Avec plus de 70% de sites non protégés sous WordPress, écrire un guide sur comment sécuriser son installation WordPress s’impose. En effet, WordPress souffre de ce que j’appellerais le syndrome Windows. Le fait d’être le CMS le plus utilisé en fait une cible de prédilection pour les hackers et autres Scripts Kiddies. Un peu comme Windows est la cible préféré de ce groupe d’individu car il est le système d’exploitation le plus répandu sur terre.
S’il ne faut pas mettre dans le même panier hackers et scripts kiidie, le résultat est le même, notre bon WordPress devient vulnérable.
Vous risquez de perdre à tout moment l’ensemble de votre travail, en découvrant un matin votre site vide de contenu. Il faut bien le dire, cette option est plutôt rare. Ce qui sera plus commun, c’est que votre site se retrouve être un lieu où vos utilisateurs risquent de prendre un cheval de Troie, ou que votre site serve de relais pour du spam. Mais le soucis, c’est que vous n’en prendrez pas conscience, jusqu’à ce que vous perdiez un grand nombre de visiteur, ou bien que Google ne vous dise gentiment que votre site est devenu non fiable… et vous chasse de son moteur. La plaie.
Ne pensez pas que cela n’arrive qu’aux autres, et qu’après tout, votre site est plutôt discret, et qu’il n’y a pas de risque. Le risque zéro n’existe pas. Si votre site WordPress est en ligne, alors un jour ou l’autre, il sera la cible d’une personne mal intentionnée.
Protéger et sécuriser son site WordPress, c’est une tâche particulièrement fastidieuse, et qui parfois demande des compétences particulière. Et il faut bien le reconnaître, nul n’est à l’abri. Une personne qui voudra à tout prix rentrer sur votre site, y arrivera d’une manière ou d’une autre.
Le but de ce guide complet pour sécuriser son site WordPress est double, aider ceux d’entre vous qui n’aurait pas les compétences nécessaires pour protéger leurs sites, et tenter de ralentir le plus longtemps possible une personne qui tenterait de s’introduire sur votre site WordPress.
Ralentir, tel est la clé de la sécurité sous WordPress. Un peu comme une porte blindée. Si un cambrioleur tente de violer une porte blindée, il va perdre du temps. Et s’il en perd trop, il tentera le coup chez quelqu’un qui n’aura pas été aussi précautionneux que vous.
La plupart des attaques sur des sites WordPress sont faites par des vers ou ordinateurs zombies qui vont tenté de lancer des routines de hack. Si elles échouent, elles passeront leur route, et iront voir ailleurs.
Dans ce guide, nous allons voir comment se protéger un minimum, avec quelques conseils de base, et l’installation et la configuration d’un plugin de sécurité.
Avant d’aller plus loin, permettez moi d’insister sur un point. Si vous lisez ces lignes, c’est que la sécurité WordPress vous intéresse, n’hésitez pas à poursuivre votre lecture une fois ces règles appliqués. Nous allons écrire une série d’article sur le sujet. Stay tuned 😉
Sauvegarder votre site WordPress
J’ai toujours été surpris par le nombre de personne ne faisant pas de sauvegarde complète de leur site WordPress. Par complète, j’entends sauvegarder la base de donnée, et les fichiers de votre serveur.
Si nous ne couvrirons pas en détail la sauvegarde de votre site WordPress dans cet article, permettez moi de vous inviter très fortement à installer le plugin WP DBManager.
Ce plugin est très simple de prise en main. Une fois installé, lancez la sauvegarde complète de votre site.
Mais… ce n’est pas tout. Sauvegarder son site c’est bien, conserver ses sauvegardes sur un autre support que votre serveur web, c’est mieux.
Téléchargez régulièrement vos fichiers de sauvegarde et gravez les sur CD ou DVD une fois que vous en aurez assez.
Vous me direz peut-être, mais pourquoi graver un CD ou DVD, quand il existe des clés usb ? Tout simplement parce qu’une clé USB…. ça peut s’effacer !
Les différents plugins pour sécuriser votre site WordPress
Vous le découvrirez, des plugins pour sécuriser votre site WordPress, il en existe pas mal.
À ce titre, nous pouvons citer :
Cette liste est loin d’être exhaustive. De plus, elle ne contient pas le plugin de sécurité que nous allons voir en détail aujourd’hui, j’ai nommé iThemes Security.
