Jean ROCHARD
Je partage ma passion de Wordpress dans des articles techniques sur les plugins, thèmes, nouveautés geek et optimisation SEO "on-site".
Jean ROCHARD

@jean_rochard

Chez Terre Digitale, on mange du Wordpress dès le petit-dej'.
Petit guide pour mettre en place les Facebook Instant Articles à partir de vos posts Wordpress : https://t.co/lSbzdM6z9j - 7 mois ago

Je vais vous apprendre aujourd’hui les actions de sécurité de base (et donc indispensables !) à mener pour sécuriser votre site WordPress. Avec cet article, vous serez déjà plus tranquille face aux menaces que font peser les robots qui passent leur temps à tenter de déstabiliser les sites Internet.

1) Choisir son hébergement et surveiller les logs

Une part importante de la sécurité d’un site WordPress repose sur l’architecture technique du serveur l’hébergeant. La gestion des droits d’accès aux différents répertoires et fichiers est configurée souvent automatiquement par votre hébergeur avec peu de possibilités pour vous de les modifier si besoin. Les accès à ce serveur doivent être sécurisés (SFTP, SSH, PHPMyAdmin…) sous peine de prendre un risque avec votre contenu. De ce point de vue, j’apprécie les services proposés par gandi mais ceux par OVH sont également très bien (attention à l’installation en 1 clic de wordpress qui nécessitera tout de même des consolidations).

Pour monitorer ce qui se passe sur votre site, un accès aux logs est aussi indispensable ; assurez vous que votre hébergeur vous le propose dans son offre et de façon pratique. Il vous faudra en effet régulièrement jeter un oeil à ces logs (le fichier access.log du jour) pour voir si rien d’anormal ne se passe sur votre site. Pas facile à lire comme informations ; mais une succession ininterrompue de requêtes quasi identiques ou très rapprochées sera signe d’une attaque de type brute force ou ddos (déni de service).

Il existe enfin des hébergeurs spécialisés dans les sites WordPress  (comme wpserveur) qui répondront aux projets les plus spécifiques ou sensibles.

2) Sécuriser son mot de passe administrateur

Une action très importante est bien sûr d’avoir un mot de passe administrateur VRAIMENT sécurisé. Un tel mot de passe doit être unique, long (au moins 8 caractères), constitué de plusieurs types de caractères (lettres en majuscules et minuscules, chiffres, ponctuation…) et idéalement ne pas être « signifiant ». Si vous n’êtes pas inspiré, il existe des générateurs de mots de passe sur Internet.

Bien sûr, vous ne stockerez pas vos mots de passe dans un fichier texte sur votre ordinateur ni sur un papier, mais vous utiliserez un coffre fort numérique (gratuit) comme le logiciel Keepass.

Si le sujet vous intéresse, vous pouvez lire ce récent article de la CNIL sur le sujet qui recommande justement ce logiciel. Ils ont fait un bon tutoriel pour installer et utiliser Keepass :

Vous pouvez aussi utiliser des outils en ligne comme Lastpass.

3) Ne pas utiliser l’utilisateur admin

Une autre opération importante est d’utiliser un compte qui ne se nomme pas admin. C’est bien trop classique et facile pour les robots qui testent la page login.php avec des combinaisons multiples de codes d’accès !

Le nom de l’utilisateur administrateur est paramétré dès l’installation de wordpress où vous nommerez votre compte de façon complexe. Malheureusement, certains hébergeurs qui vous proposent la mise en place de WordPress « en 1 clic » vous imposent ce compte nommé admin…

Si vous êtes dans le cas où votre site existe déjà et que vous utilisez ce fameux compte admin, vous pouvez vous rendre dans wordpress dans le menu « utilisateurs » et créer un nouveau compte qui aura les droits maximum d’administration et bien sûr un nom long et « compliqué » :

admin_user

Ensuite, déconnectez vous de votre compte et loggez vous avec le nouveau. Rendez vous dans la liste des utilisateurs (menu utilisateurs -> Tous les utilisateurs) et supprimez le user admin en prenant bien soin de transférer la propriété de vos pages et articles vers le nouveau compte (« Attribuer tout le contenu à ») :

confirm_admin

4) Mettre à jour WordPress et les plugins

Une des meilleures protections et sécurisation est bien sûr de garder votre installation WordPress à jour ainsi que les extensions. Depuis la version 3.7, les mises à jour mineures de wordpress sont automatiques (c’est aussi désactivable dans le fichier wp-config.php). Cela a simplifié la gestion de la sécurité des sites mais a également entraîné l’apparition de conflits potentiels avec les thèmes qui eux ne sont pas mis à jour en parallèle ! Combien de sites se sont retrouvés ko ou avec des bugs suite à une mise à jour ? Beaucoup !

Le choix d’un thème wordpress pérenne est donc devenu fondamental pour garantir l’évolutivité de votre site WordPress dans un contexte de sécurité maximale. Le développement d’un thème enfant pour faciliter la mise à jour de ce thème fait également partie des bonnes pratiques de maintenance.

Enfin, ne pas oublier les mises à jour des extensions, qui pour la plupart sont manuelles. Il faut aller dans le menu « Extensions -> Extensions installées » et sélectionner les plugins qui demandent un update (signalés en rouge) ; puis lancer la mise à jour.

Dernier conseil : effectuez toujours un backup de votre site (base +fichiers) avant de vous lancer dans des mises à jour. C’est justement le sujet d’un prochain paragraphe.

5) Installer des plugins de sécurité

Il existe des plugins qui vont monitorer votre site WordPress et vous proposer une checklist d’actions à mener pour le sécuriser ; par ordre de priorité. Vous pouvez par exemple utiliser iThemes Security (version gratuite et payante).

Il en existe de nombreux autres qui vont vous sécuriser contre des attaques précises comme la classique brut force attack ou la Ddos (déni de service). Si vous êtes confrontés à ces attaques, il faudra y répondre de façon ciblée.

6) Avoir toujours un backup récent sous la main

Comme vous l’avez compris, il peut se passer beaucoup de choses sur votre site qui pourrait le détraquer : cela peut être malveillant comme des attaques de robots mais aussi à l’origine bienveillant avec une mise à jour de wordpress  ou de plugin qui finalement s’avère catastrophique pour votre site…

Globalement, installez donc un plugin de backup (je vous conseille BackWPup mais il en existe d’autres) et paramétrez le pour faire une sauvegarde régulière de votre site.

Votre hébergeur peut également vous proposer un backup automatisé de vos fichiers (et éventuellement de votre base de données). Ce n’est jamais du luxe de doubler vos sauvegardes de toute façon. Pour boucler la boucle, garantissez vous de stocker vos backups dans des endroits sécurisés et dupliqués (stockage gratuit de type dropbox ou google drive par exemple).

Conclusion

La sécurisation d’un site WordPress peut devenir vote chronophage et il faut savoir mettre en place les outils adaptés aux menaces mais de façon raisonnable et en fonction de l’importance de votre site. Le site d’un électricien à Nantes ne subira pas en effet les mêmes tentatives d’intrusion que le site d’amazon !

Avant d’en arriver à un blindage intégral, suivre ces conseils de base vous protègeront déjà des attaques les plus basiques et vous mettront facilement à l’abri d’une disparition brutale de votre site.