Sécuriser son site WordPress

Optimisations
Photo by Miłosz Klinowski on Unsplash

Savez-vous comment bien sécuriser son site WordPress ? Bien que ce sujet fasse peur, il existe de nombreux aspects que vous pouvez traiter pour améliorer la sécurité de votre site WordPress et élever le niveau de protection au maximum possible. Voilà pourquoi nous souhaitions commencer un guide pour vous sensibiliser aux meilleures pratiques de sécurité.

Cependant, les limites de cette documentation sont réelles :

  • Le risque d’un piratage est toujours présent. Malgré les mesures mises en place, rien ne pourra complétement protéger votre site à 100%. Pensez donc à sauvegarder vos fichiers et votre base de données très régulièrement!
  • Les meilleures pratiques listées ici ne sont pas exhaustives et sont susceptibles d’évoluer. Nous souhaitons avant tout aborder les sujets importants pour comprendre l’étendue de ce sujet

Nous vous proposerons tout de même une solution clé en main pour protéger votre site WordPress.

Les points auxquels nous sommes confrontés dans ces leçons

  • La raison pour laquelle vous êtes attaqué et les conséquences auxquelles nous sommes confrontés.
  • En matière de sécurité, ne pensez pas seulement à WordPress, mais à tout l’environnement qui l’entoure.
  • Nous analyserons les 4 activités à faire pour rendre votre site plus sûr.
  • Nous allons détailler votre site WordPress en voyant les configurations, les plugins et les services à utiliser.
  • Nous terminerons avec les activités à faire au cas où votre site serait compressé.

Pourquoi les sites sont-ils attaqués ?

Si votre projet en ligne vient juste de démarrer, vous pensez peut-être que vous ne courez aucun risque, car n’ayant ni concurrents ni ennemis pour vous embêter. Mais plusieurs types d’attaques ont des finalités différentes.

Être choisi comme cible spécifique est très rare, car il devrait y avoir quelqu’un qui a intérêt à nuire à notre activité. Cela ne représente qu’un faible % des attaques.

Le reste des tentatives de piratage des sites Web n’a pas de cible spécifique, car ce qui intéresse est de trouver des faiblesses dans le réseau pour prendre possession de serveurs et, éventuellement utiliser votre site.

Par exemple pour spammer par email sans se soucier les conséquences légales…. Ou pour ajouter du contenu spam (textes et backlinks) dans vos pages, parfois de façon invisible mais présent dans le code. Ou pire, infecter autant d’ordinateurs que possible, y compris ceux de nos visiteurs, pour obtenir des informations sensibles telles que les services bancaires.

Vous comprenez alors comment, par rapport à l’attaque d’une cible précise, ce type d’activité tend à attaquer le plus de victimes possible, à l’aide de systèmes automatiques qui écument le web à la recherche de proies faciles.

Par exemple, si un bug de sécurité est découvert pour un plugin, alors il est très probable que le réseau sera analysé pour trouver des sites avec ce plugin particulier installé.

Conséquences d’un site compromis

Lorsqu’un site est compromis, les conséquences peuvent être différentes :

  • la perte économique possible
  • la perte de confiance possible aux yeux des visiteurs
  • la baisse dans le positionnement des résultats de rechercher ou le déclassement par les moteurs de recherche. Par exemple, Google dispose d’un algorithme fonctionnant en permanence pour détecter les problèmes de sécurité du réseau. Lorsque Google trouve un site infecté, il prend des mesures immédiates pour défendre les autres utilisateurs et le Web en général.

L’étendue du problème de la sécurité

En ce qui concerne ce sujet, nous ne parlons pas seulement de technologies et de programmation, mais de personnes et de processus qui interagissent avec toutes ces parties :

  • Environnement
  • Personnes
  • Application
  • Infrastructure

Environnement

Par environnement, nous entendons les différentes parties qui vous permettent d’entrer en contact avec votre site WordPress.

Si le PC avec lequel vous vous travaillez est plein de logiciels malveillants, chevaux de Troie ou autres, vos chances sont importantes de permettre un accès à votre site WordPress, car elles sont conçues pour récupérer ces informations : mot de passe FTP, compte, données sociales, email et autres données.

Faites donc attention à l’entretien de votre ordinateur de travail !

Egalement, pensez aux endroits où vous vous connectez. En fin de compte, nous nous connectons de n’importe où, partout où il y a un réseau WiFi disponible. Et ces réseaux ne sont pas tous suffisamment sécurisé ou déjà infecté.

Personnes

L’aspect humain est fondamental et est aussi le plus faible !

Pour de très nombreux sites compromis, les causes du piratage sont justement dues à des erreurs humaines, surtout des mots de passe faibles. Ou même du piratage social.

Application

Par Application, nous comprenons WordPress et tous ses composants, tels que les thèmes et les plugins.

