Blog One

Le blog

Des articles concernant l'accessibilité numérique, le référencement local, des tutoriels, mais aussi le NoCode, les applications ...

On parle de votre projet ?

Sécurité WordPress : Comment sécuriser votre site web ?

Dans cette première partie nous donnerons un aperçu général de la sécurité de wordpress. Nous identifierons les risques : sources, ordinateurs, réseau, hébergeur, hébergement, plugins, attaques, malveillants…

WordPress est une plateforme de blog, très populaire, utilisée par des millions de personnes et d’entreprises dans le monde.

C’est un système informatique comme un autre qui présente des vulnérabilités. La communauté wordpress prend bien entendu sa sécurité très au sérieux. Mais chaque propriétaire de sites wordpress doit prendre quelques précautions afin de renforcer la sécurité de son propre site WordPress. 

1- La sécurité de votre wordpress & identification des risques

Qu’est-ce que «Sécurité» signifie vraiment?

Un système sécurisé à 100% n’existe pas ou du moins, il est impossible de le maintenir indéfiniment.

Les serveurs sont sécurisés, ils assurent, jusqu’à un certain point, l’intégrité, la confidentialité et les ressources d’un site internet.

Les hébergeurs s’efforcent de protéger votre site et vous offrent des services de sauvegarde fiables. 

En résumé que signifie vraiment la sécurité lorsqu’il s’agit de wordpress ?

La sécurité est avant tout un processus continu où la personne qui gère le ou les sites web et l’hébergeur doivent suivre, s’informer de toutes les menaces présentes et à venir (failles, logiciels malveillants, attaques par force brute…). En d’autres termes, vous ne pouvez pas créer un site web ou un blog WordPress et vous contentez de ne rien faire. Vous devez le maintenir, le sécuriser en permanence.

Accès, connexion à l’administration, au tableau bord

Il faut se poser les bonnes questions :

  • Qui a accès à l’administration du site ? 
  • Votre connexion est-elle sécurisée ? (Passer de http en https, certificat SSL ..)
  • Vos mots de passe sont-ils assez complexes pour faire face aux attaque par forces brute ? (méthode utilisée pour trouver un mot de passe en testant une a une toutes les possibilités). Un mot de passe complexe constitue une protection contre les attaques par force brute. 

Choix des sources pour télécharger thème & meilleurs plugins securite & extensions 

Pour votre site web WordPress, vous avez utilisé un thème pour « habiller » votre site et des extensions (plugin sécurité, agenda, paiement en ligne …) pour ajouter des fonctionnalités. Téléchargez toujours vos thèmes et plugins à partir de sites de confiance.

Sécuriser wordpress avant sa mise en ligne 

Limitez la portée d’une éventuelle attaque en sécurisant votre système de gestion de contenus avant sa mise en ligne avec des plugins, extensions  de sécurité. 

Vulnérabilités de votre ordinateur

Même si votre site WordPress est sécurisé, l’ordinateur avec lequel vous accédez au système, l’est-il ? Votre ordinateur doit être protégé. Ne parcourez jamais de sites web non fiables.

Les vulnérabilités de WordPress

Une fois votre site Internet WordPress mis en ligne, il faut suivre et appliquer les mises à jour de sécurité (changement de version de wordpress, mise a jour des plugins) et s’assurer que vous avez bien la dernière version wordpress car il est constamment mis à jour comme n’importe quel logiciel.

Les vulnérabilités du serveur

Les serveurs Web peuvent aussi être vulnérables. La meilleure façon de contourner cela est d’utiliser un hébergeur fiable et de bonne réputation. 

Les plugins & extensions sécurité 

En plus de toutes les vulnérabilités décrites ci-dessus, la vulnérabilité des plugins est la plus importante. Les plugins sont utilisés par de nombreux utilisateurs wordpress qui souhaitent rendre leur site plus attrayant en lui ajoutant de nouvelles fonctionnalités. Vous utiliserez probablement un ou deux plugins déjà. Mais comme pour tout autre chose que vous faites en ligne, vous devez être pleinement conscient des vulnérabilités potentielles de tout plugin que vous choisissez d’utiliser.

