[Tutoriel] Comment sécuriser votre site WordPress ?

Pour la plupart des webmasters, la sécurité n’est pas la priorité des priorités. C’est souvent après une intrusion que l’on se rend compte à quel point il important de sécuriser son site. Un site internet n’est jamais à l’abri d’un piratage, cela arrive beaucoup plus vite qu’on le pense.

On ne vous apprendra rien en vous rappelant que WordPress est le CMS le plus populaire au monde. Pour cette raison, il est une cible particulièrement importance des hackers et autres spammers. Selon WP White Security, 70% des sites WordPress seraient vulnérables et ce serait plusieurs centaines de milliers de sites qui chaque année se feraient hacker. Et pas uniquement des gros sites. Dans cet article, nous vous donnons les bonnes pratiques à connaitre pour sécuriser votre site WordPress, avant de vous présenter les principaux plugins WordPress conçus pour gérer facilement la sécurité de votre site.

Comment les hackers peuvent compromettre la sécurité de votre site WordPress

Pour bien comprendre de quoi l’on parle, il est important de savoir, pour commencer, comment les hackers font en règle générale pour pirater un site WordPress. Cela permet de se faire une idée claire des points de vulnérabilité à surveiller. Il y a bien sûr d’innombrables manières de pirater un site WordPress. Il est possible toutefois de toutes les regrouper en 4 grandes catégories. Dans un article de décembre 2014, WP White Security a donné les statistiques suivantes :

• 41% des sites WordPress ont été hackés à cause d’une faille de sécurité au niveau de la plateforme d’hébergement.
• 29% ont été piratés à cause d’un problème de sécurité au niveau du thème WordPress utilisé.
• 22% ont été piratés à cause d’un problème de sécurité au niveau des plugins utilisés.
• 8% des sites WordPress ont été piratés à cause d’un mot de passe trop faible.

Dans la plupart des cas, les personnes qui piratent un site WordPress le font pour utiliser le serveur – pour ensuite envoyer des emails spams par exemple. Il est rare que ce soit pour voler des données ou supprimer des fichiers présents sur le site.

Les bonnes pratiques pour sécuriser votre site WordPress

Les hackers ne s’attaquent pas à tous les sites WordPress. Ils visent seulement les sites WordPress vulnérables, ceux qu’il est facile de pirater. Si votre site WordPress est correctement sécurisé, aucun hacker ne s’amusera à passer des jours et jours pour trouver la minuscule faille de sécurité qui lui donnerait accès à votre serveur. Il suffit d’appliquer les bonnes pratiques expliquées ci-dessous pour bloquer 99,9% des attaques. Mieux vaut prévenir que guérir !

Choisissez un hébergement sûr

41% des piratages de sites WordPress sont dus à une faille de sécurité située au niveau de la plateforme d’hébergement. Pour sécuriser votre site WordPress, vous devez commencer par choisir un hébergement sûr, c’est-à-dire une plateforme d’hébergement de qualité. Comparez les différents hébergeurs entre eux et choisissez en un qui met l’accent sur la sécurisation. Vous devez opter pour un hébergeur qui :

• Est compatible avec les sites WordPress.
• Inclut un firewall optimisé pour WordPress.
• Supporte les dernières versions de PHP et de MySQL.
• Dispose d’un outil de détection des fichiers intrusifs et d’un scanneur de malware.
• Dispose d’un personnel formé à la sécurisation des sites WordPress.

Si vous optez pour un hébergement mutualisé, vérifiez que l’hébergeur dispose d’un système d’isolation des comptes. Cela permet d’empêcher qu’un des comptes surcharge le serveur et endommage votre propre site. Dernier point : choisissez un hébergeur qui propose des sauvegardes quotidiennes automatiques des fichiers, afin d’éviter de tout perdre en cas de hacking (attention, les sauvegardes automatiques ne vous dispensent pas d’effectuer régulièrement des sauvegardes manuelles). A La Fabrique du Net, nous utilisons l’hébergeur WP Engine. Cet hébergeur spécialisé dans les sites WordPress répond à tous les critères de sécurité.

Vous hésitez entre les différents types d’hébergement (mutualisé, dédié, cloud…) ? Nous vous invitons à lire notre article « Quel hébergement pour votre site WordPress« .

Faites les mises à jour WordPress

Les nouvelles versions de WordPress permettent de résorber les failles de sécurité qui avaient été identifiées dans les précédentes versions. Autrement dit, plus votre version de WordPress est ancienne, plus vous risquez de vous faire hacker. C’est la raison pour laquelle il est très important de faire les mises à jour WordPress et d’utiliser la dernière version. WordPress publie une grosse mise à jour tous les 6 mois (4.5, 4.6, etc.) et très régulièrement de petites mises à jour (4.5.1, 4.5.2, etc.). Les petites mises à jour ont très souvent pour fonction de régler des bugs ou des failles de la dernière version. Vous devez donc installer les nouvelles versions mais aussi les petites mises à jour.