Puisque la plupart des sites du monde sont réalisés avec WordPress. Etant si répandu, il fait forcément partie des cibles favorites. En effet, plus il y a d’utilisateurs d’un produit, plus il sera facile de trouver une vulnérabilité, de prendre le contrôle de la machine ou d’installer des scripts malveillants pour un grand nombre d’utilisateurs.

N’oublions pas, cependant, que la communauté WordPress est un colosse, avec une main-d’œuvre nombreuse prête à intervenir au cas où ils seraient identifiés principalement des problèmes de sécurité.

Il est donc recommandé d’avoir WordPress, les thèmes et les plugins toujours mis à jour.

Infrastructure

Le dernier groupe concerne l’infrastructure qui héberge votre site, y compris le serveur. Ici, sans compétence technique, vous ne pouvez pas nous faire grand-chose, sinon choisir le bon hébergement.

Maintenant que nous avons vu l’environnement dans lequel nous devons évoluer, nous pouvons passer aux activités avec lesquelles vous devrez composer afin de vous défendre au mieux.

Comment configurer les options Wordfence pour sécuriser votre site web

Wordfence propose de nombreuses options et propose à la fois un pare-feu et un antivirus, qui analyse les outils pour détecter les logiciels malveillants, les chevaux de Troie, les portes dérobées et autres vulnérabilités connues. Installez le plugin comme vous le faites habituellement et accédez au tableau de bord.

wordfence 1

Dashboard

Sur cette page on retrouve le résumé des différentes activités que le plugin réalise. Nous avons la liste et le statut de tous les services actifs et ceux qui seraient actifs uniquement avec la version payante. Par exemple, vous pourrez trouver le nombre de types d’attaque contre lesquels le plugin se défend.

Il y a ensuite plusieurs données statistiques, comme le nombre d’attaques bloquées pour notre site et un rapport pour toutes les attaques mondiales défendues par WordFence. Intéressant de comprendre aussi les nations dans lesquelles les attaques se produisent, pour notre site et pour le monde entier.

Nous pouvons ainsi voir le nombre d’adresses IP bloquées et un journal des tentatives de connexion.

All Options

Allez d’abord dans le panneau All Options de Wordfence pour définir les paramètres du plugin.

Comme vous pouvez le voir, les options de Wordfence sont divisées en différentes sections. Sur cette page, nous pouvons activer ou désactiver de nombreuses fonctionnalités du plugin.

Pour commencer dans la section Wordfence Global Options > General Wordfence Options, si vous souhaitez que Wordfence installe automatiquement les mises à jour, cochez l’option Update Wordfence automatically when a new version is released?

Maintenant, juste en dessous, entrez l’email sur lequel vous souhaitez recevoir les alertes du plugin.

Dans la section Scan Options > Scan Scheduling, il est important de vérifier que vous avez activé Schedule Wordfence Scans. Cela lancera les analyses de virus en mode automatique.

Dans la section Tool Options > Live Traffic Options, nous avons la fonction Traffic logging mode. Wordfence, en fait, vous permet de voir en direct tout le trafic qui vient sur votre site. En tant que fonctionnalité impactant fortement vos performances, laissez-la sur SECURITY ONLY.

Attaquez-vous ensuite à la section Email Alert Preferences.

wordfence 3

Choisissez vous-même, en activant ou désactivant celles pour lesquelles vous souhaitez recevoir une notification. Veillez à ne pas tout activer, car des options telles que Alert me when a non-admin user signs in vous enverra un email à chaque fois qu’un utilisateur de votre site est connecté.

Descendez dans la section des options de Wordfence intitulée Scan Options > General Options.

wordfence 4

Activez :

  • Scan core files against repository versions for changes (opens in new tab)
  • Scan theme files against repository versions for changes (opens in new tab)
  • Scan plugin files against repository versions for changes

De cette manière, Wordfence vérifiera que les fichiers de vos thèmes et de vos plugins sont les mêmes que ceux trouvés dans le référentiel de WordPress. Puisqu’éditer ces fichiers n’est pas une pratique recommandée, les fichiers doivent toujours correspondre à ceux du serveur WordPress.

Use low resource scanning (reduces server load by lengthening the scan duration) est un paramètre intéressant si votre serveur n’est pas très puissant.

Les autres options peuvent être laissées telles quelles, mais n’hésitez pas à les parcourir (plus d’infos est disponible en survolant l’icone i).

Scan

Allez maintenant dans le menu Scan de Wordfence. Cette fonctionnalité permet l’analyse et la recherche des logiciels malveillants, d’autres vulnérabilités, des fichiers de base modifiés …

wordfence 5

Appuyez sur le bouton Start New Scan pour démarrer un scan de Wordfence. Le temps requis par la procédure dépend de la taille de votre site. Une fois terminé, vous verrez les résultats. Si le plugin trouve quelque chose qui ne va pas, vous serez également informé des actions recommandées à effectuer.

wordfence 6

Firewall

Rendez-vous dans le menu Firewall, et cliquez sur le bouton Manage WAF de la section Web Application Firewall.