Voici quelques-uns des types les plus courants de vulnérabilités de sécurité WordPress :

Cross-site request forgery ( CSRF ) – oblige l’utilisateur à exécuter des actions indésirables dans une application Web de confiance.

Attaque par déni de service distribué ( DDoS ) – neutralise les services en ligne en les inondant de connexions indésirables, rendant ainsi un site inaccessible.

Contournement d’authentification – permet aux pirates d’accéder aux ressources de votre site Web sans vérifier leur authenticité.

Injection SQL ( SQLi ) – force le système à exécuter des requêtes SQL malveillantes et à manipuler les données dans la base de données.

Cross-site scripting ( XSS ) – injecte un code malveillant qui transforme le site en transporteur de logiciels malveillants.

Inclusion de fichiers locaux ( LFI ) – force le site à traiter les fichiers malveillants placés sur le serveur Web.

Update, Update, !!

Aucun plugin n’est invulnérable à une attaque. Les développeurs le savent autant que vous, et c’est pourquoi ils développent régulièrement de nouvelles mises à jour. Et vous devez maintenir vos plugins. La dernière version des plugins et extensions utilisés doit être installée.

Sécuriser WordPress est un effort permanent. Les plugins ne sont que la partie apparente de l’iceberg, il faut les maintenir à jour en permanence. 

2- La sécurité de wordpress : Codes malveillants & protection & extensions securite & clé securite wordpress & wordfence, sucuri

Voici donc la seconde partie traitant de la sécurité de wordpress. Dans la première partie, nous avions donné un aperçu général du monde de la sécurité WordPress, identifié quelques risques, puis nous avons concentré notre attention sur ​​la vulnérabilité des plugins. Dans la seconde partie nous examinerons la détection de logiciels malveillants et ce qu’il convient de faire pour se défendre contre les attaques.

WordPress est toujours l’une des solutions de gestion de contenu les plus populaires (CMS) utilisée par les entreprises, bloggeurs….  Quand un logiciel est aussi largement utilisé, il devient inévitablement une cible pour les spammeurs, les pirates et autres malveillants.

Il est donc essentiel de prendre toutes les mesures pour sécuriser votre site et pour se faire, vous devez vous assurer que votre site est régulièrement mis a jour, et le scanner afin de vous assurer qu’il ne véhicule pas de code, logiciels malveillants.

Les pirates ont un objectif en tête : infecter votre site avec des logiciels malveillants. 

Citons quelques menaces :

– Le phishing, wikipedia nous en propose une définition – « Il s’agit d’une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance .. afin de lui soutirer des renseignements personnels … :Elle peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques.. ».

– Pharma Hacks – Il s’agit d’une autre forme de piratage, une technique de spam. L’un des symptômes est l’ajout de pages fantômes à votre site internet. Ces pages utilisent votre thème, votre présentation. Elles présentent des médicaments, ou autres produits pharmaceutiques. Google indexe ces pages dans ses résultats de recherche. Votre site est ainsi transformé en usine à liens.

– Les redirections malveillantes – les visiteurs de votre site seront automatiquement redirigés vers un autre site qui sera utilisé pour essayer d’amener les gens à télécharger un fichier infecté.

– Backdoors – Comme l’explique très bien le site de wikipedia, « Dans un logiciel, une porte dérobée (de l’anglais backdoor, littéralement porte de derrière) est une fonctionnalité inconnue de l’utilisateur légitime, qui donne un accès secret au logiciel. L’introduction d’une porte dérobée dans un logiciel à l’insu de son utilisateur transforme le logiciel en cheval de Troie. »

Ce n’est pas une liste exhaustive. Les pirates sont des individus très compétents, il est donc absolument vital que vous preniez les mesures suivantes afin de tenir régulièrement votre WordPress aussi sécurisé que possible.

