WordPress, avec sa part de marché de plus de 40%, est la plateforme de création de sites web la plus populaire au monde. Cette popularité en fait également une cible de choix pour les pirates informatiques. En 2024, les cyberattaques contre les sites WordPress sont en constante augmentation, avec des techniques de plus en plus sophistiquées.
Que vous soyez un débutant ou un utilisateur confirmé, la sécurité de votre site WordPress est d’une importance capitale. Un site web non sécurisé peut être victime de piratage, de défacement, de vol de données, ou même de suppression pure et simple.
Dans cet article, nous vous proposons des astuces pratiques et applicables pour renforcer la sécurité de votre site WordPress en 2024. Nous aborderons les bases de la sécurité, ainsi que des mesures avancées pour vous protéger contre les dernières menaces.
Les fondamentaux de la sécurité
Choisir un hébergeur web fiable et sécurisé
Il est primordial d’investir dans un hébergeur qui accorde une importance capitale à la sécurité. Il serait contre-productif de privilégier les coûts d’hébergement les plus bas au détriment de la sécurité. Il est donc important d’examiner les antécédents de l’hébergeur en matière de sécurité.
La même logique s’applique à l’hébergement mutualisé. Bien que cette option soit moins onéreuse, cela signifie également que vous partagez l’espace du serveur avec d’autres clients. Malheureusement, il suffit qu’un site web soit infecté pour que les logiciels malveillants se propagent à tous les sites du réseau.
C’est pourquoi il est judicieux de considérer un passage vers un hébergement en nuage, VPS ou dédié dès que cela est possible.
De plus, il est essentiel de rechercher un hébergeur qui propose les services suivants :
- Mise à jour régulière du logiciel serveur
Beaucoup d’hébergeurs continuent d’utiliser PHP5, qui n’est plus pris en charge depuis longtemps. À l’heure actuelle, les serveurs devraient au moins utiliser PHP 7.0+. Il en va de même pour d’autres logiciels tels que cPanel, MySQL ou d’autres programmes de base de données, ainsi que pour le système d’exploitation.
- Surveillance et élimination des logiciels malveillants
Optez pour un hébergeur qui s’engage activement dans la détection et la prévention des infections par des logiciels malveillants, et qui propose éventuellement une analyse et une suppression des logiciels malveillants en cas d’intrusion.
Tous les hébergeurs n’ont pas de politique de suppression des logiciels malveillants d’un site infecté et, parmi ceux qui en ont une, certaines facturent un supplément pour ce service.
- Pare-feu et autres mesures de sécurité
Les hébergeurs peuvent renforcer la sécurité de leurs services de différentes manières. Cela peut inclure la mise en place d’un pare-feu ou d’autres mesures de sécurité.
Recommandations d’hébergeurs web pour WordPress
- Hostinger
Hostinger est un hébergeur web de renommée internationale. Il compte plus de 29 millions d’utilisateurs à travers le monde. Au niveau de la sécurité, voici ce qu’il propose :
- Certificats SSL gratuits
- Analyseur de logiciels malveillants
- Protection de la vie privée
- Blocage d’IP et de pays
- Possibilités d’isoler chacun des sites hébergés
- o2switch
O2Switch est un hébergeur web français fondé en 2003. Au niveau de la sécurité, voici ce qu’il propose :
- Leurs propres datacenters en France
- Serveurs surveillés continuellement par une équipe d’experts
- Protection contre les attaques DDoS
- Protection contre les attaques courantes et malveillantes
- Possibilités d’isoler chacun des sites hébergés
- Double authentification
Mettre en place un certificat SSL
Le certificat SSL (Secure Sockets Layer) permet de chiffrer les données échangées entre l’utilisateur et votre site web.
- Sans ce certificat, les utilisateurs verront une notification rouge «Non sécurisée » dans la barre d’adresse lorsqu’ils visiteront votre site.
- Les navigateurs bloquent de plus en plus l’accès aux sites web sans SSL, ce qui en fait un élément indispensable pour tout site web WordPress.
Comment obtenir un certificat SSL ?
La plupart des hébergeurs vous fourniront un certificat gratuit qui peut être activé dans votre tableau de bord d’hébergement, car le SSL est devenu la norme.
