Dans cette première partie nous donnerons un aperçu général de la sécurité de wordpress. Nous identifierons les risques : sources, ordinateurs, réseau, hébergeur, plug In.. WordPress est une plateforme de blog, très populaire, utilisée par des millions de personnes et d’entreprises dans le monde. C’est un système informatique comme un autre qui présente des vulnérabilités. La communauté wordpress prend bien entendu sa sécurité très au sérieux. Mais chaque propriétaire de sites wordpress doit prendre quelques précautions afin d’assurer la sécurité de son propre site. 

1- La sécurité de votre site wordpress : identification des risques

Qu’est-ce que «Sécurité» signifie vraiment?

Un système sécurisé à 100% n’existe pas, ou du moins, il est impossible de le maintenir indéfiniment. Les serveurs sont sécurisés, ils assurent, jusqu’à un certain point, l’intégrité, la confidentialité et les ressources d’un site internet. Les hébergeurs s’efforcent de protéger votre site et vous offrent des services de sauvegardes fiables. 

En résumé que signifie vraiment la sécurité lorsqu’il s’agit de wordpress ? La sécurité est avant tout un processus continu où la personne qui gère le site et l’hébergeur doivent suivre, s’informer de toutes les menaces présentes et à venir. En d’autres termes, vous ne pouvez pas créer un site web ou un blog WordPress et vous contenter de ne rien faire. Vous devez le maintenir, le sécuriser en permanence.

Accès à l’administration de votre site Internet

Il faut se poser les bonnes questions : Qui a accès à l’administration du site ? Vos mots de passe sont-ils assez efficaces ?

Choix des sources

Pour votre site Internet WordPress, vous avez utilisé un thème et des plug In pour ajouter des fonctionnalités. Téléchargez toujours vos thèmes et plug In à partir de sites de confiance.

Sécuriser votre site Internet avant sa mise en ligne 

Limitez la porté d’une éventuelle attaque en sécurisant votre système de gestion de contenus avant sa mise en ligne.

Vulnérabilités de votre ordinateur

Même si votre site WordPress est sécurisé, l’ordinateur avec lequel vous accédez au système, l’est-il ? Votre ordinateur doit être protégé. Ne parcourez jamais de sites web non fiables.

Les vulnérabilités de WordPress

Une fois votre site Internet WordPress mis en ligne, il faut suivre et appliquer les mises à jour et s’assurer que vous avez bien la dernière version de wordpress. Wordpress est constamment mis à jour comme n’importe quel logiciel.

Les vulnérabilités du serveur

Les serveurs Web sont aussi sensibles aux vulnérabilités. La meilleure façon de contourner cela est d’utiliser un hébergeur fiable et de bonne réputation. 

Les plug ins

En plus de toutes les vulnérabilités décrites ci-dessus, la vulnérabilité des plug In est la plus importante. Les plugins sont utilisés par de nombreux utilisateurs de WordPress qui souhaitent rendre leur site plus attrayant en lui ajoutant de nouvelles fonctionnalités. Vous utiliserez probablement un ou deux plug In déjà. Mais comme pour tout autre chose que vous faites en ligne, vous devez être pleinement conscient des vulnérabilités potentielles de tout plugin que vous choisissez d’utiliser.

Update, Update, !!

Aucun plugin n’est invulnérable à  une attaque. Les développeurs le savent autant que vous, et c’est pourquoi ils développent régulièrement de nouvelles mises à jour. Et vous devez maintenir vos plugins. La dernière version doit être installée.

Sécuriser WordPress est un effort permanent. Les plugins ne sont que la partie apparente de l’iceberg, il faut les maintenir à jour en permanence. Dans le prochain article nous poursuivrons notre tour d’horizon de la sécurité de wordpress…

2- La sécurité de wordpress : Codes malveillants et protection

Voici donc la seconde partie traitant de la sécurité de wordpress. Dans la première partie, nous avions donné un aperçu général du monde de la sécurité WordPress, identifié quelques risques, puis nous avons concentré notre attention sur ​​la vulnérabilité des plugins. Dans la seconde partie nous examinerons la détection de logiciels malveillants et ce qu’il convient de faire pour se défendre contre les attaques.