Wordfence propose le travail du pare-feu dans deux modes différents :

  • Soit le pare-feu fonctionne au même niveau que les autres plugins. Cela signifie que lorsqu’une page est demandée, le pare-feu est chargé avec les autres plugins.
  • Soit le pare-feu entre en action avant que le noyau de WordPress, les thèmes et les plugins ne soient téléchargés. C’est la protection étendue. Comme vous pouvez l’imaginer, cette dernière est la méthode la plus sûre, car elle intervient avant tout autre élément.

Pour activer ce paramètre, appuyez sur Optimize the Wordfence Firewall.

wordfence 7

Pour pouvoir activer le pare-feu, il est nécessaire d’autoriser Wordfence à modifier le fichier. htaccess ou user.ini de votre installation WordPress. En effet, dans ce fichier sont enregistrés des paramètres qui agissent directement sur le serveur. Pour éviter les problèmes, téléchargez une copie de sauvegarde en appuyant sur DOWNLOAD HTACCESS ou DOWNLOAD .USER.INI. Et Continue.

wordfence 8

Comme vous le voyez, le pare-feu passe en mode d’apprentissage. Wordfence, au lieu de vous obliger à définir tous les différents paramètres, utilisez le mode d’apprentissage pendant une semaine, collectez les données que vous utilisez dans votre site et essayez de comprendre comment vous configurer au mieux.

Passé cette semaine, son statut changera automatiquement en Enabled and Protecting.

Blocking

Toutes les IP bloquées et leur gestion se trouvent dans la rubrique Firewall à l’onglet Blocking.

Si vous souhaitez connaître en détail chaque type de réglage, Wordfence met à votre disposition une documentation complète.

Comment utiliser WPS Hide Login pour protéger l’accès à votre site WordPress

[membership show_noaccess= »true »]

La méthode la plus populaire pour pénétrer un site web est la force brute. Elle consiste à tester automatiquement une grande série d’informations de connexion jusqu’à ce qu’elles soient correctes. L’aspect « automatique » est bien-sûr important et nécessite l’usage de scripts/robots.

Cependant, si vous ne savez pas où saisir les informations de connexion, vous ne pouvez pas forcer l’accès à un site web. C’est ce que permet le plugin WPS Hide Login !

Pourquoi cela fonctionne-t-il ?

Par défaut, la page de connexion administrateur WordPress se trouve sur la même URL. Ainsi, quel que soit le niveau de sécurité de votre site Web, n’importe qui peut saisir votre site Web et ajouter le « /wp-login.php » à la fin de l’URL.

Attention cependant! Cacher cette page de connexion de votre site semble bien sur papier, mais cela n’arrêtera que les amateurs. D’autres façons de localiser la page de connexion existent.

Ainsi, cette seule fonctionnalité ne suffit pas, vous devez toujours incorporer d’autres éléments de sécurité pour protéger votre site Web.

Installation de WPS Hide Login

Le plugin WPS Hide Login vous permet de modifier l’emplacement de votre connexion WordPress sans réécrire aucun fichier. Au lieu de cela, le plugin intercepte simplement les demandes de page et envoie le visiteur à l’emplacement de votre choix.

Commençons par cliquer sur Extensions > Ajouter.

hide login 1

Recherchez WPS Hide Login dans la zone de recherche.

hide login 2

Cliquez sur le bouton Installer maintenant et Activez le plugin.

hide login 3

Cacher votre zone de connexion

Le plugin est vraiment simple à utiliser, tout ce que vous avez vraiment besoin de faire est de changer une chose dans les paramètres.

Cliquez sur Réglages > WPS Hide Login.

hide login 5

Vous pouvez faire défiler jusqu’à la section WPS Hide Login. Il y a deux options ici URL de connexion et URL de redirection.

URL de connexion

L’URL de connexion est ce que vous devez saisir dans votre navigateur Web pour atteindre votre page de connexion.

Ainsi, par exemple, vous pouvez remplacer le « login » par défaut par « taco », ce qui signifie que vous visiterez : www.votresite.com/taco

hide login 4

Cela ferait maintenant apparaître l’écran de connexion de WordPress.

Remarque : Vous devez vous souvenir de cette URL. Il est fortement recommandé d’ajouter cet URL en favoris dans votre navigateur.

URL de redirection

L’URL de redirection est la page sur laquelle les utilisateurs arriveront s’ils tapent l’URL de connexion par défaut.

Par défaut, cela enverra n’importe qui à un écran d’erreur 404 lorsqu’il saisira l’URL de connexion par défaut.

hide login 6

N’oubliez pas de cliquer sur le bouton Enregistrer les modifications.

hide login 7

[/membership]

Félicitations ! Si vous avez suivi toutes les étapes de cette documentation, vous avez améliorer la sécurité de votre site WordPress 🙂

Chargement