Comment sécuriser votre site avec WordPress ?

Dans les bruits de couloirs à propos de WordPress, on entend souvent la phrase : WordPress, n’est pas sécurisé par ci ou WordPress contient des failles de sécurité par là.

Hélas, c’est vrai… la première vulnérabilité de WordPress c’est l’humain qui l’utilise.

Dans cet article, je vous partage tous les conseils pour vous aider à prévenir les dégâts sur votre site et vous protéger des attaques venant de l’extérieur, les fameux pirates informatique.

Comment améliorer la sécurité de WordPress ?

Bien que le logiciel de base WordPress soit très sécurisé et qu’il soit régulièrement passer en revue par des centaines de développeurs, il existe bien d’autres moyens pour renforcer la sécurité de votre site Web.

Un des fondamentaux de la sécurité informatique est de ne jamais faire confiance à quelqu’un. Sans rentrer dans une paranoïa totale, vous pouvez respecter les bonnes pratiques liées à WordPress que je vous présente ci-dessous pour réduire tout ces risques.

Les bases de la sécurité avec WordPress

Bonne pratiques de sécurité avec WordPress

Pourquoi la sécurité de votre site WordPress est importante ?

Un site WordPress piraté peut nuire à la réputation de votre entreprise. Les pirates peuvent voler des informations sur les utilisateurs, installer des logiciels malveillants…

Pire encore, vous pouvez vous retrouver à payer des ransomwares à des hackers simplement pour pouvoir retrouver les accès à votre site Internet.

Pour l’anecdote, certains navigateurs affichent désormais un message d’alerte aux internautes qu’ils arrivent sur une site avec un programme malveillant ou une tentative de phishing.

Il en va de soi, quoi qu’il arrive, vous devez accorder une attention particulière à la sécurité de votre site WordPress.

Mettre à jour WordPress

S’il existe un système de mises à jour au sein de WordPress, c’est bien entendu pour s’en servir.

Les contributeurs de WordPress corrige régulièrement des failles de sécurité dans le core. Il est donc important dès qu’une nouvelle version de WordPress est disponible de mettre à jour votre site internet.

Mettre en place un environnement de pré-production

Dans un premier temps, je vous conseille de mettre en place un environnement de pré-production pour tester toutes vos mises à jour. Cet espace de pré-prod est caché, c’est à dire que personne n’est censé y avoir accès sauf vous et votre développeur.

Vous avez alors le loisir d’installer un plugin que vous aimeriez tester ou travailler sur l’apparence de votre site avant de reporter ces changements en ligne.

Une fois satisfait, appliquez vos modifications sur votre site en production c’est à dire celui que les internautes consultent.

Vérifier les failles de sécurité connues

Via le site https://www.exploit-db.com/ vous pouvez filtrer les vulnérabilités connues de certains thèmes et certaines extensions.

Rendez-vous dans la barre de recherche, tapez « WordPress » .

Assurez-vous que les plugins installés dans votre WordPress et votre thème ne soient pas dans les résultats de recherche.

Au quel cas, notez pour chacun la version et vérifiez que l’auteur.e de l’extension ou du thème à bel et bien corrigé la faille de sécurité depuis.

Sauvegarder votre site WordPress

Avant toute chose, il est important de sauver les fichiers de WordPress et sa base de données régulièrement.

{ la suite bientôt ^^ }

Comment mettre en place HTTPS ?

Aujourd’hui, la plupart des hébergeurs propose des certificats SSL gratuit grâce à Let’s Encrypt.

Grâce au HTTPS vous chiffrez ce qui transitent entre le navigateur de votre internaute et le serveur qui fait tourner votre site. Vous réduisez donc le risque de fuite.

Quand bien même elle serait interceptée, cette donnée serait chiffrée donc inutilisable en l’état.

Une fois la confirmation de votre hébergeur reçue.

Aller dans l’interface d’administration de WordPress dans Réglages > Général. 

Dans les champs « Adresse web de WordPress (URL) » et « Adresse web du site (URL) » vérifiez la présence du https:// avant le nom de votre site internet.

Réglages WordPress avec HTTPS

Modifier les erreurs de connexion

Par défaut, WordPress donne le message d’erreur suivants si jamais l’identifiant avec lequel on essaie de se connecter est erroné :

ERREUR : Nom d'utilisateur invalide
ERREUR : Nom d’utilisateur invalide

Très bien, en soi, à part vous dire vous êtes pas très doué avec un clavier ou que vous vous êtes trompé, rien ne vous choque… Pour un hacker il y a plus d’information dans ce message notamment que cet identifiant n’existe pas.

Autrement dit, que s’il avait testé un autre nom d’utilisateur et qu’il existait dans votre WordPress, il n’aurait pas eu ce message d’erreur sans doute.

Et notre ami le pirate n’a pas tord…

Si jamais il trouve un identifiant, dans mon exemple ce sera admin, l’erreur retournée par WordPress est :

ERREUR : Le mot de passe que vous avez saisi pour ce nom d'utilisateur admin est incorrect
ERREUR : Le mot de passe que vous avez saisi pour ce nom d’utilisateur admin est incorrect

Wow !

Maintenant, la personne qui essaie de se connecter à mon site de manière frauduleuse n’a « plus qu’à » trouver mon mot de passe… c’est qu’une question de temps.

Changer le message d’erreur renvoyé par WordPress

Pour remédier à ce soucis, et pour complexifier la tâche aux pirates je vous propose de divulguer le moins d’informations possibles.

Lorsqu’une personne se trompe dans ses identifiants, nous allons demander à WordPress de rester flou quant à ce qui à provoquer cette erreur.

Dans les fichiers de votre site internet, aller dans wp-content/themes/nomdutheme.

Attention nomdutheme correspond au thème que vous avez activé dans l’interface d’administration de WordPress dans Apparence > Thèmes.

Ouvrir le fichier functions.php dans un éditeur de texte (par exemple avec Sublime Text), puis copier/coller le code suivant tout en bas du fichier :

function dgkb_wordpress_errors(){
  return 'Une erreur est survenue !';
}
add_filter( 'login_errors', 'dgkb_wordpress_errors' );

Sauvegarder votre fichier functions.php.

Tentez de vous connecter à l’administration de votre site avec un nom d’utilisateur ou un mot de passe incorrect. Vous devriez avoir apparaitre le message « Une erreur est survenue ! » quelque soit l’erreur.

Ainsi, vous complexifier la tâche au hacker que tente de se connecter à votre WordPress.

Mettre en place un anti-bruteforce

Les pirates informatique utilisent des dictionnaires de mots de passe les plus utilisés pour tester des identifiants en grande quantité.

Limiter le nombre de connexion

Je vous conseille de paramétrer jusqu’à 4-5 tentatives de connexion toutes les 15-20 minutes. Il sera toujours possible de vous tromper quelques fois, à l’inverse vous bloquerez la plupart des robots avec ces réglages.

En cas de perte de votre mot de passe, je vous conseille de suivre le lien mot de passe oublié.

[two_columns_one]

[button link= »https://wordpress.org/plugins/wps-limit-login/ » size= »large » color= »green »]Télécharger WPS Limit Login[/button]

[/two_columns_one]

[two_columns_one_last]

[button link= »https://wordpress.org/plugins/loginizer/ » size= »large » color= »green »]Télécharger Loginizer[/button]

[/two_columns_one_last]

[divider]

Déplacer la page de connexion de WordPress

Modifier le préfixe « _wp » des tables de votre base de données

Cacher les informations liées à WordPress

Optimiser le fichier .htaccess

Mettre en place une double authentification

Choisir les plugins « tout-en-un »

Unfortunately no posts were found