WordPress est toujours l’une des solutions de gestion de contenu les plus populaires (CMS) utilisée par les entreprises, bloggeurs….   Quand un logiciel est aussi largement utilisé, il devient inévitablement une cible pour les spammeurs, les pirates et autres malveillants.

Il est donc essentiel de prendre toutes les mesures pour sécuriser votre site et pour se faire, vous devez vous assurer que votre site est régulièrement mis a jour, et le scanner afin de vous assurer qu’il ne véhicule pas de code malveillant.

Les pirates ont un objectif en tête : infecter votre site avec des logiciels malveillants. 

Citons quelques menaces :

– Le phishing, wikipedia nous en propose une définition – “Il s’agit d’une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance .. afin de lui soutirer des renseignements personnels … :Elle peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques..”.

– Pharma Hacks – Il s’agit d’une autre forme de piratage, une technique de spam. L’un des symptômes est l’ajout de pages fantômes à votre site internet. Ces pages utilisent votre thème, votre présentation. Elles présentent des médicaments, ou autres produits pharmaceutiques. Google indexe ces pages dans ses résultats de recherche. Votre site est ainsi transformé en usine à liens.

– Les redirections malveillantes – les visiteurs de votre site seront automatiquement redirigés vers un autre site qui sera utilisé pour essayer d’amener les gens à télécharger un fichier infecté.

– Backdoors – Comme l’explique très bien le site de wikipedia, “Dans un logiciel, une porte dérobée (de l’anglais backdoor, littéralement porte de derrière) est une fonctionnalité inconnue de l’utilisateur légitime, qui donne un accès secret au logiciel. L’introduction d’une porte dérobée dans un logiciel à l’insu de son utilisateur transforme le logiciel en cheval de Troie.”

Ce n’est pas une liste exhaustive. Les pirates sont des individus très compétents, il est donc absolument vital que vous preniez les mesures suivantes afin de tenir régulièrement votre WordPress aussi sécurisé que possible.

Détecter les malveillants

Il est très important de détecter les malveillants sur votre blog. Cette action devrait faire partie de votre routine quotidienne car elle est l’une des plus importante. Il faut le faire régulièrement. Même si vous pensez que votre wordpress est armé jusqu’aux dents ! La vérité est qu’il peut toujours présenter une petite faiblesse et c’est justement ce que les pirates recherchent.

Une solution le plug In Sucuri Security

Il y a déjà beaucoup d’éditeurs de sites wordpress qui utilisent ce plug In pour détecter les malveillants. La version gratuite va scanner votre site web et détecter :
– Les Malware
– Les injections malveillantes

L’inconvénient de la version gratuite est que vous devrez toujours lancer votre scan manuellement, mais bon… c’est déjà pas si mal ! Pour la version payante, vous pouvez automatiser vos scans et vous recevez par emails des alertes, si des malveillants sont détectés, c’est vrai que c’est mieux !

Défense

En résumé, une  analyse régulière manuelle ou automatique est la première ligne de défense pour votre site – si vous ne savez pas que vous avez attaqué vous ne pourrez pas vous défendre. N’oubliez pas de faire des sauvegardes régulières de votre site Internet (fichiers du sites et base de données). La sécurité WordPress est une entreprise à temps plein. Surveillez votre site régulièrement, pour être alerté rapidement et pouvoir évincer les malveillants….

3- Comment sécuriser wordpress ?

Pour beaucoup de propriétaires de sites Web – en particulier les débutants ou blogueurs occasionnels  – la sécurité est très rarement au sommet de leur liste de priorités. Pourtant toute personne qui a l’habitude de surfer sur Internet est conscient que les cyber-attaques sont bien réelles et peuvent occasionner de réels dommages. 

La popularité de wordpress est aussi sa faiblesse

WordPress est un des systèmes de gestion de contenu les plus populaires sur le web. Il est de ce fait une cible pour les spammeurs et les pirates. Un rapport très révélateur, publié par wp white sécurity, il y a  quelque temps montre que 70% des sites wordpress sont vulnérables aux attaques et que 170 000 sites ont été piratés en une seule année.