Cependant, si l’hébergeur ne le fournit pas, voici les étapes à suivre :
1. Sélectionner un fournisseur de certificats SSL
Un certificat SSL peut être obtenu auprès de divers fournisseurs, certains payants et d’autres proposant des certificats gratuits. Parmi les fournisseurs courants, on trouve Let’s Encrypt, GoDaddy, Namecheap, et d’autres.
2. Choisir le type de certificat SSL
Différents types de certificats SSL sont disponibles, tels que les certificats à domaine unique, les certificats multi-domaines (SAN) et les certificats Wildcard. Le choix dépend des besoins spécifiques.
3. Acquérir un certificat SSL
Si l’on opte pour un fournisseur payant, il faut suivre le processus d’achat du certificat SSL. Pour les certificats gratuits comme ceux de Let’s Encrypt, l’obtention peut se faire à l’aide d’outils spécifiques ou directement via l’hébergeur.
4. Installer le certificat SSL
La procédure d’installation peut varier selon l’hébergeur. De nombreux hébergeurs offrent une option pour installer un certificat SSL directement depuis leur tableau de bord. Dans le cas contraire, une installation manuelle via un client Let’s Encrypt ou autre méthode fournie par le fournisseur pourrait être nécessaire.
5. Configurer WordPress pour utiliser HTTPS
Après l’installation du certificat SSL, configurer WordPress pour utiliser le protocole HTTPS. Accéder au tableau de bord WordPress, puis aux paramètres généraux, en veillant à ce que l’URL du site commence par « https:// » plutôt que « http:// ».
6. Actualiser les liens internes
Une mise à jour des liens internes dans les articles, pages et médias peut être nécessaire, afin qu’ils utilisent le protocole HTTPS au lieu de HTTP. Cela garantit la sécurisation de l’ensemble du contenu du site.
7. Configurer les redirections
Pour configurer des redirections pour acheminer automatiquement le trafic HTTP vers HTTPS, il faut cliquer sur HTTPS Redirection dans les réglages et activer les redirections automatiques.
Faites des sauvegardes de votre site web
Avant de commencer à modifier votre site, de mettre à jour WordPress ou d’installer un plugin, il est essentiel de mettre en places des sauvegardes. Ainsi, peu importe le scénario le plus défavorable, qu’il s’agisse d’une modification accidentelle du code, d’un problème avec WordPress ou d’une base de données corrompues, il y a une solution.
Les sauvegardes manuelles, qui consistent à copier les fichiers et les transférer manuellement sur le disque dur ou dans le cloud, sont gratuites mais prennent beaucoup de temps. Bien sûr, c’est possible de les effectuer aussi souvent que souhaiter. Plus souvent ces sauvegardes sont effectuées, plus le site est sécurisé en cas de problème.
Vérifiez si votre hébergeur propose des sauvegardes automatisées hebdomadaires, mensuelles ou quotidiennes. Ce service est généralement payant, mais parfois gratuit. Dans ce cas, il peut être judicieux d’aussi conserver quelques sauvegardes manuelles au cas où.
Plugins de sauvegardes
- BackWPup
BackWPup est l’un des plugins de sauvegarde le plus populaires de WordPress. Il comptabilise 10 millions de téléchargements et 600000 installations actives. Voici ces fonctionnalités :
- Planification des sauvegardes
- Téléchargement d’une sauvegarde de la base de données en un clic
- Export de la base de données, des fichiers, du fichier d’export XML de WordPress et de la liste des plugins installés
- Traduction en français disponible
- Compatible avec WP-CLI et WordPress Multisite
- Tout est chiffré par défaut
- Sauvegardes exportables sur FTP, Dropbox, Amazon S3, Microsoft Azure, Rackspace Cloud et SugarSync.
- Duplicator
Duplicator comptabilise plus d’un million d’installations actives et 20 millions de téléchargements. Ses fonctionnalités sont :
- Sélection des tables, des répertoires et des fichiers à exporter.
- Entièrement traduit en français
Assurez la sécurité de vos plugins et de votre thème
Si vous avez choisi un bon hébergeur et que vos sauvegardes sont en place, vous disposez déjà d’une infrastructure de sécurité assez solide. Cependant, il y a encore quelques mesures à prendre pour garantir la sécurité complète de votre site.
- Un plugin obsolète ou un thème non sécurisé représente une énorme vulnérabilité pour votre site web. Mettre à jour ces éléments permet de combler les éventuelles failles et d’éviter toute intrusion.