Installer le plugin de sécurité iThemes Security
L’installation de ce plugin est des plus commun.
Cherchez-le.
Cliquez sur installer maintenant.
Activez-le.
Rien de bien nouveau sous le soleil donc…
Une fois activé, vous aurez ce bandeau qui apparaîtra, avec le message indiquant que le plugin est activé.
Vous aurez également une nouvelle entrée dans votre menu, nommée
Voila, le plugin de sécurité est installé… c’est pas bien sorcier 😉
Cliquez sur le bouton Secure Your Site Now. Et passons à l’étape suivante, la configuration de base de ce plugin de sécurité WordPress.
Configuration de base du plugin de sécurité WordPress
En cliquant sur Secure Your Site Now, voici ce qui apparaît.
Comme vous êtes des utilisateurs précautionneux, bien entendu, vous bénéficiez déjà d’une sauvegarde intégrale de site WordPress.
Si ce n’est pas le cas, faite le tout de suite, ce plugin vient modifier des éléments qui pourrait mettre à mal votre site WordPress… Il serait bête de tout perdre en voulant sécuriser votre site WordPress non ? 🙂
Votre sauvegarde bien sauvegardé sur votre ordinateur, et non pas votre serveur, passons à la deuxième étape. Il s’agit d’autoriser iThemes Security à procéder à la modification de certains fichiers. Cette étape est indispensable pour poursuivre.
Une fois avoir cliqué sur Allow Files Updates, voici le message qui s’affichera.
Passons à la troisième étape, celle de la sécurisation de votre site par défaut. En d’autres termes, ce plugin va venir s’auto-configurer. Une bonne première chose à faire.
Une fois avoir cliqué sur One-Click Secure, voici le message qui s’affichera.
Les Premières Modification de Sécurité WordPress One-Click Secure
Un des avantages de ce plugin, c’est de créer une configuration par défaut. Voyons un peu ce que nous réserve cette auto-coinfiguration… mais avant, inscrivons notre adresse IP temporairement dans la liste des IPs en liste blanche. Cela vous évitera de vous faire blacklister bêtement… et de vous retrouver à la porte de votre site web.
Maintenant que vous avez cliquez sur Temporarily Whitelist my IP, regardons un peu ce que iThemes Security à configuré pour vous.
On constate donc que ce plugin sécurité WordPress à :
- Supprimé ou renommé l’utilisateur Admin
- Protégé la fenêtre de connexion des attaques de type Brut Force
- Fait en sorte que le nom qui apparaisse sur votre site soit différent de votre nom d’utilisateur système
- Retiré la ligne dans le code qui indique que vous utilisez WordPress
- Fait en sorte que les utilisateurs n’ayant pas publié de contenu apparaissent sur votre site
- Vérifié que les préfixes de votre base de donnée ne commence pas par wp_
- Supprimé les informations relatives à la publication par Windows Live Writer
- Supprimé les informations d’erreurs de connexion.
Mais pourquoi et à quoi cela sert ?
- Par défaut, et cela pendant des années, le nom de l’administration WordPress était admin. Inutile de vous dire que c’est le premier nom qu’un script kiddie va utiliser pour tenter de pénétrer sur votre site.
- Une fois le nom d’utilisateur en sa possession, la deuxième étape est de tenter de deviner votre mot de passe. Deviner est un terme un peu fort, car il va pas y aller par quatre chemin. Un hacker tentera très certainement une attaque de type Brut Force. À savoir tenter des centaines, des milliers de mot de passe différent. Cela pourrait sembler étonnant…. mais c’est sans compter sur le fait que la majorité des mots de passe sont des mots comme motdepasse, 12345… voir le nom de votre site. Bref, il a de forte chance de réussir sa tentative.
- Retirer le ligne dans le code pourrait sembler étonnant. On appelle cela de l’obfuscation. Cacher le plus possible que l’on utilise un site WordPress. L’obfuscation à ses limites, mais après tout, pourquoi encore plus faciliter la vie d’un script kiddie en lui donnant des informations qu’il utilisera contre vous ?