Détecter les malveillants

Il est très important de détecter, scanner les malveillants sur votre blog. Cette action devrait faire partie de votre routine quotidienne car elle est l’une des plus importante. Il faut le faire régulièrement. Même si vous pensez que votre wordpress est armé jusqu’aux dents ! La vérité est qu’il peut toujours présenter une petite faiblesse, une faille et c’est justement ce que les pirates recherchent.

Extensions securite wordpress wordfence & sucuri

Anti-Malware Security

L’extension Anti-Malware Security parcourt toute l’installation à la recherche des malwares et des virus. Par la suite, le plugin aide l’utilisateur à supprimer d’éventuels logiciels malveillants. L’extension AntiVirus fonctionne sur le même principe et sécurise WordPress en le protégeant contre les malwares et les virus. AntiVirus comble les failles de sécurités existantes et prévient les « exploits » éventuels, c’est-à-dire les exploitations systématiques de ces failles. Les administrateurs peuvent également utiliser cette extension pour réaliser des scans et des rapports réguliers. Il offre aussi la possibilité d’être informé par email lorsqu’un programme malveillant est détecté. Par ailleurs, une liste blanche peut être créée répertoriant les personnes et les institutions dignes de confiance. Une autre extension peut être utile dans ce domaine : Bad Behavior. Celle-ci permet d’empêcher les liens spam d’apparaître dans les forums et les livres d’or en bloquant les mails concernés avant que ceux-ci n’agissent.

Wordfence

Wordfence gère la plus grande base de données de logiciels malveillants spécifiques à WordPress au monde. En utilisant cette mine de renseignements, nous produisons des signatures de logiciels malveillants pour bloquer les tentatives d’intrusion, détecter les activités malveillantes et fournir une sécurité robuste pour votre site WordPress. Source : site internet wordfence

Sucuri Security

Sucuri Security – Audit, analyse de programmes malveillants et renforcement de sécurité. Source site internet Sucuri

Il y a déjà beaucoup d’éditeurs de sites wordpress qui utilisent ce plugin pour détecter les cades, logiciels malveillants. La version gratuite va scanner votre site web et détecter : les Malware, les injections malveillantes.
L’inconvénient de la version gratuite Sucuri Security est que vous devrez toujours lancer votre scan manuellement, mais bon… c’est déjà pas si mal ! Pour la version payante, vous pouvez automatiser vos scans et vous recevez par emails des alertes, si des malveillants sont détectés, c’est vrai que c’est mieux !

Défense

En résumé, une analyse régulière manuelle ou automatique est la première ligne de défense pour votre site – si vous ne savez pas que vous avez attaqué vous ne pourrez pas vous défendre. N’oubliez pas de faire des sauvegardes régulières de votre site Internet (fichiers du site et base de données). La sécurité WordPress est une entreprise à temps plein. Surveillez votre site régulièrement, pour être alerté rapidement et pouvoir évincer les malveillants….

3- Comment sécuriser wordpress ?

Pour beaucoup de propriétaires de sites Web – en particulier les débutants ou blogueurs occasionnels  – la sécurité est très rarement au sommet de leur liste de priorités. Pourtant toute personne qui a l’habitude de surfer sur Internet est conscient que les attaques sont bien réelles et peuvent occasionner de réels dommages. 

La popularité de wordpress est aussi sa faiblesse

WordPress est un des systèmes de gestion de contenu les plus populaires sur le web. Il est de ce fait une cible pour les spammeurs et les pirates. Un rapport très révélateur, publié par wp white security, il y a quelque temps montre que 70% des sites wordpress sont vulnérables aux attaques et que 170 000 sites ont été piratés en une seule année.

Pourquoi quelqu’un voudrait pirater votre site ?

Beaucoup de gens pensent que leur site ne présente aucun intérêt pour des pirates et que par conséquence leur site est a l’abri d’attaques éventuelles. Mais chaque site a une valeur pour un pirate.

