Comment sécuriser son site WordPress

WordPress est un CMS, un système de gestion de contenu, libre et open-source. Vous pouvez créer votre propre site web sans pour autant savoir coder. 60% des sites web existants ont été réalisé avec cet outil.

Cependant, WordPress a des failles de sécurité. Selon une étude réalisée par Sucuri, 90% des sites web qui ont été piraté, utilisaient WordPress. Mais alors, que faire pour se protéger ?

Choisir son hébergeur

Un hébergeur web est une entreprise qui fournie l’hébergement sur Internet tel que les sites web par exemple.

Personnellement, nous utilisons OVH qui a de bonnes offres et qui propose une bonne protection. Pour un hébergement personnelle, tel qu’un blog, vous payerez 35€ à l’année et avez un nom de domaine, 100 Go d’espace disque, 10 adresses e-mails et un trafic illimité.

Vous êtes également protéger contre les attaques DDoS et possédez un certificat SSL.

Mettre à jour

Cela peut sembler stupide, mais il est très important de mettre à jour son WordPress, ses extensions, ses thèmes et ses traductions.

Une mise à jour n’apporte pas uniquement que des nouvelles fonctionnalités. Elles corrigent aussi les failles de sécurités. Une mise à jour tient en compte les nouveaux virus et méthodes de piratage.

Plugin de sécurité

Tout comme il existe des antivirus à installer pour protéger son ordinateur, vous devez installer un plugin de sécurité sur votre site.

Le plus connu de tous est Wordfence Security. Il agît comme pare-feu et comme scanner de logiciels malveillants. Il identifiera et bloquera le trafic malveillant, protégera votre site au point de terminaison, bloquera les requêtes incluant du code ou du contenu malveillant et vous protégera contre les attaques par brute force.

Lors de la rédaction de cet article, il a été installé sur plus de 4 millions de sites web et est noté 4.5 étoiles sur 5.

Il existe bien entendu d’autre plugin tel que iThemes Security, SecuPress, …

Changer l’URL de connexion

Pour se connecter au panneau d’administration de WordPress, vous utilisez l’URL suivante : https://votresite.fr/wp-admin.

Sachez que c’est la même adresse pour tout le monde. Elle est donc connu des hackers. Il vous faut impérativement la changer.

Pour cela, il vous faudra installer le plugin gratuit WPS Hide Login. C’est une extension qui très légère qui vous permettra de “renommer” la page de connexion. Ainsi, les pages wp-admin et wp-login seront inaccessibles.

Activer le HTTPS

Si votre site n’est pas encore en HTTPS, sachez que toutes les informations transmises sur le réseau ne sont pas cryptées. Des personnes mal intentionnées pourraient intercepter ces données et les utiliser pour vous nuire.

Si vous êtes chez OVH, sachez que vous pourrez activer le HTTPS par un simple bouton “activer le certificat SSL“. Une fois fait, vous devrez aller dans les paramètres de votre WordPress et changer l’URL de votre site en remplacer http://votresite.fr par https://votresite.fr.

Changer le nom de l’administrateur

Il existe un moyen très simple de récupérer l’identifiant du compte administrateur. Il suffit aux hackers de taper la ligne suivante dans la barre URL : https://votresite.fr/?author=1. Cela affichera très clairement l’identifiant administrateur que vous utilisez pour vous connecter.

Pour contrer cette attaque, il vous suffit d’installer le plugin Edit-Author-Slug, qui permet d’avoir un contrôle total des permaliens. Vous pourrez ainsi modifier la base et le slug de l’auteur.

Attaque par brute force XMLRPC

Un autre plugin a installer, est Disable XML-RPC-API. Il protégera votre site contre les attaques par brute force xmlrpc et DDoS. Il désactive le XML-RPC et les trackbacks/pingbacks sur votre site.

Le fichier .htaccess

Le fichier .htaccess est créé automatiquement sur tous les sites WordPress et se situe au dossier racine. Il inclus le paramétrage des permaliens de votre site. Plus précisément, il donne des directives à Apache (serveur HTTP) pour que celui-ci agisse de telle ou telle manière.

Il est très important de modifier ce fichier afin d’améliorer la sécurité de son site !

Premièrement, il vous faudra bloquer l’accès aux répertoires de votre site. Si vous ne le saviez pas encore, vous pouvez accéder aux répertoires en tapant l’adresse suivante dans la barre URL : https://votresite.fr/wp-content. Pour désactiver l’affichage, ajoutez à votre fichier .htaccess la ligne suivante :

Options All -Indexes

Ensuite il vous faudra protéger le fichier wp-config.php qui contient les identifiants pour se connecter à votre site et votre base de données :

<files wp-config.php>
order allow,deny
deny from all
</files>

Puis, dans la logique, protéger votre fichier .htaccess :

<Files ~ "^.*\.([Hh][Tt][AaPp])">
order allow,deny
deny from all
satisfy all
</Files>

Il ne s’agit là que du minimum. Si vous souhaitez ajouter plus de protection via le fichier .htaccess, je vous invite à lire l’article de wpmarmite qui donne plus de commandes.

Mot de passe et sauvegarde

En dernier point, je vous invite à mettre un mot de passe fort (plus de 16 caractères, comprenant des majuscules, des chiffres et des caractères spéciaux). Sachez qu’il existe des outils gratuits et accessibles à tous très facilement, qui peuvent trouver le mot de passe de votre compte administrateur.

N’oubliez pas de réaliser des sauvegardes de votre site. Je vous conseil d’installer un plugin comme BackWPup, afin de sauvegarder toute votre installation. Vous serez à l’abri des mauvaises manipulations.

Publicités

Laisser un commentaire