- Ne pas afficher les utilisateurs ne publiant pas de contenu sous entend une chose, que vous avez au moins deux utilisateurs. L’un est administrateur de votre site, l’autre est éditeur. Et bien entendu, vous utilisez le deuxième pour écrire vos articles. Voici une règle de base, ne jamais écrire ses articles avec son compte administrateur. Pourquoi le ferriez-vous si ce n’est pas fainéantise ? 🙂
- Tout comme le nom de l’administrateur, le prefix wp_ utilisé par WordPress par défaut est bien connu des Script Kiddies. Le changer, c’est limiter le plus possible les attaques directes sur votre base de donnée. Le modifier est donc essentiel… si ce n’est pas encore fait 😉
- Parfois, WordPress est un peu trop bavard. La fenêtre de connexion est un de ces éléments. En indiquant si le nom d’utilisateur ou le mot de passe est faux, c’est donner une information de trop aux Scripts Kiddies. En effet, si WordPress m’indique que seul le mot de passe est faux, j’aurais déjà fait la moitié du travail, je connaîtrait le nom d’utilisateur. Me restera plus qu’à trouver le mot de passe qui va bien.
Le reste à faire pour sécuriser son site WordPress
Une fois que vous avez lancez la configuration par défaut, vous reviendrez donc sur le tableau de bord de l’administration d’iThemes Security.
Trois parties différentes se présenterons à vous. Ce qu’il est important, moins important, et presque pas important de faire. Notez que selon moi, certaines tâches ne se retrouvent pas dans la bonne catégorie. Certaines devraient être listées comme étant hautement prioritaires. J’y reviendrais dans la partie où nous verrons en détails la configuration de ce plugin de sécurité WordPress.
Par défaut, les tâches prioritaires restantes seront :
- Définir un planning de sauvegarde de la base de votre site WordPress.
- Activer le scanner de malwares.
Par défaut, les tâches prioritaires restantes seront :
- Activer la détection des erreurs 404
- Supprimer l’ID 1 de l’utilisateur par défaut
- Activer le planning de connexion à votre interface d’administration
- Activer la vérification de changement de fichiers
- Changer l’adresse de connexion à votre interface d’administration WordPress
- Empêcher l’accès à certains fichiers de base de WordPress
- Activer la détection des éléments compromettants dans les URLs
- Empêcher les utilisateurs sans user-agent à poster des commentaires sur votre site
- Désactiver l’utilisation de XML-RPC sur votre site WordPress
- Empêcher l’exécution de fichiers PHP à partir du répertoire d’upload de votre site
Par défaut, les tâches prioritaires restantes seront :
- Activer le bannissement automatique des utilisateurs connues comme étant à problème
- Forcer l’utilisation du HTTPS pour se connecter à votre interface d’administration
- Forcer l’utilisation de mot de passe forts
- Empêcher la lecture distante de vos répertoires web
- Bloquer les requêtes par HTTP non utiles
- Bloquer les jeux de caractères dans les URL
- Empêcher l’utilisation d’URLs de plus de 255 caractères
- Forcer les fichiers wp-config.php et .htaccess en lecture seule
- Supprimer l’affichage des informations RSD dans l’en-tête de votre site
- Modifier le numéro de version de WordPress
- Rendre la modification des fichiers des plugins et des thèmes impossibles à partir de votre interface d’administration
- Connaître votre version de jQuery
- Renommer le fichier wp-content
Vous l’aurez compris avec ces trois listes, le mode de configuration de base est pas mal… mais il nous reste du travail.
Découvrons le configuration en détail de ce plugin de sécurité WordPress. Ce sera le moment de comprendre le tenant et les aboutissants de toutes ces préconisations et options.
Commençons… par le mode avancé du plugin de sécurité WordPress
Cela peut sembler étonnant, mais nous allons commencer la configuration de ce plugin de sécurité par la fin, à savoir la partie avancée.
Pourquoi ? Car certaines options vous déconnecterons. Autant le faire tout de suite.
De plus, certaines options ne sont accessibles que pour les installations neuves de WordPress.
Cliquez donc sur l’onglet Advanced.
La première étape concernera ceux d’entre vous utilisant encore le compte admin. Si tel est le cas, demandé à ce plugin de le renommer.
Demandez également le changement de l’ID du compte administrateur, et cela, quelque soit le nom que vous utilisez.
Une fois que vous validerez ces options, vous allez être déconnecté.
