Comment bien sécuriser son WordPress ?

La sécurité d’un site internet est primordiale pour éviter les attaques (malheureusement souvent incessantes) des pirates informatiques. Ce sont près de 2/3 des sites WordPress qui ne sont pas suffisamment sécurisés et exposés aux attaques chaque année. Il y a en l’occurrence des centaines de milliers de ces sites qui sont piratés. Sachant que les sites WordPress constituent des cibles de prédilection, il importe de bien les sécuriser. Voici les astuces pour bien sécuriser son WordPress :

  1. Faire ses mises à jour WordPress
  2. Modifier ses identifiants
  3. Opter pour le https
  4. Désactiver le rapport d’erreur PHP
  5. Installer un WAF

 

Qu’est-ce qu’un WordPress ?

De prime abord, il est utile de savoir de quoi il est question lorsqu’il s’agit d’un WordPress. Pour faire simple, WordPress est un outil permettant de gérer aisément un site web.

securite wordpress
Sécurité WordPress

Définition de WordPress

WordPress est un système de gestion de contenu ou CMS (Content Management System) gratuit. C’est un logiciel écrit en PHP qui est basé sur des données MySQL. La société American Automattic est celle qui a le privilège de distribuer WordPress à travers le monde. Grâce à cet outil, il est possible de gagner du temps au niveau du développement lors de la création d’un site Web, mais aussi d’ajouter beaucoup plus facilement des pages. Même les novices peuvent créer des sites internet dynamiques. WordPress est le CMS le plus utilisé au monde.

Par ailleurs, WordPress n’est pas le seul CMS disponible sur la toile. En effet, il en existe d’autres comme Joomla son concurrent principal, mais aussi Drupal, TYPO3 et d’autres. Cependant, WordPress reste le leader en matière de gestion de contenu. C’est la raison pour laquelle il est fréquemment utilisé par la plupart des administrateurs de sites Web. Sa console de gestion très claire offre à ses clients la possibilité de gérer facilement leurs sites.

Les fonctionnalités essentielles de WordPress

WordPress facilite le quotidien des gestionnaires de sites internet dans la mesure où il présente des fonctionnalités utiles et pratiques : le travail seul ou en groupe sur un même document, la modification de l’aspect du site sans toucher les styles CSS, la simplification des opérations de gestion de la forme et du contenu, une interface disponible en plusieurs langues, un bon niveau de sécurité amélioré par bon nombre d’extensions gratuites ou payantes.

En dehors de ces aspects, WordPress offre une facilité de gestion digitale unique. Il propose :

☆ une facilitation pour la publication des articles,

☆ un guide pour mieux gérer le contenu du site,

☆ une gestion simple et intuitive de l’ensemble des médias grâce à la bibliothèque de médias intégrée,

☆ une simplicité d’installation et une disponibilité de mises à jour,

☆ une simplicité pour optimiser le référencement naturel des sites,

☆ une utilisation simplifiée permettant à tous les utilisateurs d’opérer directement et simultanément des tâches sur le site.

Il apparait ainsi que WordPress présente de nombreux avantages pour la gestion d’un site. Toutefois, il existe des failles en matière de sécurité, même s’il s’agit du CMS le plus répandu au monde !

 

La sécurité d’un WordPress en 2020 (principales attaques)

Il faut avant tout mettre en lumière les principales failles de sécurité Web sur le CMS WordPress. En effet, cet outil prisé n’est pas pour autant exempt d’attaques informatiques. Il convient donc de se pencher sur les attaques qu’a pu enregistrer WordPress en cette année 2020.

securiser site wordpress
Securiser son site wordpress

 

✖ Les principales attaques en 2020 ✖

Selon les résultats de récentes enquêtes effectuées auprès de la communauté WordPress :

  • plus de 40 % des sites internet sont victimes d’attaques informatiques principalement à cause de leur hébergement,
  • 20 % à 30 % des utilisateurs subissent des piratages par le biais de leurs extensions ou plug-ins installés,
  • 10 % des sites WordPress utilisent des extensions offrant des mots de passe d’un faible niveau de sécurité qui garde par exemple comme nom d’utilisateur « admin ».

En outre, la journée du 28 avril 2020 a enregistré une recrudescence des attaques sur les sites WordPress. Celles-ci avaient pour principales cibles les failles Cross-Site Scripting (XSS). Au fil des jours, ces failles de sécurité se sont accentuées. Dès lors, il y a eu plus d’un demi-million de sites WordPress qui ont subi plus de 20 millions d’attaques.

Le rapport de l’équipe chargée de l’assurance qualité chez WordPress a fait mention que les pirates informatiques étaient essentiellement focalisés sur l’exploitation des failles XSS dans des extensions ayant été auparavant corrigées. Toutefois, cette année ne marque pas la floraison des failles de sécurité Web chez WordPress.

 

✖ Les anciennes failles WordPress ✖

Le CMS le plus utilisé au monde a fait l’objet d’attaques informatiques révélant du même coup plusieurs failles de sécurité. Des campagnes antérieures ont été ainsi remises sur la table en 2020 comme des cibles des attaques informatiques. Au rang de celles-ci figurent notamment :

→ une faille XSS au niveau de l’extension Easy2Map retirée de WordPress depuis août 2019,

→ une faille XSS sur le plug-in Blog Designer réparée en 2019,

→ un faible niveau de sécurité dans la mise à jour des options de WP GDPR Compliance revisité en fin 2018,

→ une vulnérabilité de mise à jour au niveau de Total Donations qui a été supprimé au début de l’année 2019,

→ une faille XSS sur le thème des journaux qui a été réparée il y a 4 ans de cela.

