Comment sécuriser un site WordPress ?

Début 2018, WordPress représentait déjà plus de 30% des sites internet du web. C’est un très beau succès pour ce CMS, mais sur le web tout n’est pas rose mais ça vous le saviez déjà. Les hackeurs ont un joli terrain de jeu, s’ils arrivent à trouver une faille dans WordPress, ils peuvent potentiellement hacker 30% des sites du web par la même occasion..

La plupart des hackeurs utilisent ce qu’on appelle des scripts kiddies, des scripts tout fait qui vont attaquer des milliers de sites WordPress automatiquement en espérant trouver une faille, il est donc assez facile de bloquer l’utilisation de ces scripts, qui vont utiliser des termes génériques pour attaquer. Ce que je donne ici peut permettre d’en bloquer pas mal, mais vous ne serez jamais couvert à 100% contre les attaques, surtout si un bon hackeur décide de vraiment cibler votre site.

Comment protéger son site d’attaques des méchants pirates du web ?

1) Protéger sa base de donnée WordPress :

Lorsque vous créez votre site WordPress, au moment de l’installation où l’on vous demande vos identifiants et mot de passe de base de données, WordPress vous demande également d’entrer un préfixe pour vos tables (en général c’est wp_ qui est noté par défaut), la plupart des gens ne modifient pas ce terme, ce qui fait que si quelqu’un tente de pénétrer sur votre base de donnée il est quasiment certain que le préfixe sera wp_.Remplacez le donc par un autre préfixe de 2-3lettres et chiffres en terminant tout de même par un underscore « _ » pour faciliter la lecture de vos tables en base de données. Un attaquant qui essaiera de hacker votre base de donnée aura beaucoup plus de mal ainsi.

Si vous n’avez pas fait cette modification lors de l’installation de votre WordPress, rien n’est perdu, vous pouvez tout de même le faire en suivant ces petites modifications : Modifier le préfixe de vos tables WordPress après installation du site.

2) Protéger son panneau d’administration WordPress :

2.1) Déplacer l’accès à la zone de login :

Par défaut la zone de connexion à votre panel d’administration (là où vous pouvez écrire vos articles) se trouve à cette adresse : nomDeDomaine.com/wp-admin où nomDeDomaine.com/wp-login.

Et ça un attaquant le sait très bien et va en profiter pour essayer de vous attaquer en entrant des pseudos de connexions et des mots de passes (attaque par brute force par exemple).

Pour déplacer la zone de connexion de WordPress, on va utiliser l’extension
WPS Hide Login, grâce à elle vous allez pouvoir personnalisée l’adresse de connexion de WordPress et obtenir une belle erreur 404 sur l’adresse /wp-login.

Maintenant les hackeurs basiques et les scripts kiddies ne pourront plus tenter de se connecter à votre place.

2.2) Choisissez un pseudo de connexion qui ne soit pas « admin » :

Ne laisser aucun pseudo de connexion comme « admin », c’est le pseudo préféré des hackeurs. Car du coup il n’aurait plus qu’à trouver votre mot de passe.

2.3) Ajouter un captcha sur le formulaire de connexion :

Perso j’utilise beaucoup l’extension Math Captcha qui comme son nom l’indique va vous faire résoudre un petit calcul (ça reste facile pas d’inquiétude) et qui permettra de bloquer la plupart des scripts kiddies. Et ça vous fera réfléchir 2 secondes aussi par la même occasion 😉

2.4) Supprimer l’affichage des erreurs de connexions :

Par défaut, si vous entrez un identifiant incorrect où un mauvais mot de passe, WordPress vous dira votre erreur (identifiant inconnu par exemple), c’est bien pour vous, mais c’est aussi très bien pour les hackers car ça leurs donne des indications très précieuses pour eux (cool cet identifiant existe j’ai plus qu’à trouver le mot de passe!)

Pour le supprimer il faudra ajouter cette ligne dans le fichier function.php de votre thème (soit le thème créer par vous même, soit un thème enfant bien entendu) :

add_filter('login_errors',create_function('$a', "return null;"));

3) Faire des sauvegardes régulières :

Alors perso j’utilise le plugin Duplicator (en version pro car je gère beaucoup beaucoup de sites), mais la version gratuite peut être suffisante pour vous si vous n’avez pas besoin de programmer des sauvegardes automatiques. Moi je ne veux plus devoir y penser alors la version pro est idéale pour moi.

En faisant des sauvegardes régulières, vous pourrez repasser facilement à une ancienne version de votre site en cas de piratage (ça m’est arrivé plusieurs fois de me faire pirater et je n’avais pas de sauvegarde à l’époque, ça fait très mal et vous perdez un temps fou à corriger les problèmes, et encore à la fin vous n’êtes même pas vraiment sûr que tout est bon..)

4) Supprimez les thèmes et plugins WordPress dont vous ne vous servez pas :

Il a été prouvé qu’un attaquant peut se servir d’une faille dans un thème où d’une extension pour pouvoir attaquer votre site conçu avec WordPress. Il est donc de bon usage de supprimer les thèmes et extensions dont vous ne vous servez pas.

Concernant les plugins, évitez d’utiliser un plugin qui n’a pas été mis à jour depuis trop longtemps, car cela veut dire que son créateur ne maintient plus l’extension, et donc ne bouche pas les failles de sécurité qui serait découvertes.

5) Conclusion :

On arrive à la fin de cet article qui j’espère vous servira, il y a encore beaucoup à dire sur la sécurité, je rajouterai des points par la suite si j’estime que c’est nécessaire (nouveau mode d’attaque, nouvelle extension super performante, etc..)

N’hésitez pas à laisser un petit commentaire, à apporter des précisions où dire vos incompréhensions sur certains points, cet espace sert à communiquer entre vous et avec moi, alors n’hésitez surtout pas ^^

No votes yet.
Please wait...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

25 − = 19