Il existe depuis la version 3.7 une fonctionnalité de mise à jour automatique. Cette fonctionnalité est très pratique, mais attention : elle ne concerne que les petites mises à jour. Si vous souhaitez que votre site WordPress installe automatiquement les nouvelles versions, vous devez ajouter un morceau de code à votre fichier wp-config.php :

L’installation d’une nouvelle version WordPress ou d’une mise à jour peut créer quelques problèmes sur votre site. C’est pour cette raison que certains préfèrent gérer manuellement les mises à jour. Si c’est aussi votre préférence, vous devez ajouter ce code dans votre wp-config.php :

Sécuriser vos plugins et vos thèmes WordPress

Un peu plus de la moitié (51%) des sites WordPress piratés le sont à cause d’une faille de sécurité au niveau des plugins ou du thème. Vous devez donc tout logiquement sécuriser vos plugins et vos thèmes.

Commençons par les plugins. Vous devez être très prudent vis-à-vis des plugins que vous installez et activez sur votre site WordPress. Quelques conseils et remarques à ce sujet :

• Vous devez installer et activer uniquement les plugins nécessaires, c’est-à-dire ceux qui apportent vraiment une fonctionnalité utile. Faites du tri régulièrement et désactivez (puis supprimez) les plugins dont vous ne vous servez pas. Nous avions déjà abordé ce point lorsque nous avions listé les 9 techniques pour réduire le temps de chargement de votre site WordPress.
• Soyez très méfiant à l’égard des plugins qui n’ont pas été mis à jour depuis plus de deux ans. Il y a des risques qu’ils aient des failles de sécurité qui n’ont pas été réparées. Dans la mesure du possible, n’utilisez que des plugins qui font l’objet de mises à jour régulières.
• Tous les plugins ne se valent pas. Certains sont mal développés et constituent des portes d’entrée grandes ouvertes pour les pirates. Choisissez des valeurs sures.

Passons maintenant aux thèmes. Comme pour les plugins, vous devez choisir un thème bien codé et régulièrement mis à jour. Vous pouvez utiliser un plugin comme Theme-Check pour vérifier la qualité de votre thème (il existe aussi le plugin « Plugin-Check » pour tester la qualité du code des plugins). Vous devez être très vigilant si vous décidez de télécharger un thème gratuit d’une source inconnue. Il est très fréquent que ces thèmes contiennent un malware et soient des chevaux de Troie. Si vous optez pour un thème gratuit, utilisez ceux disponibles sur WordPress.org ou bien ceux disponibles sur des boutiques reconnues (comme Themeforest). Il arrive que des plugins ou thèmes payants contiennent aussi des malwares, même si c’est beaucoup plus rare. Donc vérifiez la source de votre thème et de vos plugins, que ceux-ci soient gratuits ou payants.

Le petit conseil de La Fabrique du net
Nous vous conseillons de toujours acheter vos plugins et thèmes auprès de leurs développeurs. Evitez les sites de torrent.

Si vous souhaitez que les mises à jour de vos thèmes se fassent automatiquement, vous devez ajouter ce morceau de code dans votre fichier wp-config.php (attention, certains thèmes ne supportent pas les mises à jour automatiques) :

Si vous souhaitez la même chose pour les plugins, vous devez ajouter le même morceau de code, en remplaçant simplement « theme » par « plugin » :

Pour être sincère avec vous, nous vous recommandons plutôt les mises à jour manuelles de vos plugins et thèmes. Tout comme pour les MàJ de WordPress, les mises à jour de plugins ou de thèmes causer des bugs. L’avantage avec les MàJ manuelles, c’est que vous êtes devant votre ordinateur pendant qu’elles se font. En cas de problème, vous pouvez tout de suite désactiver le plugin ou le thème concernés et contacter votre développeur.

Nous vous conseillons également de désactiver l’éditeur de plugin et de thème en rajoutant le code suivant dans votre fichier wp-config.php (cela permet d’éviter qu’en cas d’intrusion dans votre admin, le hacker supprime tout le code) :

Désactiver le rapport d’erreur PHP

Si un de vos plugins ou votre thème occasionnent une erreur, le message d’erreur est susceptible de faire apparaître le chemin vers votre serveur. Ce qui constitue une information très utile pour les hackers. Il est donc préférable de désactiver le rapport d’erreur. Pour cela, vous n’avez qu’à rajouter ce morceau dans votre fichier wp-config.php :

Si ce code ne marche pas, contactez votre hébergeur et demandez-lui s’ils peuvent désactiver le rapport d’erreur de leur côté.