Cette partie s’adresse particulièrement à ceux ayant une installation de WordPress toute neuve. Pourquoi ? Car toutes vos images sont envoyées dans le répertoire wp-content/uploads. Donc si vous activez le changement du répertoire…. vous allez vous retrouver sans images sur votre site, et vous perdrez au niveau du référencement WordPress de ces dernières.
C’est bien dommage, car cela vous permet de bloquer beaucoup d’attaques par défaut, ainsi que de faire comprendre aux vers et autres Scripts Kiddies que vous utilisez du WordPress.
Si votre installation WordPress est complètement neuve, je vous conseil fortement de le faire.
Une autre technique d’obfuscation, changer le préfixe de votre base de donnée.
En changeant ce préfixe, iThemes Security en créera un aléatoire, bien plus difficile à deviner.
Cliquez sur Check this box to generate a new database table prefix, et sur Change Database Prefix. Et voila, le tour est joué.
Les paramétrages du plugin de sécurité WordPress
Attaquons-nous maintenant aux choses sérieuses. Comme vous le verrez, ce plugin de sécurité WordPress possède beaucoup d’options, et nous allons tous les voir. Armez-vous d’un peu de patience, la sécurisation de votre site WordPress vaut bien ce temps.
Cliquez maintenant sur l’onglet Settings.
Configuration générale
Cette première partie est principalement remplis par la configuration de base du plugin de sécurité. Nous y retrouvons l’autorisation d’écriture d’iThemes, l’email de notification ainsi que les messsages lors de blocages.
la deuxième partie concerne le fait de blacklister ceux étant estampillés comme pirates éventuels, avec les règles à appliquer le cas échéant.
Enfin, la troisième partie concerne la notification par email, le type de log à utiliser, le jour de rétention des données, le chemin d’accès des logs, et l’envoi d’information à iThemes, ainsi que le fait de désactiver le blocage des fichiers.
En sommes, dans la première partie, on ne viendra pas toucher grand chose, la configuration de base fait parfaitement l’affaire.
Activer la détection des erreurs 404
Activer la détection des erreurs 404 est un bon moyen de détecter un script qui tenterait de deviner ce qu’il y sous le capot de votre site internet. Ainsi, nous allons activer cette fonctionnalité.
Cochez Enable 404 detection.
Une fois cette case cochée, les options se présentes à nous comme :
- La plage de temps en minutes pendant laquelle le plugin se souviendra des erreurs 404 générées par un utilisateur
- Le nombre d’erreurs qui déclenchera le bannissement d’un utilisateur
- Les fichiers à mettre en liste blanche
- Les types de fichiers à ignorer
La configuration de base est bonne, mais on pourra tout de même augmenter un peu la plage de temps à 10 ou 15 minutes, histoire d’être sûr.
Si vous utilisez des sitemaps sur votre site, n’hésitez pas à les ajouter dans la liste blanche, cela évitera de blacklister un moteur de recherche.
Bloquer l’accès à l’administration de WordPress sur des plages horaires
Cette fonctionnalité peut-être intéressante pour ceux d’entre vous travaillant à des horaires fixes sur leur site. Elle permettra de rendre disponible l’interface d’administration de WordPress sur une plage de temps prédéfinie, et le reste du temps, celle-ci ne sera pas disponible.
Pour activer cette fonctionnalité, cliquez sur Enable away mode. Attention, prêtez bien attention à la date et à l’heure affiché dans la partie grise. Si celle-ci ne correspondant pas avec la date et l’heure courante, il faudra l’ajuster soit au niveau de WordPress, soit au niveau de votre serveur.
En effet, si vous définissez une page horaire, et que votre serveur n’a pas la même heure que vous, vous risqueriez d’être surpris en ne pouvant plus accéder à votre interface d’administration.
Une fois la case de cochée, les options de la fonctionnalité apparaissent. Il vous sera possible de type de restriction, et les plages horaires.
Attention, l’horaire de début et l’horaire de fin ne correspondent à l’horaire de début du travail, et de fin du travail. C’est même l’inverse. Ainsi, dans début, indiquez à partir de quand vous souhaitez que l’interface ne soit plus accessible. Et dans horaire de fin, à partir de quand vous souhaitez quelle soit à nouveau disponible.
Bannir des utilisateurs par défaut
Cette partie touche au bannissement des utilisateurs. Pour ce faire, deux manières complémentaires vous sont proposer. Travailler à partir de la liste de HackRepair, et en mode manuel.
