Comment sécuriser WordPress ?

securiser-wp

Avant de commencer, il faut savoir que WordPress est l’un des logiciels les plus utilisés pour créer un site internet. Mais qui dit le plus utilisé au monde, dit aussi que c’est le plus piraté. Cela peut en effet avoir des conséquences désastreuses sur votre site internet mais aussi votre entreprise si un pirate informatique arrivait à dérober des informations tel que les données d’une carte de crédit. C’est la raison pour laquelle, il est nécessaire de sécuriser un site internet déployé sous WordPress.

N’ayez crainte, WordPress étant l’un des logiciels les plus utilisés, il est très simple de le sécuriser en utilisant les bonnes méthodes et les quelques conseils que nous allons vous fournir dans ce tutoriel.

1. Mettre à jour régulièrement votre WordPress

Une simple mise à jour de WordPress peut permettre de sécuriser de façon efficace votre site internet. En effet, les développeurs de WordPress effectuent des mises à jour de sécurité régulièrement afin de fermer certaines failles découvertes. Un rapport très sérieux indique que seul un site sur quatre est mis à jour avec la dernière version de WordPress.

Depuis la version 3.7 de WordPress, il est incorporé une mise à jour automatique de votre sites’il s’agit d’une mise à jour de sécurité. Pour les autres mises à jour ou les changements de versions WordPress, cela doit en revanche, toujours être effectué de façon manuelle.

2. Vos informations de connexion au tableau de bord WordPress

sécuriser WordPress

Comme dans beaucoup d’installation automatique utilisant “Softaculous” pour déployer WordPress, le nom d’utilisateur est “Admin” et le mot de passe “pass”. Utilisez-vous toujours ce nom d’utilisateur et ce mot de passe par défaut ? Si cela est le cas, c’est le moyen le plus efficace de se faire pirater son site internet. Il faut toujours penser à modifier le nom d’utilisateur et le mot de passe par défaut. Pour cela, connectez vous à votre tableau de bord WordPress puis suivez les étapes suivantes:

  • Rendez vous sur “Utilisateurs/Ajouter” de votre menu de gauche.

sécuriser WordPress

  • Créez le nouveau compte utilisateur sans oublier d’attribuer le rôle d’administrateur à ce compte

sécuriser WordPress

  • Déconnectez vous de votre Tableau de bord et reconnectez vous avec le compte nouvellement créé.
  • Rendez vous sur “Utilisateurs” de votre menu de gauche afin de supprimer le compte “admin” de votre WordPress

Concernant le mot de passe, il sera beaucoup plus difficile de pirater votre site si ce dernier comporte aussi bien des lettres en minuscules qu’en majuscule ainsi que des chiffres et des caractères spéciaux. WordPress vous permet de générer un mot de passe de 24 caractères composés de tous les caractères.

sécuriser WordPress

3. Authentification à deux facteurs

Il vous est possible d’augmenter la sécurité de WordPress grâce à l’authentification à deux facteurs. En effet, cette authentification ajoute une deuxième étape afin de pouvoir vous connecter à votre site internet. Beaucoup d’entreprise comme gmail utilise déjà ce système d’authentification.

A première vue, lorsque l’on débute et que l’on créé son premier site, cela peut sembler compliquer d’utiliser ce système d’authentification. Bien au contraire, il n’y a rien de plus simple. Il vous suffit d’installer une application sur votre Smartphone par exemple et de configurer WordPress. L’extension Google Authentificator fonctionne très bien pour cela.

4. Désactiver les rapports d’erreurs PHP

Lorsque l’on est développeur Web, il est toujours très intéressant de pouvoir avoir accès aux logs d’erreurs PHP afin de vérifier le fonctionnement de votre site internet. Cependant, laissez le log est une erreur permettant le piratage de votre site internet.

Il n’est pas nécessaire d’avoir de connaissance afin de désactiver les logs sur WordPress. Beaucoup de fournisseurs Web vous propose de désactiver les rapports d’erreurs directement sur le panel de gestion. Dans le cas contraire, ajoutez les lignes qui vont suivre dans votre fichier wp-config.php (le fichier de configuration de votre WordPress). Cela peut se faire avec un logiciel FTP tel que FileZilla ou le système de Web Transfert accessible sur votre panel client.

error_reporting(0);

@init_set(‘display_errors’ , 0);

5. Ne jamais utiliser d’extension WordPress crackées

En effet, il faut proscrire tous les modules et thèmes crackés lors de la création de votre site internet, surtout s’il s’agit d’un site à des fins professionnelles. En effet, tout ce qui est cracké peut être infecté par des virus et des liens malveillants qui pourraient mettre à mal votre site.

