Blog – Comment bien sécuriser son wordpress ?

Comment bien sécuriser son wordpress ?

La sécurité d’un site internet est primordiale pour éviter les attaques incessantes des pirates informatiques. Selon les statistiques, ce sont près des 2/3 des sites WordPress qui sont exposés aux attaques chaque année. Il y a en l’occurrence des centaines de milliers de sites qui sont piratés. Sachant que les sites WordPress constituent des cibles de prédilection, il importe de bien les sécuriser. Voici ce qu’il faut savoir.

  1. Qu’est-ce qu’un WordPress ?
    1. Définition de WordPress
    2. Les fonctionnalités essentielles de WordPress
  2. Sécurité web WordPress en 2020
    1. Les principales attaques Web en 2020
    2. Les anciennes failles de sécurité Web
  3. Ce qu’il faut faire pour sécuriser un site WordPress
    1. L’utilisation d’extensions de sécurité
    2. La modification des identifiants
    3. Opter pour le https
    4. Désactiver le rapport d’erreur PHP
  4. Ce qu’il faut éviter pour la sécurité d’un site WordPress

 

Qu’est-ce qu’un WordPress ?

De prime abord, il est utile de savoir de quoi il est question lorsqu’il s’agit d’un WordPress. Le plus simple est de dire qu’il s’agit d’un outil permettant de mieux gérer un site internet.

Définition de WordPress

WordPress est un système de gestion de contenu ou CMS (Content Management System) gratuit. C’est un logiciel écrit en PHP qui est basé sur les données MySQL. La société American Automattic est celle qui a le privilège de distribuer WordPress à travers le monde. Grâce à cet outil, il est possible de gagner du temps au niveau du développement lors de la création d’un site web, mais aussi d’ajouter beaucoup plus facilement des pages. Même les novices peuvent créer des sites internet dynamiques avec WordPress, qui est le CMS le plus utilisé au monde.

Par ailleurs, WordPress n’est pas le seul CMS disponible sur la toile. En effet, il en existe d’autres comme Joomla son concurrent principal, mais aussi Drupal ou TYPO3. Cependant, WordPress reste le leader en matière de gestion de contenu. C’est la raison pour laquelle il est fréquemment utilisé par la plupart des administrateurs de sites web. Sa console de gestion très claire offre à ses clients la possibilité de mieux gérer leurs plateformes.

Les fonctionnalités essentielles de WordPress

WordPress facilite le quotidien des gestionnaires de sites internet dans la mesure où il présente des fonctionnalités utiles et pratiques. En voici quelques-unes :

  • le travail seul ou en groupe sur un même document,
  • la modification de l’aspect du site sans modifier les styles CSS,
  • la simplification des opérations de gestion de la forme et du contenu,
  • une interface disponible en plusieurs langues.

En dehors de ces aspects, WordPress offre une facilité de gestion unique. Il propose :

  • une facilitation pour la publication des articles,
  • un guide pour mieux gérer le contenu du site,
  • une gestion simple et intuitive de l’ensemble des médias grâce à la bibliothèque de médias intégrée,
  • une simplicité d’installation et une disponibilité de mises à jour,
  • une simplicité pour optimiser le référencement naturel (SEO) des sites,
  • une utilisation simplifiée permettant à tous les utilisateurs d’opérer directement et simultanément des tâches sur le site.

Il apparait ainsi que WordPress présente de nombreux avantages pour la gestion des sites internet. Toutefois, il existe des failles en matière de sécurité web sur le CMS le plus répandu au monde !

 

La sécurité web WordPress en 2020

Il faut avant tout mettre en lumière les principales failles de sécurité Web sur le CMS WordPress. En effet, cet outil prisé n’est pas pour autant exempt d’attaques informatiques. Il convient donc de se pencher sur les attaques qu’a pu enregistrer WordPress en cette année 2020.

Les principales attaques Web en 2020

Selon les résultats de récentes enquêtes effectuées auprès de la communauté WordPress :

→ plus de 40 % des sites internet sont victimes d’attaques informatiques principalement à cause de leur hébergement,
→ 20 % à 30 % des utilisateurs subissent des piratages par le biais de leurs extensions ou plug-ins installés,
→ 10 % des sites WordPress utilisent des extensions offrant des mots de passe d’un faible niveau de sécurité qui garde par exemple comme nom d’utilisateur « admin ».

En outre, la journée du 28 avril 2020 a enregistré une recrudescence des attaques sur les sites WordPress. Celles-ci avaient pour principales cibles les failles Cross-Site Scripting (XSS). Au fil des jours, ces failles de sécurité se sont accentuées. Dès lors, il y a eu plus d’un demi-million de sites WordPress qui ont subi plus de 20 millions d’attaques.

Le rapport de l’équipe chargée de l’assurance qualité chez WordPress a fait mention que les pirates informatiques étaient essentiellement focalisés sur l’exploitation des failles XSS dans des extensions ayant été auparavant corrigées. Toutefois, cette année ne marque pas la floraison des failles de sécurité Web chez WordPress.

Les anciennes failles de sécurité WordPress

Le CMS le plus utilisé au monde a fait l’objet d’attaques informatiques révélant du même coup plusieurs failles de sécurité. Des campagnes antérieures ont été ainsi remises sur la table en 2020 comme des cibles des attaques informatiques. Au rang de celles-ci figurent notamment :

→ une faille XSS au niveau de l’extension Easy2Map retirée de WordPress depuis août 2019,
→ une faille XSS sur le plug-in Blog Designer réparée en 2019,
→ un faible niveau de sécurité dans la mise à jour des options de WP GDPR Compliance revisité en fin 2018,
→ une vulnérabilité de mise à jour au niveau de Total Donations qui a été supprimé au début de l’année 2019,
→ une faille XSS sur le thème des journaux qui a été réparée il y a 4 ans de cela.