N’hésitez pas à cocher les deux.
Se protéger des attaques de type Brute Force
Nous l’avons vu un peu plus haut, une attaque de type Brute Force, et une attaque faite sur la connexion à l’interface d’administration de votre site. L’attaquant tentera de deviner votre mot de passe en envoyant de grand nombre de requêtes.
La configuration de base active par défaut cette protection.
Les valeurs par défauts sont de 5 tentatives par hosts, 10 par identifiants et 5 minutes de tentatives.
Ces valeurs par défaut sont inintéressantes, mais un point est a noter. Faites attention à la partie host. En effet, il n’est pas rare que plusieurs utilisateurs soient rédacteurs du même site, et qu’ils partagent le même bureau. Partageant également la même connexion internet, et donc la même adresse IP. Si vous êtes dans ce cas, je vous conseil d’augmenter un peu cette valeur. Et bien entendu, assurez-vous que chaque utilisateur possède son propre identifiant.
Par défaut, la partie de bannissement automatique sur une tentative de connexion à partir de l’utilisateur Admin n’est pas actif. Vu que maintenant nous sommes sûr que vous n’avez plus cet utilisateur dans votre système, je vous conseil vivement de l’activer. Cela vous permettra de bannir directement une adresse IP tentant de forcer le passage. Après tout, il y a de très grandes chances que ce soit le premier utilisateur qui soit saisie lors d’une tentative d’attaque.
Planifier la sauvegarde de sa base de donnée WordPress
Nous l’avons déjà dit et répété, faites des sauvegardes !
Mais je dirais de le faire avec un autre plugin que iThemes Security. Pourquoi ? Car ce dernier ne fait qu’une sauvegarde de votre base de donnée. Alors c’est déjà bien, mais avec les fichiers, c’est encore mieux.
Activer la détection des changements de fichiers
Cette fonctionnalité et à la fois bien, et pas si géniale que ça.
La partie positive, vous serez alerté dès qu’un fichier sera modifié, ajouté ou supprimé. Le côté moins sympa, c’est que vous ne serez pas ce qui a été modifié dans le fichier, et que cette fonction utilise quand même pas mal de ressources sur votre serveur.
En effet, cette fonctionnalité fait un hash de type MD5 de vos fichiers. Si vous connaissez pas cette fonctionnalité, en gros, on fait un calcul sur un fichier, et cela donne une valeur à ce dernier, appelé signature. Le simple ajout d’un espace dans ce fichier viendra en modifier la signature. Le truc, c’est que cette fonction consomme un peu de CPU, et qu’elle doit être exécuté fichier par fichier. En outre, nous parlons bien d’une signature, et non pas d’un différentiel fichier. Donc, pas d’historique des modifications.
Dernier point, soyez sur que vous déclenchez cette activation des changements de fichiers sur un système sain. Cela va de soit… mais quand même.
Personnellement, je suis pour l’activation de cette fonction si votre serveur le permet. Pourquoi ? Car au moins, vous serez alerté tout de suite d’une modification, et serez en mesure de restaurez le fichier qui va bien tout de suite. Et oui, rappelez-vous, vous faites des sauvegardes quotidiennes, il serait quand même dommage de se mettre à sauvegarder des fichiers corrompus.
Activez la fonction de détection des modifications de fichiers en cliquant sur Enable File Change detection.
Une fois activé, voici les options qui se présentent à vous :
- Découpage de la vérification en segments
- Choisissez si la liste qui va suivre vous permettra d’inclure ou d’exclure des fichiers
- Définissez votre liste en fonction de l’option précédente
- Définissez le type de fichier à ignorer
En détails cela donne :
- Le découpage en segment peut-être utile pour ceux d’entre vous ne possédant pas suffisamment de ressources serveurs. Le revers de la médaille, vous risquez d’avoir pas mal de mail…
- Vous utilisez un système de mise en cache travaillant à partir de fichiers ? Veuillez bien à exclure le ou les répertoires ou seront intégrés ces fichiers. Si vous ne le faites pas, vous aurez quotidiennement une liste longes comme le bras. Le soucis, c’est que vous risqueriez de passer à côté des informations importantes lors de la lecture du rapport. Il est à noter que cela ne s’adresse pas qu’au système de cache, mais aussi à des plugins générant des CAPTCHA par exemple. N’hésitez pas à revenir sur cette partie lorsque vous recevrez vos premiers rapports.