1. La mise à jour des composants de votre site est aussi simple que de vous rendre dans le tableau de bord d’administration de WordPress et de vérifier les notifications de mise à jour dans la section Tableau de bord > Mises à jour.
2. Cochez les cases des thèmes ou des plugins que vous souhaitez mettre à jour, puis cliquez sur le bouton en haut ou en bas pour lancer la mise à jour. Si vous avez l’habitude de négliger ces alertes, il est grand temps de changer vos habitudes.
Les plugins et les thèmes peuvent également être mis à jour via les onglets « Plugins » et « Thèmes ». De plus, tous les thèmes tiers premium ne proposent pas de mises à jour automatiques, il est donc recommandé de consulter régulièrement leur site web.
- Au-delà de la mise à jour de vos plugins et de votre thème, il est primordial de maintenir WordPress à jour.
En effet, 39 % des sites WordPress piratés étaient obsolètes. Il se peut que vous ayez à repousser une mise à jour si elle risque d’interférer avec un plugin que vous utilisez, mais parfois, il est préférable de sacrifier un plugin pour sauver votre site. Laisser WordPress non mis à jour pendant des mois est sans doute la pire chose que vous puissiez faire.
Installer des plugins et des thèmes à partir de sources fiables
- Il est crucial d’installer les plugins et les thèmes à partir de sources fiables pour éviter les problèmes potentiels.
Beaucoup d’utilisateurs de WordPress commettent l’erreur de se procurer des plugins et des thèmes auprès de fournisseurs peu fiables, ce qui peut entraîner la corruption de votre site ou l’injection de logiciels malveillants.
Il est important de noter que les sites web et les développeurs tiers ne sont pas approuvés par WordPress, ce qui signifie que vous ne pouvez pas être sûr de la qualité et de la sécurité des produits qu’ils proposent. Il est donc préférable d’éviter de télécharger quoi que ce soit à partir de sites web inconnus.
- Si vous trouvez un plugin ou un thème qui a reçu de nombreuses critiques positives et qui est populaire, vous pouvez l’installer en toute sécurité.
Il faut garder à l’esprit que même les plugins et les thèmes présents dans le répertoire officiel ne sont pas tous sûrs. Avant de télécharger un plugin, vérifiez les statistiques affichées dans la barre latérale de la page pour vous assurer qu’il a été régulièrement mis à jour, qu’il a été installé par de nombreux utilisateurs et qu’il a de bonnes évaluations.
- Il est essentiel d’éviter les thèmes et les plugins WordPress « nulled ».
Ces logiciels sont des versions piratées de thèmes et plugins premium qui sont distribuées gratuitement et sans autorisation. Non seulement cela est illégal, mais cela peut également entraîner des problèmes de sécurité et de stabilité pour votre site.
Certains distributeurs nulled intègrent du code qui génère des publicités excessives sur votre site, diffusent des logiciels malveillants ou corrompent carrément votre base de données.
De plus, vous ne bénéficierez d’aucune mise à jour, ce qui vous rendra vulnérable aux attaques lorsque le logiciel deviendra obsolète.
Désactivez la modification des fichiers
WordPress est livré avec un ensemble d’éditeurs de thèmes et de plugins facilement accessibles.
Il est possible d’accéder directement au code du site sous Apparence > Éditeur de fichiers de thèmes et Extensions > Éditeur de fichiers des extensions.
Bien que ces outils soient utiles pour certains, de nombreux utilisateurs de WordPress ne sont pas des programmeurs et n’auront jamais besoin de les utiliser. Manipuler ce code sans savoir ce que l’on fait est dangereux.
Si c’est le cas, il est préférable de désactiver la modification des fichiers, car les pirates peuvent utiliser l’éditeur de fichiers pour exécuter rapidement du code malveillant ou supprimer des parties entières du site web. En désactivant cette fonctionnalité, ils sont ralentis.
- Il est également possible de désactiver les éditeurs de thèmes et de plugins en utilisant une ligne de code dans wp-config.php.
- Si vous avez besoin de modifier votre site ou vos plugins, il vous suffit de les réactiver temporairement.
- Vous pouvez également les modifier via un client FTP.
La désactivation de la modification des fichiers n’empêchera pas nécessairement les attaquants de causer des dommages, mais cela peut dérouter les pirates moins expérimentés et les arrêter dans leur élan. Cela leur rendra la tâche un peu plus difficile et donnera plus de temps au détenteur du site pour se rendre compte qu’il y a un problème.