Les pirates ne tentent pas simplement de voler votre mot de passe ou vos informations, ce qu’ils visent aussi c’est l’accès au serveur sur lequel votre site est installé. Votre site est un lieu de stockage, une bande passante, un point de départ pour des emails, pour des backlinks .. Pour relayer des virus, des spams.

Si cela arrive, votre serveur est utilisé comme relais et il sera mis en  liste noire par de nombreux fournisseurs de services Internet (FSI) et de services de messagerie.

Si vous pensez que votre site ne sera pas ou ne peut pas être piraté réfléchissez de nouveau ! Les pirates et les spammeurs sont toujours à la recherche de sites vulnérables qu’ils peuvent infiltrer et utiliser pour faire toutes sortes de choses désagréables.

C’est pourquoi nous avons pris le temps d’écrire cet article pour vous sensibiliser à la sécurité de WordPress et essayer de vous aider à rendre votre site plus sûr.

Voici présenté un tutoriel que chacun peut suivre pour protéger son site wordpress.

Sécuriser WordPress – Tutoriel

1. Mise à jour, update !!

Il est absolument impératif pour la sécurité de votre site de s’assurer que votre wordpress ainsi que tous les plugins que vous avez installés soient à jour avec les dernières versions. La plupart des mises à jour corrigent les bugs, les failles de sécurité. Les pirates gardent un œil sur ces mises à jour, tout autant que vous devriez le faire. Les cybercriminels écument le web à la recherche de sites qui ont omis d’être mis à jour, et quand ils les trouvent, ils les attaquent. Donc – mise à jour, mise à jour, mettre à jour !!

2. Ne pas utiliser « admin » pour votre nom d’utilisateur

Les paramètres par défaut de WordPress utilisent « admin », « administrator » comme login ou nom d’utilisateur pour vous authentifier avant d’accéder au tableau de bord, les pirates le savent. Si vous modifiez ce nom d’utilisateur, vous mettez en place une première barrière significative et vous bloquerez très facilement beaucoup d’attaques. Si vous installez WordPress pour la première fois, vous serez invité à fournir votre nom d’utilisateur pendant le processus. Si, toutefois, vous avez déjà un site WordPress, vous pourrez toujours changer votre nom d’utilisateur.
limitez le nombre de tentatives pour accéder à l’interface admin du site, et pour cela, il y a ce plugin Limit Login Attempts reload. Ce plugin arrête les attaques par force brute et optimise les performances de votre site en limitant le nombre de tentatives de connexion possibles.

3. Utiliser les mots de passe complexes

N’utilisez pas comme mot de passe : ‘mot de passe’ ou ‘123456’ ou ‘Abcdefg’ ou votre numéro de téléphone, date de naissance, anniversaire de mariage ou toute autre information tirée de votre compte Facebook. La meilleure chose à faire est d’utiliser un gestionnaire de mot de passe pour tous vos mots de passe en ligne. Ce point est important. Car un mot de passe complexe est efficace contre une attaque par force brute.

4. Choisir un hébergeur avec une bonne notoriété

Il y a tellement de sociétés d’hébergement qu’il peut être difficile de savoir lequel choisir. Donc, pour affiner votre recherche, trouver ceux qui mettent l’accent principal sur la sécurité. Il faut prendre en compte également par exemple, la configuration du serveur qui doit configuré pour utiliser un réseau sécurisé et des protocoles de chiffrement de transfert de fichiers comme SFTP au lieu de FTP afin de cacher le contenu sensible aux intrus malveillants.

5. Utiliser la dernière version de PHP

PHP est le langage de programmation principal sur lequel WordPress est bâti. La version de PHP sur laquelle votre site tourne est gérée au niveau du serveur par l’entreprise qui héberge votre site. Il est important d’utiliser la dernière version PHP sur votre serveur. Les avantages d’utiliser la dernière version PHP :

  • WordPress sera plus rapide
  • Il est mieux sécurisé et mieux protéger

6. Utiliser HTTPS pour les connexions chiffrées & Certificat SSL

Un moyen de renforcer la sécurité de wordpress est d’installer un certificat SSL et d’exécuter votre site sur HTTPS (Hyper Text Transfert Protocol Secure). WordPress présente une connexion sécurisée.