La dernière partie de cette configuration est dédié à savoir comment vous désirez être alerté d’une modification.
Je répondrais les deux mon capitaine.
Voici le type d’email que vous recevrez avec la vérification de changement de fichiers activé.
Vous aurez la liste des fichiers ajoutés, supprimés, et ceux modifiés, avec l’heure et la signature MD5.
C’est un peu austère, mais au moins, vous aurez conscience de ce qui à bougé pendant la nuit. Cela vous permettra de réagir très rapidement et ne pas laisser la situation s’empirer.
J’entends déjà certain d’entre vous se dire…. mais si on met en place un plugin de sécurité, c’est justement pour se prémunir d’un hack. Alors pourquoi activer la détection de changement de fichier ?
Je n’aurais qu’une seule réponse à cela. Aucune protection n’est fiable à 100%.
Changer l’adresse de connexion à votre interface d’administration WordPress
Le soucis de WordPress, c’est que certaines choses importantes sont part défaut. L’accès à l’interface d’administration en fait partie.
En changer le chemin d’accès et une bonne chose. Ici aussi, je parlerais plus d’obfuscation que de réelle protection. Mais encore une fois, l’idée est de faire perdre le plus de temps possible à des attaques automatiques, et de les faire échouer sur des process assez simple, comme l’accès à l’administration.
Activez ce changement en cochant Enable the hide backend feature.
Par défaut, iThemes Security vous proposera un nouveau chemin d’accès. j’aurais tendance à dire c’est un peu con. On passe d’un système automatique à un autre, et inutile de vous dire que ce chemin par défaut est aussi connu des Scripts Kikkies, et doit très certainement être ajouté par défaut dans la majorité des scripts d’attaques automatique.
Ici aussi, ne faites pas votre lazy boy, est soyez créatif. Oubliez les Administration, Admin, BO, Backoffice…. ca aussi, c’est trop simple à deviner.
Activez le mode de compatibilité.
L’entrée Theme Compatibility Slug vous permettra d’indiquer un permalien où sera redirigé toutes personnes tentant de se connecter à votre ancienne adresse de connexion.
Activer le scanner de malware WordPress
Le scanner de Malware, ça sonne pas mal… mais, tout n’est pas rose, et ne croyez pas qu’en activant cette fonctionnalité vous allez vous assurer de ne pas avoir de malware sur votre site.
En fait, deux choses me font dire cela :
- Vous devrez déclencher manuellement ce scanner à chaque fois que vous voudrez faire le test
- Le scan se fera uniquement sur la page d’accueil de votre site
Bon, on ne va pas cracher dans la soupe, et activons tout de même cette fonctionnalité. Après tout, ça mange pas de pain, et c’est toujours ça de gagné.
Pour activer le scanner de malware, chochez Enable malware scanning.
À mince, il nous faut une clé d’activation. Et oui, ce service est proposé par un service tiers, appelé VirusTotal.com.
Voici la marche à suivre pour obtenir votre clé. Cliquez sur le lien VirusTotal.com qui vous est proposé.
Vous arrivez sur la page d’accueil du site, et cliquez en haut à droite sur Join our community.
Remplissez le formulaire.
Une fois que vous aurez reçu le mail de confirmation, cliquez sur le lien. Cela active votre compte.
En suite, connectez-vous, et cliquez en haut à droite sur votre compte utilisateur.
Cliquez sur My API Key pour accéder à l’espace qui vous permettra d’obtenir votre sésame.
Copiez la clé publique qui vous est donnée.
De retour sur votre interface d’administration, collez la.
Voila, vous pourrez lancer le scan par la suite.
Forcer l’utilisation du HTTPS (SSL)
Forcer l’utilisation du HTTPS pour se connecter à son interface d’administration, c’est bien… mais faut-il encore gérer le SSL sur son serveur.
Si votre serveur le supporte, activez cette option mais attention, si tel n’est pas le cas… vous ne pourrez plus accéder à votre interface d’administration. Et là, vous serez bien content d’avoir fait une sauvegarde de votre base de donnée 😉
Forcer l’utilisation de mot de passe fort
Avoir des mots de passe forts, j’oserais dire que c’est le minimum du minimum pour protéger son site. Quand on voit combien de personnes utilisent des mots de passe comme 123456, ça fait peur… L’utilisation d’un mot de passe complexe est une nécessité absolue, vous devez prendre cette habitude.