6. Scannez régulièrement votre site avec un Anti-Virus

Afin de sécuriser WordPress, il est primordial de vérifier si ce dernier est infecté par un logiciel malveillant. Cela permettra d’éviter que des pirates puissent utiliser des failles accessibles sur vos différents thèmes et/ou modules. WordPress dispose de nombreux modules permettant de vérifier à intervalle régulière, l’existence de virus. WordFence est l’un des meilleurs plugins en la matière. Ce dernier permet de vérifier de façon automatique ou manuelle, l’existence de virus sur votre site internet.

D’autres plugins existent dans ce domaine:

  • BulletProof Security: Ce module, par rapport à WordFence, n’analyse pas vote site. Cependant, il permettra d’activer un pare-feu ainsi qu’une sécurité pour votre base de données.
  • Sucuri Security: Un plugin simple d’utilisation. Il vous protégera contre les attaques de type DDoS. Il dispose aussi d’un pare-feu puissant avec une liste noire de connexions.

7. Utilisez un hébergement bien sécurisé

D’après les statistiques, de nombreux sites sous WordPress sont piratés suite à un problème de sécurité de la part du fournisseur de service. Il s’agit de ce fait, de quelque chose à ne pas prendre à la légère. Hébergement WordPress dispose d’un nombre important de système de sécurité, permettant la mise en place d’un hébergement WordPress sans risquer de connaître des problèmes de piratage.

8. Sauvegardez votre site et votre base de données régulièrement

Que vous soyez un petit site communautaire ou un site d’une grande entreprise, le risque de se faire pirater est le même. Aucun site n’est infaillible. Vous pouvez adopter les bonnes habitudes afin que votre site ne soit jamais pirater et l’être quand même. Il est conseillé de sauvegarder régulièrement son site internet.

Plusieurs méthodes de sauvegardes existent. Il  vous est possible de télécharger tous les fichiers WordPress manuellement puis exporter votre base de données. Beaucoup d’hébergeurs Web proposent aussi l’option de sauvegarde automatique. WordPress propose en dernier lieu, des plugins permettant d’effectuer une sauvegarde de votre site.

9. Désactiver l’éditeur de fichier

WordPress dispose d’un éditeur de fichier intégré permettant la modification des fichiers PHP par le biais de votre tableau de bord. Cette fonction, quoi que bien pratique en soit pour les développeurs, peut-être une porte d’entrée pour les personnes mal intentionnées. En effet, dès lors qu’un pirate informatique disposera des accès à votre tableau de bord, il sera en mesure de modifier les fichiers par le biais de l’éditeur. Si vous n’avez pas besoin d’éditer les fichiers PHP, il est préférable de désactiver cela. Pour cela, éditez le fichier “wp-config.php” et mettez-y la ligne suivante:

sécuriser WordPress

10. Supprimez les thèmes et les extensions non utiles

Afin de bénéficier d’une bonne sécurité de votre site sous WordPress, il est conseillé de nettoyer votre site internet en supprimant toutes les extensions et tous les thèmes ne servant pas au déploiement de votre site internet. Les hackeurs passent régulièrement par des thèmes et des modules désactivés afin de s’introduire dans un système. En supprimant ces fichiers que vous ne mettez certainement plus à jour, le risque de piratage de WordPress sera fortement réduit.

11. Utilisation du fichier .htaccess

Les fichiers .htaccess sont nécessaire dans de nombreux cas afin qu’un site fonctionne convenablement. En supprimant ou en ayant des valeurs incorrectes dans ce fichier, il se peut que votre site rencontre beaucoup d’erreurs, notamment des erreurs de type 404 (page non trouvée).

Outre le fait que ce fichier permette le fonctionnement de ce site, il est bon de savoir que ce dernier permet aussi de sécuriser de façon efficace WordPress. En effet, il permet de bloquer l’accès à certains fichiers PHP, mais aussi à des dossiers spécifiques. Voici des exemples de ce qui peut être effectué:

Interdire l’accès à votre tableau de bord WordPress

Le code que vous est présenté ci-dessous vous permettra d’autoriser l’accès à votre tableau de bord qu’à certaines adresses ip.

sécuriser WordPress

Il vous suffit de modifier la ligne “allow from” en y mettant à la place des X, les adresses ip pouvant accéder à l’interface d’administration. Dans le cas de plusieurs utilisateurs, assurez vous d’avoir introduit toutes les adresses IP sur le fichier .htacess.