Renforcez votre processus de connexion
Lorsque quelqu’un découvre le mot de passe sans avoir recours à l’exploitation du code du site, il s’agit très probablement d’une attaque par force brute. Cela implique d’essayer de manière forcée différentes combinaisons de lettres et de chiffres jusqu’à ce qu’il trouve le bon mot de passe.
Parfois, un attaquant potentiel essaiera des combinaisons courantes, avant de passer à l’utilisation de programmes exécutant un processus automatisé qui essaie plusieurs combinaisons de mots de passe aléatoires par seconde.
L’installation par défaut de WordPress repose sur un chemin de connexion similaire à chaque fois. Ce qui en fait une cible privilégiée et facile pour les pirates qui essaient des mots de passe courants ou faciles à deviner.
Créez une combinaison de connexion solide
La première étape, essentielle, implique la sélection judicieuse d’un nom d’utilisateur et d’un mot de passe. Bien que la dissimulation de la page de connexion sous une autre URL soit envisageable, cela ne servirait à rien si le choix du nom d’utilisateur, tel que « admin », et du mot de passe demeure ordinaire, car cela n’apporterait aucune protection significative une fois que les pirates l’auraient découvert.
Voici une liste de noms d’utilisateur à éviter absolument.
- Admin
Il s’agit du nom d’utilisateur par défaut de WordPress et c’est donc celui qui sera certainement utilisé lors d’une attaque par force brute.
- Votre vrai nom ou votre surnom
Il s’agit d’une information publique et il est aussi facile à deviner que « admin ». De plus, il peut être judicieux de créer un profil distinct sans droit d’administrateur pour publier du contenu. De cette manière, le nom d’utilisateur de la connexion principale n’apparaît pas sur le site web.
- Toute information personnelle
Ceci comprend les dates d’anniversaire, etc. N’utilisez un détail personnel que s’il s’agit d’une information que personne ne pourra jamais connaître.
- Le titre de votre site, ou quelque chose qui y est lié
Vous devez également choisir un mot de passe sécurisé. Le principe est le même : évitez les informations personnelles, les choix évidents comme « mot de passe », ou tout ce qui est clairement lié à votre site web.
Un bon mot de passe comporte :
- plus de 10 caractères
- utilise une variété de caractères
- évite les mots et phrases courants
Les meilleurs mots de passe sont une longue série de lettres, de chiffres et de symboles aléatoires que personne ne peut deviner. Des services, tels que Secure Password Generator, peuvent en générer.
Sécurisez votre page de connexion
Par défaut, n’importe qui peut accéder à votre site web en se rendant sur NomDuSite.com/wp-admin. Vous pouvez les empêcher d’accéder en modifiant complètement l’URL.
- WPS Hide Login
WPS Hide Login est une extension qui permet de personnaliser l’URL selon les préférences de l’utilisateur. Il suffit de se rendre dans les paramètres du plugin pour effectuer la modification.
Il est recommandé d’utiliser une URL de connexion qui ne soit pas évidente. Cela peut décourager un peu les tentatives d’accès si l’utilisateur la modifie en quelque chose comme /login ou /new-login, mais si la détermination persiste, la découverte peut se faire rapidement. Il est donc préférable de choisir quelque chose de très difficile à deviner.
- Plugin qui limite les tentatives de connexion
L’installation d’un plugin pour limiter les tentatives de connexion est conseillée. N’importe qui peut saturer le serveur avec des centaines de requêtes jusqu’à ce qu’il trouve le bon mot de passe. Un plugin limitant les tentatives de connexion ne leur accorde que quelques chances avant de les bloquer. Il peut également détecter et rediriger les robots hors de la page de connexion.
- L’activation d’un CAPTCHA est également possible pour ralentir davantage les tentatives d’accès.
- Limiter le débit de Cloudfare
Ce système détecte automatiquement les attaques par force brute ainsi que les attaques DDoS et bloque l’adresse IP incriminée.
- Authentification forte. À l’aide d’une extension, il est possible de mettre en place une authentification forte. En plus de solliciter un nom d’utilisateur et un mot de passe pour accéder, elle requiert également un troisième facteur d’authentification. La méthode la plus courante est la vérification par SMS.