Comment sécuriser un site WordPress ?

Comment sécuriser un site WordPress ?

Mois : février 2019

Tout a été écrit sur WordPress. J’ai vu dans plusieurs articles que WordPress n’était pas sûr, mais malheureusement la plupart de ces articles ne sont pas documentés étant fondés sur rien d’autre que des avis personnels. Mais que veut dire la sécurité pour un CMS comme WordPress?

La difficile position de leader du marché

WordPress est depuis longtemps le CMS le plus utilisé d’internet selon W3Techs. En 2018, WordPress occupait entre 59 et 60% du marché, suivi par Joomla avec un facteur 10 fois moindre. Pour une personne qui essaie de créer un outil de hacking, exploiter des failles, ce n’est pas intéressant de s’attaquer à Ektron qui représente 0,1% du marché. Le nombre de sites pouvant être exploités sera bien plus faible. De plus, le retour sur investissement est important pour les hackers, et de ce fait, un leader du marché (comme WordPress) sera bien plus souvent visé.

L’hébergement et la maintenance

WordPress peut être utilisé comme une plateforme toute intégrée (WordPress.com) de façon similaire au Wix et aux autres Weebly, Squarespace etc. Il n’est alors pas possible d’accéder aux serveurs ou aux fichiers : vous pouvez simplement configurer votre site et cela réduit le risque d’erreur.

Mais WordPress c’est aussi WordPress.org, le projet open-source que vous pouvez installer vous-même où vous le souhaitez. Et là, les choses se compliquent. Côté hébergeur premièrement : il n’est pas rare de voir encore des serveurs qui font fonctionner du PHP 5.2 (Non supporté depuis longtemps : http://php.net/supported-versions.php ce qui veut dire plus aucune mise à jour de sécurité depuis des années). Puis, au niveau du concepteur du site : est-ce que l’installation a été faite correctement ? Les droits sur les fichiers ont-ils été établis de manière optimale ? Et sur le long terme : est-ce qu’un plan de maintenance a été établi pour mettre à jour les différents composants technologiques du projet ? Car si vous ne surveillez pas la sécurité depuis plusieurs années, vous êtes certainement à risque, mais cela aurait été aussi le cas avec tous les autres CMS.

Montrer pattes blanches…

Des gens mal intentionnés vont essayer de rentrer dans votre WordPress avec un compte admin. Bien entendu, évitez d’avoir un compte nommé « admin » dont le mot de passe est « admin » 😉 Pour éviter une attaque par dictionnaire (quelqu’un essaie toutes les possibilités de mot de passe), vous pouvez installer différents plugins qui demandent en plus la résolution d’un Captcha, ou qui bloquent après plusieurs essais infructueux, ou bien utiliser un 2ème facteur d’authentification (SMS par exemple).

Limiter la surface d’attaque

Avez-vous vraiment besoin de 30 plugins activés provenant de 30 développeurs différents ? Vous avez plusieurs comptes administrateurs actifs auxquels certaines personnes ne se connectent plus depuis des mois… Ne laissez pas des portes inutiles, même si vous pensez qu’elles sont bien fermées ! Désactivez ces comptes et réduisez le nombre de plugins au strict minimum.

Être prêt pour le pire…

La sécurité passe aussi par la prévention… N’oubliez pas de faire des backups réguliers de vos fichiers et de votre base de données. Allez-vous le faire vous-même vraiment ? Non, les bonnes intentions feront que vous allez le faire 2-3 fois durant le premier mois et puis le renvoyer aux calendes grecques. Une solution existe : automatisez-le ! Des supers plugins sont disponibles pour vous déposer un backup à l’emplacement de votre choix. Votre ordinateur n’est pas tout le temps en ligne ? Pas de soucis… vous pouvez faire déposer votre sauvegarde dans votre Dropbox selon une récurrence que vous pouvez choisir.

En conclusion

WordPress n’est pas une passoire de la sécurité, c’est un outil. Si vous l’utilisez mal, effectivement vous aurez des soucis ! Toutefois, utiliser un autre CMS ne sera pas la solution. Pensez à augmenter votre niveau de sécurité.