WordPress est la cible de nombreuses attaques de la part des hackers malveillants. Fort de ce constat, il faut savoir sécuriser son site WordPress.

 

Ce qu’il faut faire pour sécuriser un site WordPress

Après s’être fait une idée des risques auxquels sont exposés les sites WordPress, il convient de mettre en exergue la manière de les sécuriser. Fort heureusement, il existe plusieurs méthodes efficaces dans la sécurisation d’un site WordPress.

Mises à jour WordPress

Bon nombre d’extensions pour augmenter la sécurité d’un site WordPress sont disponibles. Toutefois, le premier niveau de sécurité à mettre en place est tout simplement de mettre à jour son WordPress. En effet, il s’agit d’une défense élémentaire qui est d’ailleurs à la portée de tous. Une fois que ce principe de base est mis en application et que les mises à jour sont faites, il est possible d’employer des extensions ou des logiciels de sécurité pour renforcer la sécurité de son site.

mise à jour wordpress
Notification de mise à jour WordPress

La modification des identifiants

Une autre technique à la fois simple et efficace consiste à modifier les identifiants de connexion du site WordPress. En effet, ils sont enregistrés par défaut lors de la création de la plateforme. Ainsi, faute de modification avec des noms et des mots de passe personnalisés, un hacker peut facilement mener une attaque sur un site WordPress. Sans modification de la part des administrateurs, « admin » reste en l’occurrence le nom d’utilisateur. Cette situation constitue une faille de sécurité en soi.

Pour modifier les identifiants, la procédure consiste simplement à suivre les étapes suivantes :

  1. se rendre sur le tableau de bord ;
  2. cliquer sur l’onglet « utilisateur » pour ajouter un nouvel utilisateur ;
  3. insérer un identifiant et un mot de passe personnalisés et peu faciles à deviner ;
  4. leur conférer le statut d’administrateur ;
  5. se reconnecter en utilisant les nouveaux identifiants ;
  6. supprimer les anciens identifiants.
utilisateurs wordpress
Modification des utilisateurs WordPress

 

Opter pour le https

Les termes qui composent l’URL d’un site WordPress sont définis par défaut. Ils se présentent en général en commençant par HTTP. Cela signifie en langage informatique que le site en question n’utilise pas de certificat SSL pour la sécurité des données et devient par conséquent vulnérable aux attaques.

En guise d’illustration, les mots de passe voire les numéros de carte de crédit présents sur un tel site n’ont aucune sécurité face aux menaces informatiques. Ces données peuvent être facilement détournées par une personne mal intentionnée. En lieu et place, il faut opter pour le https qui utilise quant à lui le certificat SSL.

V6Protect vous offre un certificat SSL pour vous permettre de passer les URLs de votre WordPress en HTTPS.

site https ssl
Site en HTTPS

 

Désactiver le rapport d’erreur PHP

Il convient de noter que le langage utilisé pour la création d’un WordPress est appelé langage PHP. Il peut arriver quelques fois que des messages d’erreurs apparaissent sur certaines pages en mentionnant la nécessité de corriger des problèmes liés au nouveau du code. Le seul bémol est que lorsqu’une telle situation se produit, le chemin direct vers le serveur est exposé à toute sorte d’action, en l’occurrence le piratage.

La solution dans ce contexte consiste donc à désactiver le rapport d’erreur PHP. Pour cela, il suffit de modifier le code du fichier wp-config.php en se rendant à la racine du site WordPress par le biais d’un logiciel FTP.

 

Installez un WAF

Un  Pare-feu Applicatif Web (WAF) vous permettra de scanner le trafic entrant dans votre site web et de bloquer le trafic malveillant. Si vous pensez ne pas avoir assez de connaissances informatiques pour gérer la sécurité de votre site, vous vous trompez ! V6Protect vous propose une solution clé en main pour scanner, évaluer et protéger votre WordPress. Le firewall applicatif agit en temps réel et bloque immédiatement, sans aucune administration, 100% des attaques référencées par l’ OWASP (Open Web Application Security).

 

Ce qu’il faut éviter pour la sécurité d’un site WordPress

En vue de sécuriser un site WordPress, il est nécessaire d’éviter certains comportements qui pourraient le rendre plus vulnérable aux actes de piraterie. Il faut ainsi éviter :

✖ de laisser la version WordPress utilisée sans la mettre à jour lorsqu’il y a des mises à jour disponibles,

✖ de télécharger et d’installer des logiciels suspects, en particulier sur des sites pirates et espions,

✖ de se connecter à son site WordPress avec des réseaux wifi publics qui ne sont pas sécurisés,

✖ d’installer des extensions obsolètes sur son site WordPress,

✖ de choisir un hébergeur avec un faible niveau de sécurité.

 

En définitive, il existe une panoplie de risques d’attaques pour un site WordPress. Ceux-ci peuvent l’affecter considérablement jusqu’à entraîner une perte totale de données. Il importe donc d’adopter des mesures de protection afin d’accroître le niveau de sécurité de son site WordPress. En plus de toutes ces précautions, un WordPress n’est malheureusement pas complètement sécurisé…

V6Protect vous propose une protection automatisée de votre site web par l’Intelligence Artificielle. Pour mettre votre site à l’abri des éventuelles attaques, prenez contact avec nous !

Protégez votre WordPress avec V6Protect