Principes de base pour sécuriser WordPress
Appliquez les mises à jour
Un site WordPress, mais il est de même pour tout type de site, est une lasagne composée d’un système (Linux), d’un service web (Apache), d’un langage de programmation (php), d’une application WordPress, d’une base de données (MySQL) et de plugins (thème, éditeur, album photo, bannières animées, etc.). Le tout saupoudré de quelques librairies Javascript.
Chaque “couche” évolue dans le temps, apportant son lot de nouvelles fonctionnalités ou corrigeant des failles de sécurité. Failles qui sont rapidement exploitées, décrites dans le détail et partagées. Ne pas s’en soucier vous expose donc à des problèmes potentiels :
- Injection de contenus indésirables
- Téléchargement de fichiers exécutables (via un formulaire)
- Placement d’un iframe simulant un formulaire de connexion pour récupérer les identifiants de vos abonnés
- Détournement de votre trafic (en programmant une redirection pour certains pays ou appareils pour ne pas se faire repérer)
- Ajout de liens masqués profitant à des sites désireux d’augmenter leur popularité auprès des moteurs de recherche
- Dépôt de fichiers pour profiter de votre espace de stockage (tout ou partie de fichiers licites; vidéos, photos, programmes).
- Plantage pur et simple de votre site (par “sport” ou pour atteindre d’autres services en profitant du brouhaha technique)
- Récupération de profils qui seront vendus ou exploités à leur tour sur d’autre plateformes
- Etc.
L’humain est créatif et ses motivations sont multiples.
Il est clair que veiller à la mise à jour de ces couches ne vous prémunira pas d’un piratage pour avoir laissé le mot de passe par défaut sur vos applications. Ni de tomber sur un hacker plus doué que les autres qui se jouera de vos mesures de sécurité.
Cependant, réduire votre surface d’exposition aux attaques (le plus souvent) automatisées, diminuera votre probabilité de restaurer vos backups dans les prochaines semaines. Pour peu qu’ils existent et qu’ils soient utilisables évidemment.
Notez que certains hébergeurs assurent le suivi des premières couches (système, serveur web, langage et base de données) et d’autres vous laisseront goûter aux joies de la maintenance. C’est le cas d’Amazon Lightsail avec ses instances Bitnami.
Fermez les portes et effacez vos traces
Si vous le pouvez, changez l’accès par défaut à l’espace d’administration de votre site, n’utilisez pas des adresses emails pour définir le login d’un utilisateur (car ils sont exposés par défaut pat l’API de WordPress), masquez la version de votre application, empêchez l’utilisation de la méthode XML-RPC.
Pour terminer, n’exposez que les services utiles. Ni votre base de données, ni vos journaux (système ou d’accès) ne devraient être accessibles sur le web. Non contents de trahir la recette de votre lasagne, ils contiennent généralement des identifiants et des données personnelles.
Activez l’authentification multifactorielle
L’authentification multifactorielle est souvent évoquée à l’aide de son acronyme anglais MFA (pour Multi Factor Authentication).
“Il s’agit d’une méthode d’authentification électronique dans laquelle un utilisateur n’a accès à un site Web ou à une application qu’après avoir présenté avec succès deux éléments de preuve ou plus à un mécanisme d’authentification : connaissance, possession et inhérence” (source : Wikipédia).
Cela se traduit généralement par la demande d’un code envoyé par mail, par SMS, de la retranscription d’un code communiqué par une application, une digicarte, Itsme (en Belgique), etc.
Quand bien même une personne serait en possession de vos paramètres de connexion (obtenus par pishing ou ingénierie sociale par exemple), cela ne lui servirait à rien sans ce code qui, soulignons-le, change en permanence.
Vérifiez vos backups
Cela semble évident mais avez-vous testé une récupération de vos données à partir de vos backups ? Savez-vous combien de temps sera nécessaire pour remettre votre site sur pieds (chez le même hébergeur ou ailleurs) ? Quelle quantité de données pourrait être perdue (entre le dernier backup et l’instant présent) ?
Ensuite, connaissez-vous votre “plan de backup” ? A savoir combien de jours conservez-vous pour ne pas restaurer un site corrompu ? Où sont-ils localisés ? Le mieux étant d’éviter qu’ils ne se trouvent sur le même serveur évidemment.
Mettez vos pages en cache
Certains hébergeurs offrent des protections contre le DDOS (attaques visant à faire tomber votre site ou ses barrières en le submergeant de requêtes). C’est le cas d’OVH par exemple. Pour d’autres, il faudra se tourner vers des réseaux de diffusion de contenu que l’on nomme CDN (pour Content Delivery Network). CloudFlare en est un parmi d’autres. L’idée est de déplacer le stress vers des systèmes plus robustes dont le métier couvre un service de détection et d’isolation du trafic).
Limitez le nombre de plugins utilisés
Ne conservez pas les plugins qui ne sont ou seront pas utilisés. Méfiez-vous de ceux dont la dernière mise à jour remonte à plusieurs années. Des plugins non maintenus sont des fenêtres ouvertes sur votre système.
En conclusion
Tout n’a pas été évoqué dans cet article qui vise essentiellement à attirer votre attention sur l’importance de maintenir votre site à jour en profondeur. Retenez que les attaques les plus communes profitent généralement de notre paresse à les éviter.
Contrôlez votre site régulièrement. Évoquez le sujet avec votre webmaster ou s’il n’est pas ou plus disponible, contactez-nous.
Si cet article vous a plu ou si vous souhaitez corriger ou commenter son contenu, n’hésitez pas à utiliser notre formulaire de contact. Nous nous ferons un plaisir de recueillir vos impressions.
Lancement du site FVR Concept Nous avons le plaisir de vous présenter le site de FVR Concept, un cabinet d'expertise immobilière bruxellois. Un projet conçu, hébergé et maintenu par nos soins.
Un site et un logo pour les Universalistes Le site des Universalistes, un site Wordpress robuste au design accessible, optimisé pour le référencement et respectueux de la vie privée. 
