La sécurité WordPress fait souvent partie des préoccupations négligées des nouveaux utilisateurs de WordPress. Le « Hacking » est pour ces derniers quelque chose qu’ils lisent, mais qu’ils ne conçoivent pas possible de leur arriver. Les injections SQL, le XSS, l’élévation des privilèges et des vulnérabilités de sécurité critiques sont donc juste des mots à la mode dans les nouvelles technologies.
Les choses doivent pourtant être différentes. La sécurité WordPress est fondamentale: Chaque site WordPress doit être pleinement et correctement protégé.
Il est donc indispensable en tant que titulaire d’un site WordPress de savoir ce qu’il faut faire pour protéger votre blog d’attaques.
Je viens de débuter, je pense que mon blog sera épargné
Si vous pensez-ainsi, vous rencontrerez de sévères difficultés avant même d’avoir gagné quoique ce soit avec votre blog. Les « hackers » ne cherchent pas manuellement votre blog, tout comme ils n’ont pas besoin de vous porter préjudice directement.
Généralement, les « hackers » utilisent des scripts automatisées qui recherche des blogs. Si un lien vers votre site apparaît dans un forum, un autre blog ou même dans un réseau social, ce lien pourra être exploité pour arriver vers votre blog.
Le but généralement visé par les hackers, c’est de pouvoir utiliser votre hébergement pour faire autre chose. Vous avez donc intérêt à ne pas négliger cet aspect.
La « TODO list » de tout blogueur en matière de sécurité
Vous savez déjà que votre blog ne sera pas épargné. Que pouvez-vous donc faire ?
Nous vous avons préparé une liste de recommandations (il s’agit aussi de rappel pour tous ceux qui nous suivent ici sur BlogPasCher), que vous devez faire pour mieux protéger votre blog WordPress.
1 – Vous devez toujours avoir une version à jour de WordPress
Maintes et maintes fois, vous lirez des commentaires sur des blogueurs qui refusent de mettre à jour leur version de WordPress, parce qu’ils ont peur que cette mise à jour pose un problème de compatibilité.
En 2016, il est regrettable de voir qu’il existe encore ce genre de mentalité.
Si vous deviez choisir entre un site piraté et un plugin qui ne fonctionne pas momentanément, que choisirez-vous ?
Les plugins qui sont incompatibles avec les dernières versions de WordPress peuvent le rester pendant un cours laps de temps, pourtant un site piraté, d’autre part, est un problème beaucoup plus important.
Chaque mise à jour de WordPress corrige des problèmes de sécurité récemment découverts. Si votre version de WordPress n’est pas mise à jour, votre site sera vulnérable à failles.
Découvrez comment gérer les mises à jour de WordPress
2 – Ne modifiez pas le code source de WordPress
A partir du moment où vous ou un développeur WordPress modifie les fichiers système de WordPress, vous ne pourrez plus facilement et automatiquement mettre à jour WordPress vers sa dernière version, puisque vous perdrez les modifications apportées à votre site.
Cela laissera votre site web vulnérable pour les problèmes de sécurité découverts sur la version de WordPress que vous utilisez. Il vous faudra donc vous-même « patcher » les différentes vulnérabilités, et je doute que ce soir une tâche facile. Un diction chez les développeurs de WordPress dit : Ne modifiez jamais, peu importe la raison, le code source de WordPress. Lorsque vous le faite, un petit chaton sur terre décède.
Cela n’a vraiment pas de sens, mais faut entendre par là que WordPress est tellement flexible qu’il permet au plugin de modifier son comportement sans toucher au code source.
3 – Assurez-vous de toujours avoir des plugins à jour
Comme avec votre version de WordPress, les vulnérabilités sont souvent trouvées dans des plugins WordPress. Il y a eu beaucoup de cas de piratage de blog WordPress liée à la vulnérabilité des plugins.
La plupart des logiciels est sujette à ces questions à un moment de son existence. La manière avec laquelle les vulnérabilités sont traitées vous montre le sérieux avec lequel certaines sociétés gèrent leurs affaires.
En principe, dès qu’un problème est découvert les développeurs du plugin vont rapidement corriger cela et proposer une mise à jour.
Découvrez comment mettre des plugins automatiquement à jour
4 – Supprimez les plugins que vous n’utilisez pas
Plus le nombre de plugins que vous installez augmente, plus votre blog s’expose à des vulnérabilités diverses.
Parfois, nous installons des plugins pour tester leur fonctionnalité, et oublions de les retirer. Si une vulnérabilité est découverte sur ces plugins, votre site web sera automatiquement vulnérable, même si le plugin n’est pas vraiment utilisé.