Renforcer les informations de login (mot de passe et identifiant)

Rappelons les chiffres : 8% des sites WordPress piratés le sont à cause d’un mot de passe trop faible. Vous devez donc :

• Changer votre mot de passe fréquemment.
• Créer un mot de passe renforcé. Pour cela, vous pouvez utiliser un générateur de mot de passe comme Norton Password Generator ou Strong Password Generator.
• Utiliser un gestionnaire de mots de passe pour stocker vos mots de passe (et ne pas les oublier !). Au niveau des outils, vous avez le choix : Dashlane,  Passpack, KeePass, LastPass.
• Obliger tous les utilisateurs de votre site WordPress à utiliser des mots de passe renforcés.

Concernant maintenant les identifiants. WordPress utilise par défaut le nom d' »admin » pour le premier utilisateur et administrateur du site. Il est désormais possible de personnaliser cet identifiant pendant l’installation de votre site WordPress. Nous vous conseillons vivement de le faire, comme ça les hackers devront à la fois trouver votre identifiant et votre mot de passe pour pénétrer dans votre admin. Ce qui complique beaucoup les choses.

Si vous n’avez pas personnalisé votre nom d’utilisateur pendant la création de votre site WordPress, vous pouvez le faire en vous rendant sur votre base de données MySQL (à partir de PHPMyAdmin si vous utilisez ce gestionnaire de database). Une fois dans votre base de données, vous devez remplacer ‘newsusername’ par le nouvel identifiant que vous avez choisi :

Il est possible aussi de changer l’identifiant d’administrateur en utilisant le plugin « Admin renamer extended« . Avec ce plugin, vous pouvez changer votre identifiant directement dans l’admin WordPress.

Limiter les tentatives de login et changer l’adresse de la login page

Les hackers, pour forcer un mot de passe, utilisent la méthode dite de « force brute », en utilisant un script qui déroule toutes les combinaisons possibles jusqu’à la bonne. Un des meilleurs moyens de rendre cette technique inopérante consiste à limiter le nombre de tentatives possibles par adresse IP. Il existe plusieurs plugins qui permettent de le faire, comme Login LockDown ou Login Security Solution.

Les hackers savent par défaut, WordPress utilise l’adresse « www.mon-site.fr/wp-admin/ » ou bien « www.mon-site.fr/wp-login/ ». Pour leur compliquer la tâche, nous vous conseillons de changer l’adresse de votre page d’identification.  Il existe plusieurs plugins qui permettent de le faire, comme Rename wp-login.php, Hide Login+ ou Lockdown WP Admin. Si vous oubliez la nouvelle adresse de votre page d’identification, sachez que vous pouvez à tout moment retrouver l’adresse originale en désactivant le plugin en question.

Supprimer la mention de la version WordPress que vous utilisez

Par défaut, WordPress insère une balise meta dans le code de votre site qui indique la version de WordPress que vous utilisez :

Cette information est très utile pour les hackers, en particulier si vous utilisez une version ancienne de WordPress. Il est possible de supprimer la mention de la version WordPress grâce à un code snippet. Il vous suffit de rajouter le code suivant dans votre fichier functions.php :

Quelques règles de bons sens pour sécuriser votre site WordPress

Nous vous avons indiqué les principales bonnes pratiques pour optimiser la sécurité de votre site WordPress. Mais il y a aussi certaines règles de bon sens qui permettent de réduire considérablement les risques de piratage :

• Ne vous connectez pas à l’admin de votre site WordPress lorsque vous utilisez un réseau internet non-sécurisé ou dans un cyber-café.
• Vérifiez que votre ordinateur n’a pas de virus, en utilisant un logiciel anti-virus.
• Installez un firewall sur votre ordinateur pour renforcer la protection (Comodo par exemple).
• Pour uploader les fichiers sur votre site WordPress, utilisez un client FTP fiable (FileZilla par exemple).
• Lorsque vous entrez votre identifiant et votre mot de passe pour vous connecter dans un lieu public, vérifiez que personne ne regarde votre écran.
• Ne donnez jamais vos identifiant et mot de passe à des personnes dont vous n’avez pas confiance.
• Ne donnez pas le rôle d »Editeur » (et encore moins vos accès FTP) à une personne dont vous n’avez pas confiance.

Scannez les fichiers de votre site WordPress régulièrement

Beaucoup de personnes s’imaginent que lorsqu’un site est hacké, cela fait planter le site. Or c’est rarement le cas. Rappelez-vous que les hackers piratent un site la plupart du temps pour utiliser votre serveur à des fins de spam et non pas pour supprimer/voler des fichiers. Vous devez donc régulièrement faire une analyse de votre thème Wordpress pour vérifier qu’il n’a pas été victime d’une attaque. Pour scanner votre site WordPress, vous avez plusieurs plugins à votre disposition : Theme Authenticity Checker, Ultimate Security Checker, AntiVirus, WP Antivirus Site Protectio, Sucuri Sitecheck ou CodeGuard.