Pourquoi quelqu’un voudrait pirater votre site ?

Beaucoup de gens pensent que leur site ne présente aucun intérêt pour des pirates et que par conséquence leur site est a l’abri d’attaques éventuelles. Mais chaque site a une valeur pour un pirate.

Les pirates ne tentent pas simplement de voler votre mot de passe ou vos informations, ce qu’ils visent aussi c’est votre accès au serveur où votre site est installé,. Votre site est un lieu de stockage, une bande passante,  un point de départ pour des emails, pour des backlinks .. Pour relayer des virus, des spams.

Si cela arrive, votre serveur est utilisé comme relais et il sera mis en  liste noire par de nombreux fournisseurs de services Internet (FSI) et de services de messagerie.

Si vous pensez que votre site ne sera pas ou ne peut pas être piraté réfléchissez de nouveau ! Les pirates et les spammeurs sont toujours à la recherche de sites vulnérables qu’ils peuvent infiltrer et utiliser pour faire toutes sortes de choses désagréables.

C’est pourquoi nous avons pris le temps d’écrire cette série de billets pour vous sensibiliser à la sécurité de WordPress et essayer de vous aider à rendre votre site plus sûr.

Voici présenté un tutoriel  que chacun peut suivre pour protéger son site wordpress.

Sécuriser WordPress 

1. Mise à jour, update !!

Il est absolument impératif pour la sécurité de votre site de s’assurer que votre WordPress ainsi que tous les plugins que vous avez installés soient à jour avec les dernières versions. La plupart des mises à jour corrigent les bugs, les failles de sécurité. Les pirates gardent un œil sur ces mises à jour, tout autant que vous devriez le faire. Les cybercriminels écument le web à la recherche de sites qui ont omis d’être mis à jour, et quand ils les trouvent, ils les attaquent. Donc – mise à jour, mise à jour, mettre à jour !!

2. Ne pas utiliser “admin” pour votre nom d’utilisateur

Les paramètres par défaut de WordPress utilisent “admin” comme nom d’utilisateur, les pirates le savent. 
 
Si vous modifiez ce nom d’utilisateur, vous mettez en place une première barrière significative et vous bloquerez très facilement beaucoup d’attaques. Si vous installez WordPress pour la première fois, vous serez invité à fournir votre nom d’utilisateur pendant le processus. Si, toutefois, vous avez déjà un site WordPress, vous pourrez toujours changer votre nom d’utilisateur.

3. Utilisez les mots efficaces

N’utilisez pas comme mot de passe : ‘mot de passe’ ou ‘123456’ ou ‘Abcdefg’ ou votre numéro de téléphone, date de naissance, anniversaire de mariage ou toute autre information tirée de votre compte Facebook. La meilleure chose à faire est d’utiliser un gestionnaire de mot de passe pour tous vos mots de passe en ligne. Ce point est important.

4. Choisissez un hébergeur avec une bonne notoriété

Il ya tellement de sociétés d’hébergement qu’il peut être difficile de savoir lequel choisir. Donc, pour affiner votre recherche, pour trouver ceux qui mettent l’ accent principal sur la sécurité.

5. Modifiez le préfixe de votre base de données

Si vous utilisez les assistants d’installation via votre hébergeur, vous allez installer wordpress avec des paramètres de configuration par défaut comme les préfixes de la base de données, le préfixe attribué à votre base MySQL est wp_ . Ceux-ci sont bien connus par les pirates, vous avez donc besoin de les changer pour vous protéger. 

Vous pouvez le faire vous-même, en utilisant le plugin WP Security Scan.

6. Bloquer la navigation de vos dossiers WordPress

Bloquez l’accès au contenu de vos dossiers par défaut – comme /wp-content.

7. Sauvegarder régulièrement votre site WordPress

Faites des sauvegardes régulières de votre site WordPress. Sauvegardez la base de données et les fichiers et dossiersrme d’administration de votre hébergeur peut disposer d’un outil de sauvegarde

Voila donc quelques conseils pour sécuriser son site wordpress …

Ressources mentionnées