WordPress est la cible de nombreuses attaques de la part des hackers malveillants. Fort de ce constat, il faut savoir sécuriser son site WordPress.

 

 

Ce qu’il faut faire pour sécuriser un site WordPress

Après s’être fait une idée des risques auxquels sont exposés les sites WordPress, il convient de mettre en exergue la manière de les sécuriser. Fort heureusement, il existe plusieurs méthodes efficaces dans la sécurisation d’un site WordPress.

L’utilisation d’extensions de sécurité

Bon nombre d’extensions pour augmenter la sécurité d’un site WordPress sont disponibles. Toutefois, le premier niveau de sécurité à mettre en exergue est celui de la mise à jour du site internet. En effet, il s’agit d’une défense élémentaire qui est d’ailleurs à la portée de tous. Une fois ce principe de base assimilé, il est possible d’employer des extensions de sécurité, notamment Wordfence.

Le plug-in de sécurité Wordfence est recommandé pour le niveau de sécurité global qu’il offre aux sites Web. Il permet entre autres la vérification du trafic en temps réel et la sécurisation des connexions. Il offre en plus un pare-feu ainsi que des scans contre les logiciels corrompus. Avec cette extension, les administrateurs de sites WordPress disposent d’une analyse régulière. Cela permet surtout de prévenir toute attaque informatique et l’intrusion de virus.

La modification des identifiants

Une autre technique à la fois simple et efficace consiste à modifier les identifiants de connexion du site WordPress. En effet, ils sont enregistrés par défaut lors de la création de la plateforme. Ainsi, faute de modification avec des noms et des mots de passe personnalisés, un hacker malveillant a toute la latitude de mener une attaque sur un site WordPress. Sans modification de la part des administrateurs, « admin » reste en l’occurrence le nom d’utilisateur. Cette situation constitue une faille de sécurité en soi.

Pour modifier les identifiants, la procédure consiste simplement à suivre les étapes suivantes :

  1. se rendre sur le tableau de bord ;
  2. cliquer sur l’onglet « utilisateur » pour ajouter un nouvel utilisateur ;
  3. insérer un identifiant et un mot de passe personnalisés et peu faciles à deviner ;
  4. leur conférer le statut d’administrateur ;
  5. se reconnecter en utilisant les nouveaux identifiants ;
  6. supprimer les anciens identifiants.

Voilà en somme comment procéder pour modifier ses identifiants et réduire les risques d’attaques informatiques.

Opter pour le https

Les termes qui composent l’URL d’un site WordPress sont définis par défaut. Ils se présentent en général en commençant par HTTP. Cela signifie en langage informatique que le site en question n’utilise pas de certificat SSL pour la sécurité des données et devient par conséquent vulnérable aux attaques de pirates.

En guise d’illustration, les mots de passe voire les numéros de carte de crédit présents sur un tel site n’ont aucune sécurité face aux menaces informatiques. Ces données peuvent être facilement détournées par un hacker mal intentionné. En lieu et place, il faut opter pour le https qui utilise quant à lui le certificat SSL. Des extensions telles que Really Simple SSL permettent de changer aisément le type d’URL d’un site WordPress.

Désactiver le rapport d’erreur PHP

Il convient de noter que le langage utilisé dans la création des pages Web est appelé langage PHP. Il peut arriver quelques fois que des messages d’erreurs apparaissent sur certaines pages en mentionnant la nécessité de corriger des problèmes liés au nouveau du code. Le seul bémol est que lorsqu’une telle situation se produit, le chemin direct vers le serveur est exposé à toute sorte d’action, en l’occurrence le piratage.

La solution dans ce contexte consiste donc à désactiver le rapport d’erreur PHP. Pour cela, il suffit de modifier le code du fichier wp-config.php en se rendant à la racine du site WordPress par le biais d’un logiciel FTP. Néanmoins, en plus de savoir ce qu’il faut faire pour sécuriser un site WordPress, il est aussi intéressant de connaître ce qu’il faut éviter dans la même optique.

 

Ce qu’il faut éviter pour la sécurité d’un site WordPress

En vue de sécuriser un site WordPress, il est nécessaire d’éviter certains comportements qui pourraient le rendre plus vulnérable aux actes de piraterie. Il faut ainsi éviter :

→ de laisser la version WordPress utilisée sans la mettre à jour lorsqu’il y a des mises à jour disponibles,
→ de télécharger et d’installer des logiciels suspects, en particulier sur des sites pirates et espions,
→ de se connecter à son site WordPress avec des réseaux wifi publics qui ne sont pas sécurisés,
→ de ne pas installer des extensions de sécurité sur son site WordPress,
→ de choisir un hébergeur avec un faible niveau de sécurité.

En définitive, il existe une panoplie de risques d’attaque d’un site WordPress. Ceux-ci peuvent l’affecter considérablement jusqu’à entraîner une perte totale de données. Il importe donc d’adopter des mesures de protection afin d’accroître le niveau de sécurité de son site WordPress.

Malheureusement, toutes ces mesures ne s’avèrent pas toujours suffisantes à la vue de la diversité des menaces. En adoptant de bonnes dispositions, un site WordPress peut continuer à être à l’abri des éventuels actes de piraterie. V6Protect vous propose une suite d’outils qui vous permettra de protéger et de surveiller votre site WordPress. Notre outil Risk Analyzer et Threat Center vous permet de piloter aisément la sécurité de votre site. Gardez le cap en anticipant les risques de piratage !