Mais lorsqu’on parle de mot de passe complexe, la majorité des utilisateurs pensent à des choses comme M0$d3P4##3!_?.
Après tout… ne nous à ton pas rabâché les oreilles avec un mot de passe sécurisé doit contenir au moins un chiffre et un caractère alphanumérique ? Rendant ainsi les mots de passe complexes à se souvenir pour l’homme….et drôlement simple à trouver pour une machine.
Non, un mot de passe complexe, c’est une passphrase. Une phrase rigolote, dont vous souviendrez en une seconde, et qui sera quasiment impose à trouver pour une machine.
Une exemple concret ? J’ai un chat (en fait, 4 et un chien mais passons ;)) dont le nom est Khali. Un jour, en cherchant un mot de passe pour un site, il était entrain de manger du cake au citron. Le mot de passe a été tout trouvé Khali mange du cake au citron.
Je me permet d’insérer une illustration (en anglais) de XCKB sur ce sujet :
Source : xkcd
Un dernier conseil, ne jamais utiliser deux fois le même mot de passe… Chacun de vos sites doit avoir son propre mot de passe.
Vous l’aurez compris, mieux vaut donc activer cette fonctionnalité. Et pourtant, je suis un peu réservé ici aussi. Pourquoi ? Parce que ce que WordPress considère comme un mot de passe fort ne rentre pas dans la ligne de ce que je viens de vous expliquer.
À vous d’instruire vos utilisateurs sur ce sujet.
Accentuez la sécurité de votre site WordPress
Allé, encore un peu de courage, nous touchons au but.
Intéressons-nous maintenant à la partie du système. Attention, je vous invite à activer une à une ces options. Certaines pouvant se révéler bloquante pour votre site. Une option d’activé, un test complet de son site. Seulement ensuite on active la suivante.
Cet écran nous propose de :
- Protéger votre système de fichier
- Désactiver la navigation dans vos répertoires
- Filtrer les requêtes
- Empêcher l’utilisation de requêtes avec des caractères non anglais
- Stopper les requêtes trop longues
- Retirer les permissions d’écriture sur certains fichiers
Je vous conseil donc de tous les activer. Cependant, attention à :
- Si vous possédez un site multilingue, et que ce dernier comprend par exemple du Russe, du Chinois ou que sais-je, il ne faudra pas activer l’option Non-english Characters. Je pense même que cela doit poser un soucis sur un site en Français….
- La fonction de limitation des URLs, c’est bien… sauf si vous aimez les URLs à rallonges sur votre site.
La dernière option de cet écran, et de venir interdire l’exécution de fichiers PHP à partir de votre répertoire Uploads. Je dois dire que je ne comprends pas que cette options ne soit pas sélectionnée de base. En effet, il est des plus communs de trouver un site qui envoi du spam à partir d’un script placé dans le répertoire uploads. Il suffit alors à l’attaquant d’appeler ce script pour que votre site se transforme en relais de spam.
Donc, activez cette option !
Cet écran nous propose de :
- Retirer l’information de la version du WordPress que vous utilisez
- Retirer l’en-tête Windows Live Writer
- Retirer l’en-tête RSD
- Empêcher la publication d’un commentaire sans reffer
- Afficher un numéro de version aléatoire
- Désactiver l’éditeur de thèmes et plugins à partir de l’interface d’administration
Soyons fou, cochons tout !
Et pour terminer, cet écran nous propose de :
- Désactiver la fonction XML-RPC
- Charger une version saine de jQuery si besoin
- Retirer les informations lors d’un login qui n’aboutit pas
- Forcer les utilisateurs à posséder un identifiant unique
- Supprimer les pages d’archives des auteurs s’ils n’ont rien publié
Ici aussi, pas de quartier, nous allons tout cocher.
Permettez-moi néanmoins de faire un zoome sur la partie XML-RPC. Au vu de la dernière faille de sécurité plus que sérieuse découverte dans toutes les versions de WordPress avant la version 3.9.2 touchant XML-RPC, je ne peux que très vivement vous conseiller de désactiver purement et simplement cette fonctionnalité de votre système.