Désactiver l’exécution du PHP pour certains dossiers

Certains dossiers comme le dossier “uploads” de votre WordPress servent uniquement au téléchargement de médias sur votre site internet. Cependant, des scripts malveillants peuvent être mis dans ce dossier par des personnes mal intentionnées. Afin d’éviter cela, il est préférable de désactiver l’exécution de scripts PHP sur ce genre de dossiers. Il vous suffit de créer un fichier .htaccess qu’il vous faudra mettre dans le répertoire “/wp-content/uploads/. Le fichier devra contenir les règles suivantes:

sécuriser WordPress

Protection du fichier wp-config.php

Les paramètres de la base de données de WordPress se situe dans votre fichier wp-config.php. Il s’agit de ce fait, du fichier le plus important de votre site internet. C’est aussi la raison qui pousse les hackeurs à passer par ce fichier pour pirater un site internet. Afin de protéger ce fichier, l vous est possible d’introduire les lignes suivantes dans votre fichier .htaccess:

sécuriser WordPress

12. Modification du préfixe de votre base de données MySQL

Comme son nom l’indique, une base de données contient toutes les informations nécessaires au déploiement de votre site internet. De ce fait, elle devient souvent la proie des pirates informatiques qui tente de mettre à mal cette base par des injections SQL. Lorsque l’on installe WordPress, il est très rare que l’on prenne la peine de changer le préfixe de notre base de données. Par défaut le préfixe est “wp_” . Selon plusieurs sources, un piratage sur 5 est dû à des injections SQL sur la base de donnée. En sachant que “wp_” est le préfixe par défaut de tous les sites sous WordPress, un hackeur choisira en premier cette valeur afin de cibler votre site internet. Voici comment il vous sera possible de sécuriser WordPress.

Modifiez le préfixe de vos tables sur un site existant

1.Changez de préfixe sur le fichier wp-config.php

sécuriser WordPress

Une fois que vous avez modifié cela sur votre fichier de configuration, enregistrez les changements et passez à l’étape suivante.

Vous aurez les indications de connexion à votre base de données sur le fichier “wp-config.php”. Prenez soin de noter quelques part le nom de votre base de donnée afin de pouvoir la retrouver lors de votre connexion à PhpMyAdmin.

sécuriser WordPress

2. Mise à jour de vos tables

Il vous faut désormais vous connecter à votre base de donnée par le biais de PhpMyAdmin afin de pouvoir poursuivre le changement du préfixe des tables de votre base de données.

sécuriser WordPress

Cliquez sur le bouton “PhpMyAdmin” afin d’accéder à vos bases de données

WordPress de base contient 12 tables. Chacune d’entre elle devra être mis à jour avec le nouveau préfixe. Pour cela, cliquez sur la section “SQL” de votre “PhpMyAdmin”

sécuriser WordPress

Lorsque vous avez énormément de tables sur une même base de données, il devient très fastidieux de tout changer manuellement. Il est préférable d’utiliser la syntaxe suivante afin de renommer toutes vos bases de données en un clic.

sécuriser WordPress

Sur des WordPress en production, il se peut que vous ayez ajouté certains modules. Dans ce dernier cas, votre site sous WordPress aura peut-être plus de 12 tables. Il vous faudra recréer un fichier du même type que celui présenté plus haut en y mettant toutes vos tables. Dès que vous aurez créé toutes les requêtes, cliquez sur le bouton “Exécuter” afin de les mettre à jour.

3. Vérification de vos tables

D’après le nombre de modules installés sur votre site internet, certaines données de vos tables ne seront malheureusement plus à jour. Pour cela, vous devez exécuter des requêtes SQL afin de trouver les valeurs dans les tables. Pour la table “options”:

sécuriser WordPress

Pour la table usermeta:

sécuriser WordPress

Vous obtiendrez des résultats sur les requetes SQL défini. Il vous sera nécessaire d’éditer les informations afin de les mettre à jour.

sécuriser WordPress

Conclusion

Bien que WordPress soit le CMS le plus piraté au monde, il reste très facile de le sécuriser afin d’éliminer certaines failles permettant le piratage.

Commander

Hébergez votre site web Wordpress dès aujourd’hui !