ou plugins, il est important de vérifier les versions compatibles, et si la ressource est maintenu à jour ou non.
2
Utiliser un mot de passe simple de type 12345, azerty etc… est certes un mot de passe facile à retenir, mais c’est aussi un mot de passe facile à deviner.
Il est important d’utiliser un mot de passe complexe, ou mieux encore, généré automatiquement avec une variété de chiffres, de combinaisons de lettres et de caractères spéciaux comme ^ ou $ .
Les mots de passe générés automatiquement par wordpress sont un bon exemple, sinon, il existe des sites permettant de générer des mots de passe complexes tels que : Passwordgenerator
3
Si votre site est la cible d’une attaque, le plus important est de posséder une sauvegarde de vos fichiers.
Pour cela, nous vous conseillons le plugin Updraftplus qui permet de sauvegarder tous vos fichiers (thème, et bases de données), dans un dossier à la racine de votre site, ou encore sur le cloud, google drive, dropbox et de réinstaller ces sauvegardes en un clic. Ce qui peut s’avérer très utile en cas de piratage ou même bug lors d’une mise à jour etc…
4
En plus des sauvegardes, il est important de garder un oeil et une trace de ce qu’il se passe sur votre site, virus, tentatives de connexions…
Heureusement, Sucuri est une référence en la matière, il est gratuit, mais existe aussi en version payante.
5
WordPress permet de modifier le code de vos thèmes et plugins depuis le tableau de bord via Apparence > éditeur ou encore Plugins > éditeur.
En cas de piratage, du code peut être injecté dans votre thème / vos plugins sans même que vous puissiez vous en apercevoir.
Une fois votre site en ligne, vous pouvez désactiver cela en ajoutant le code suivant à votre fichier wp-config.php :
// Disable the Plugin and Theme Editor
define( 'DISALLOW_FILE_EDIT', true );
Il est aussi possible de désactiver cette fonctionnalité en un clic via le plugin Sucuri mentionné plus haut, dans les hardenings options.
6
Généralement la cible principale des pirates, le fichier wp-config.php est un fichier sensible contenant les informations de connexion à votre site, il est donc important d’en bloquer l’accès.
Avant toutes modifications de ces fichiers, assurez-vous d’avoir des sauvegardes à jour, en cas d’erreur, ils peuvent rendre votre site inaccessible.
Il est possible de le faire via deux méthodes :
Grâce au plugin Sucuri, dans les hardenings options
En ajoutant le code suivant à la racine, dans votre fichier .htaccess :
<Files *.php>
deny from all
</Files>
Pour cacher simplement les deux fichiers sensibles wp-config.php et .htaccess vous pouvez ajouter le code suivant au fichier wp-config.php :
# 1/Protège le fichier wp-config.php
<Files wp-config.php> order allow,deny
deny from all </Files>
Et de la même manière, ajoutez celui ci au .htaccess :
# 2/Protège le fichier .htaccess
<Files .htaccess> order allow,deny
deny from all </Files>
7
La navigation dans les répertoires peut être utilisée par des pirates, ou encore d’autres personnes afin de consulter vos fichiers, copier des images, connaître la structure de votre répertoire….
http://www.monsite.com/wp-content/uploads/
Même si, dans la logique des choses, votre répertoire ne contient pas de données ou images confidentielles, il est tout de même conseillé de désactiver l’indexation et la navigation dans les répertoires, par l’ajout de ce code à la fin de votre fichier .htaccess :
# 1/Désactive l'affichage du contenu des répertoires
Options - Indexes
Il existe encore beaucoup d’autres mesures à mettre en place pour sécuriser un site wordpress, celles énumérées ci-dessus étant des précautions de bases.
Si vous avez appliqué quelques-uns de nos conseils, vous pouvez vérifier via le wordpress security scan, si votre site semble sécurisé.
Nous espérons que cet article vous a aidé ! Si vous avez besoin d’accompagnement concernant la sécurité ou la maintenance de votre site wordpress, n’hésitez pas à contacter notre équipe web qui saura répondre à vos besoins.