7. Modifier les permissions des fichiers sur le serveur

Vous pouvez utiliser le plugin iThemes Security, cette extension vous permet de sécuriser wordpress et d’activer les bons paramètres. IThemes Security permet également de mettre en place l’authentification à deux facteurs (2FA). 

NOTE : Les recommandations concernant les permissions de fichiers et de dossiers dans WordPress. 

  • Tous les fichiers doivent être 644 ou 640. Exception : wp-config.php doit être 440 ou 400 pour empêcher les autres utilisateurs du serveur de le lire.
  • Tous les dossiers doivent être en 755 or 750.
  • Aucun dossier ne devrait jamais être en 777, même les dossiers de téléchargement.

8. Modifiez le préfixe de votre base de données

Si vous utilisez les assistants d’installation via votre hébergeur, vous allez installer wordpress avec des paramètres de configuration par défaut comme les préfixes de la base de données, le préfixe attribué à votre base de données MySQL est wp_ . Ceux-ci sont bien connus par les pirates, vous avez donc besoin de les changer pour vous protéger. Vous pouvez le faire vous-même, en utilisant PhpMyAdmin.
Une fois le préfixe modifié, n’oubliez pas de faire une modification dans le fichier : wp-config.php
Et de mettre à jour cette ligne : $table_prefix = ‘wp_’;

9. Bloquer la navigation de vos dossiers WordPress

Bloquez l’accès au contenu de vos dossiers par défaut – comme /wp-content.

10. Le fichier Htaccess

Ce fichier est installé à la racine du site, là où se trouvent les dossiers wp-admin, wp-includes et wp-content sur votre serveur.
Vous y accédez avec votre client FTP, Filezilla par exemple.

Il est important de créer le fichier .htaccess lors de l’installation de wordpress. 

11. Sauvegarder régulièrement votre site WordPress

Faites des sauvegardes régulières de votre site WordPress. Sauvegardez la base de données, les fichiers et dossiers depuis le panel d’administration de votre hébergeur, il peut disposer d’un outil de sauvegarde.

Des extensions de sauvegarde WordPress vous permettent de récupérer vos sauvegardes via FTP ou de les intégrer à une source de stockage externe comme Google Drive ou Dropbox. 

UpdraftPlus : Cette extension simplifie les backup ou sauvegardes et la restauration. Les sauvegardes sont programmées. Elles sont stockées dans le cloud.

Voila donc quelques conseils pour sécuriser son site wordpress …

12- Extensions – Des solutions clés en main pour la sécurité sur WordPress

Les solutions clés en main combinent des fonctions de sécurité diverses et variées dans une seule extension de sécurité WordPress. Leur but est d’éviter les failles de sécurité et de combler celles déjà existantes, autrement dit, de sécuriser WordPress au maximum. L’avantage de ces solutions clés en main telles que iThemes Security est qu’elles sont accessibles aux utilisateurs peu expérimentés. Leurs fonctions essentielles exigent très peu de connaissances. On peut citer en exemple l’extension WP Security Plugin, simple d’utilisation et qui surveille les sites Internet face aux risques potentiels. En plus d’identifier les problèmes, le plugin envoie aux utilisateurs des recommandations et des outils pour les résoudre.

Les multiples fonctions de ces extensions conviennent aussi à des utilisateurs expérimentés. Le plugin Acunetix WP Security propose par exemple un générateur de mots de passe ainsi qu’un outil de base de données. L’extension Bulletproof Security permet de se défendre contre des attaques spécifiques telles que XSS, RFI, CRLF, CSRF, Base64, des injections de codes et des injections SQL. Les codes sources importants sont par conséquent protégés.

Ressources mentionnées

Chaque projet est unique, souhaitez-vous un devis ?

Parlez-moi de votre projet
Retourner en haut de la page