Si vous n’utilisez donc pas un plugin, supprimez-le. Aussi assurez-vous de toujours garder en tête que les tests de plugin, vous pouvez le faire en local.
Comment désinstaller un plugin WordPress
5 – Assurez-vous que votre thème est régulièrement mis à jour
La même logique qui s’applique aux mises à jour de WordPress et de ses plugins, s’applique à ses thèmes. La sécurisation de WordPress signifie que tous les thèmes doivent être mis à jour vers leurs dernières versions. Sinon, toutes les failles de sécurité qui ont été fixés resteront un problème pour vous.
Maintenant vous pouvez probablement penser que tous les changements que vous avez effectués sur le thème ne seront plus disponibles après la mise à jour. Par principe, les modifications sur un thème doit nécessairement se faire par un thème enfant, plutôt que directement sur le thème parent. Cela vous permettra d’obtenir les derniers correctifs et mises à jour de sécurité sans supprimer vos modifications.
6 – Installez des plugins et thèmes d’une source fiable
Parfois, quand les temps sont durs, nous pourrions être tentés de «contourner» le paiement d’un bon thème ou plugin, pour l’obtenir de façon gratuite d’une source peu recommandable.
En fait, il n’y a pas de mal de source à indexer ici. La piraterie, les torrents et d’autres sources qui proposent gratuitement des logiciels payants, sont quelque chose que vous devez absolument éviter comme de la peste.
Ce que nous ne réalisons pas généralement, cependant, c’est que beaucoup de ces thèmes piratés téléchargés gratuitement ont été méchamment corrompus. La plupart du temps une « back-door » a été installé dans le script. Cela permet au site où le thème ou plugin est utilisé d’être contrôlé à distance.
Vous devez donc vous assurer de télécharger autant que possible des thèmes gratuits sur WordPress.org, ou des thèmes premium sur des sources comme « Themeforest ».
7 – Utilisez des mots de passe forts
Beaucoup de titulaire de blog sont négligent à ce niveau. Si votre mot de passe est facile à deviner, alors vous aurez de sérieux problèmes. Les mots de passe les plus utilisés sont les suivants :
- 123456
- Admin
- 0000
- Password
- Secret
C’est horrible de constater cela. Vous ne pouvez pas envisager de travailler sérieusement sur votre blog, si votre mot de passe ne l’est pas.
La protection d’un blog, c’est aussi avoir un mot de passe fiable.
8 – Limitez les tentatives de connexion
Nous avons déjà discuté des cas d’attaque par force brute des mots de passe et le fait que l’utilisation de robots n’est pas chère et est très accessible pour vos pirates. Pour cette raison, vous devez mettre en place des mécanismes pour bloquer toute tentative d’attaque par force brute.
Le plugin « Limit Login » fait exactement cela. S’il détecte un certain nombre de tentatives de connexion incorrectes, il empêche à cet utilisateur de se connecter à nouveau. Ceci, bien sûr, rend les tentatives d’attaques par force brute difficile à mettre sur pied et protège mieux votre blog.
9 – Faites des sauvegardes
J’ai énuméré une liste des choses que vous devriez faire pour sécuriser WordPress et je comprends que cela peut être quelque peu difficile à mettre en pratique. Je sais aussi que, vous pourrez oublier de mettre sur pied.
Mais il y a une tâche que vous ne devez pas sauter : faire des sauvegardes de votre blog.
La seule chose que vous ne devez jamais oublier de faire, c’est d’avoir un plan de sauvegarde WordPress. Non seulement en cas d’attaques, mais même en cas d’accidents, des défaillances techniques et autres mésaventures, avoir une sauvegarde vous garantit que vous pourrez facilement vous remettre sur pied.
Snapshot Pro est comme une machine à remonter le temps pour votre site web, vous permettant de sauvegarder et de restaurer l’ensemble de votre site et même programmer des sauvegardes automatiques régulières.
10 – Activez Google Search Console
Bien qu’il ne s’agit pas là d’une recommandation stricte par rapport à WordPress, c’est tout de même quelque chose que vous devez envisager comme supplément aux différentes recommandations de cette liste.
Google et d’autres moteurs de recherche veulent toujours s’assurer que votre site web soit exempt de toute menace pour les utilisateurs des moteurs de recherche. C’est pour cette raison que Google vous notifiera s’il remarque quelque chose d’anormale sur votre site Web.
Cette pratique vous permettra notamment de bien restaurer un site web qui a été « hacké », surtout que Google masque de ses résultats tout site qui représente une menace pour ces utilisateurs.
C’est tout ?
Non, la liste n’est pas exhaustive. Il y a plusieurs choses que vous pouvez faire pour protéger au mieux votre blog. Mais ceci constitue la première étape.