Nous vous conseillons aussi de jeter un oeil au plugin WP Change Tracker. Il permet de tenir un journal de tous les changements de votre WordPress, dans les thèmes ou dans vos plugins. Ce n’est pas tout à fait un malware scanner, mais si vous vous détectez un changement sur votre site WordPress vous pourrez rapidement en connaître l’origine en consultant le journal.

Les meilleurs plugins pour sécuriser votre site WordPress

Si vous n’êtes pas très à l’aise avec l’informatique, vous pouvez utiliser une solution tout-en-un qui gérera à votre place tous les aspects liés à la sécurisation de votre site WordPress. Il existe plusieurs plugins WordPress conçus pour cela. Les fonctionnalités de ces plugins sont variées, allant de l’ajout d’un firewall au scan quotidien de votre site. En clair, ce sont des logiciels qui permettent de réaliser les manips indiquées plus haut dans l’article d’un simple clic.

Acunetix WP Security

Acunetix WP Security est un plugin de sécurité qui détecte les failles dans les mots de passe, dans les fichiers de votre thème et dans votre interface d’administration. Le logiciel est doté d’une bonne richesse fonctionnelle. Il permet par exemple de supprimer une version WordPress, de désactiver le rapport d’erreur, de supprimer les notifications de mise à jour, etc. Acunetix est gratuit. Très populaire, il a à son actif plus de 1,3 million de téléchargements. C’est un plugin idéal pour scanner votre site WordPress et déterminer son niveau de sécurité.

BulletProof Security

BulletProof est un plugin qui permet de sécuriser votre .htaccess, de détecter les intrusions dans vos fichiers, de gérer la sécurité de vos logins (vous avez accès à la liste des tentatives de login), de scanner votre base de données et de recevoir des rapports quotidiens pour suivre au jour le jour l’état de votre site WordPress. BulletProof est un logiciel très souple qui peut faire l’objet de nombreuses configurations personnalisées, notamment au niveau de la gestion des notifications (hiérarchisées en 5 niveaux d’importance). Il est gratuit, a été téléchargé plus d’1,2 million de fois et a une note utilisateurs de 4.8/5. Le seul point négatif de BulletProof est sa prise en main assez difficile au départ. L’interface n’est pas très user-friendly.

Sucuri Security

Sucuri permet lui aussi de scanner votre site WordPress et de détecter les anomalies ou les intrusions (tentatives de phishing, redirections malicieuses, spams, etc.). Vous pouvez en un clic sécuriser vos fichiers importés, supprimer le numéro de votre version WordPress, désactiver les éditeurs de thème et de plugins ou encore configurer les accès. Sucuri est très rapide à prendre en main. Comme les deux précédents plugins, Sucuri est gratuit. Il est en revanche un peu moins populaire qu’eux, ce qui n’empêche pas Sucuri d’être un très bon plugin.

Wordfence Security

Finissons cette revue rapide par Wordfence Security. Au niveau des fonctionnalités, on retrouve celles des autres plugins évoqués. Avec Wordfence, vous pouvez utiliser un firewall pour bloquer les menaces de base, un outil pour contrôler la qualité de vos mots de passe, scanner votre site WordPress de A à Z. Wordfence analyse également l’utilisation de votre espace disque afin de vous aider à détecter les attaques DDoS. Le plugin est gratuit et bénéficie d’une très grande popularité. Il a été téléchargé plus de 2 millions de fois et affiche une note utilisateurs de 4.9. On peut difficilement faire mieux. A noter qu’il existe une version premium de Wordfence.

En résumé, tous ces plugins se valent plus ou moins. En termes de fonctionnalité, il n’y a pas de grandes différences. Nous vous conseillons d’installer 2 ou 3 de ces plugins et de les tester pour vous faire votre propre avis. A La Fabrique du Net, nous avons un petit faible pour Wordfence qui a légèrement plus de fonctionnalités et qui présente une interface très user-friendly.

Conclusion

Vous devez prendre la sécurité de votre site WordPress au sérieux. Les risques de piratage sont bien réels et peuvent être lourds – allant jusqu’à la perte de toutes vos données. Dans l’idéal, il faudrait que vous passiez une demi-heure tous les jours à vérifier l’état de votre site WordPress et à l’optimiser. Cela peut sembler beaucoup, mais c’est peu si l’on considère les milliers d’heures de travail perdues en cas de perte de données. Si malgré vos précautions votre site WordPress est victime d’une opération de hacking, vous devez faire trois choses successivement : changer votre mot de passe, faire un scan de votre site à l’aide de votre plugin de sécurité et enfin contacter votre hébergeur.