Conclusion
iThemes Security est un plugin qui va vous permettre de sérieusement protéger votre site WordPress. Bien entendu, 100% des aspects de la protection de votre site WordPress n’est pas couvert par ce plugin comme le changement des clés de salages par défaut de WordPress, ou encore le positionnement de votre fichier WordPress. Mais tout de même, en installant ce plugin, vous passez un cap important dans la protection de votre site WordPress
Merci infiniment pour le partage de votre article avec nous.
Merci pour tout ces bons conseil je vous recommande l extension itheme security simple et intuitive …
Ce plugin détecte les problèmes il y a juste a cliquer afin de les corriger …si vous n êtes pas sur de ce vous faite ne touchez pas aux options avancé …
si vos site est “planté” pas de panique allez sur votre ftp et renommer l extension itheme security cela va vous permettre de corriger le problème …
Pour sécuriser facilement votre site worpress vous avez également l extension Wordfence …
oui, et il en existe même encore d’autre 😉
Bonjour,
Après avoir lu votre tutoriel, je me suis posé une question.
Peut-il être utilisé en parallèle de Wordfence ?
Du fait qu’ils viennent chacun vérifier les fichiers ne va t’il pas entrainer des complications, voir des problèmes ?
Merci !
Pour les utilisateurs WordPress qui ne sont pas des experts de Linux et de la sécurité web, vous pouvez faire appel à de véritables experts en intrusion informatique et en sécurité des sites web tournant sous WordPress.
Les méthodes de nettoyage toutes faites et les plugins sécurité ne permettent pas de se prémunir de façon fiable et durable des attaques des pirates. Sans une maitrise des techniques employées par les pirates, d’une connaissance de toutes les vulnérabilités qui peuvent affecter un site web, votre site sera de nouveau piraté d’ici quelques semaines.
Cordialement,
Adam, comme tu le sais, j’ai édité ton commentaire.
J’en ai gardé un bout, car tu as (hélas) raison, et c’est un point sur lequel il faut insister, toutes les solutions “prêt à porter” de sécurité ne remplacent pas le travail d’un vrai expert… et je sais de quoi je parle car nous avons été victime de véritables vagues de hacking sérieux sur le site… et tous les plugins de sécurité du monde n’ont rien pu y faire… 😉
Bonjour
excusez moi le premier message est parti avant que je finisse de l’écrire
je débute et je suis en train de créer mon blog
j’ai suivit votre tuto sur Ithemes security
tout allait bien jusqu’à ce que je change mon ID puis j’ai été déconnecté depuis j’ai une version WP en anglais je ne sais même pas qu’elle est la version WP qui s’est installé j’ai perdu mon thème
j’ai bien fait des sauvegardes mais je ne sais pas comment les restaurer
est ce que quelqu’un me conseiller?
merci
Dominique
Bonjour Collardey,
bug étant que je n’ai encore jamais rencontré…
si tu as bien ta sauvegarde (fichiers + db). Connectes toi sur phpmyadmin, supprime ta base, et réimporte la.
pour ma part je suis la plupart des recommandations et je ne suis pas une spécialiste mais j’ai tellement d’attaque ou de tentative que je n’imagine même pas ce que cela doit être sur un très gros site. Bref il y a un plugin que vous avez simplement cité WordFence Security qui est vraiment excellent lorsqu’on regarde de temps en temps en live et un autre qui permet de bloquer l’accès à pas mal de pays iQ Block Country, pour ma part j’ai bloqué quasiment tout surtout des pays comme l’Ukraine dont les tentatives de spam commentaire et spam referrer est une plaie ! (petite parenthèse cela fait plusieurs fois que je vois un theme wordpress de ce type dont la page s’affiche a mesure que le scroll descend c’est vraiment pas mal …)
Salut,
si tu parles de l’affichage des images, ce n’est pas le thème qui gère ça, mais lazyload.
Bien à toi
Je me joins également aux multiples remerciements pour ajouter ma reconnaissance. Moi qui suis débutant en wordpress et en php, j’ai appris pas de choses grâce à votre article. Longue vie à votre site !
Merci d’avoir partager ce magnifique plugin qui aide a renforcer la sécurité de nos site WordPress!
Merci pour ce superbe article j utilise cette extension pour tout les sites WordPress de mes clients.
Merci beaucoup pour avoir fait cette article il m’a était très utile pour sécuriser mon site