Aujourd’hui nous allons discuter de la sécurité WordPress, un sujet très souvent négligé par la plupart des webmestres et développeurs web.
Bonjour à vous, amateurs et professionnels du monde informatique. Si tu es tombé sur cet article, c’est que tu te posais la question tout comme moi : quelle est la meilleure façon de sécuriser ton site WordPress afin de prévenir des attaques potentielles ou le vol de données ?
Un succès sans précédent
WordPress est certainement le CMS le plus utilisé dans le monde. On parle ici de plus de 20 % des sites web mondiaux qui tournent sur WordPress.
De ce fait, une faille de sécurité applicative qui pourrait naître soit au niveau du logiciel cœur de WordPress, soit de l’une de ses multiples extensions, pourrait créer un gros préjudice à des millions d’utilisateurs à travers le monde.
La pratique courante lorsqu’on conçoit un site web est de mettre l’accent sur le côté fonctionnel et très souvent la partie sécurité est négligée.
La sécurité de votre site WordPress est primordiale, surtout si vous gérez des données sensibles telles que des informations personnelles de vos clients, les données de cartes de crédit ou les préférences de navigation de vos utilisateurs.
Contexte Légal
La sécurité WordPress devient même un enjeu majeur car le contexte légal de plusieurs pays à travers le monde réserve de lourdes sanctions en cas de non-respect de la conformité aux lois sur la protection des données personnelles.
En Europe, nous avons le Règlement Général sur la Protection des Données qui établit des règles sur la collecte et l’utilisation des données des utilisateurs au sein de l’Union Européenne. Toute entreprise qui gère les données des utilisateurs au sein de l’UE doit s’y conformer, même si ces entreprises ne sont pas établies au sein de l’UE.
Les amendes peuvent aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires mondial annuel de l’année précédente de l’entreprise, selon le montant le plus élevé.
Au Québec, l’équivalent de cette loi serait la Loi 25 ; en Australie, la loi la plus pertinente est la Privacy Act 1988, qui comprend les Principes de la vie privée de l’Information (Privacy Principles) qui régissent la collecte, l’utilisation et la divulgation des informations personnelles.
Tout ça pour vous dire que la sécurité n’est plus une option car non seulement elle renforce la confiance que vos clients ont en vos solutions, mais également elle vous permet d’éviter des problèmes légaux qui pourraient vous suivre toute votre vie.
Maintenant regardons ensemble les différentes astuces que vous pouvez utiliser afin d’augmenter la sécurité de votre site WordPress.
Vérifier si la sécurité du site WordPress n’a pas été compromise
Avant d’aborder les différentes méthodes de sécurisation d’un site WordPress, commençons par voir comment vérifier si votre site WordPress a été piraté.
Rien ne sert de protéger un site WordPress qui a déjà été compromis, car il sera nécessaire de procéder à un nettoyage avant d’implémenter des mesures de contrôle pour protéger l’intégrité de votre site WordPress.
Vérification des utilisateurs étrangers
Rendez-vous dans la section Utilisateurs de votre site WordPress et vérifiez la liste des utilisateurs. Comparez les utilisateurs actuels avec ceux de votre registre d’utilisateurs pour ce site WordPress. Si les deux listes concordent, tout est en ordre de ce côté.
Cela constitue une indication grave de compromission, signifiant que votre site WordPress est utilisé par une entité autre que vous. C’est le moment de procéder à un scan complet de votre site afin de trouver la source de la compromission. Nous examinerons comment nettoyer un site WordPress qui a été infecté par un piratage informatique dans un autre article.
Surveillance des redirections potentielles de domaine
Essayez de naviguer sur votre site en tant qu’invité à partir de différents appareils (tablettes, ordinateurs, mobiles) et observez s’il y a des redirections vers un site tiers.
La plupart du temps, le site vers lequel vous êtes redirigé est un site de jeux en ligne, pour adultes ou publicitaire.
Si vous êtes confronté à cette situation, vous êtes probablement victime d’une attaque par injection JavaScript. Pour en savoir plus sur ce type d’attaques, veuillez consulter le lien suivant :
https://fr.wikipedia.org/wiki/Injection_de_code_dans_les_applications_web
Encore une fois, nous examinerons comment procéder au nettoyage d’un site WordPress affecté par ce type d’attaque dans un prochain article.
Faire un inventaire de vos extensions
Les extensions WordPress sont très importantes pour ajouter des fonctionnalités à notre site WordPress.
Toutefois, dans certains cas, des surprises peuvent survenir avec des extensions étrangères ou non installées initialement.
Comme mentionné au point 1, comparez les extensions actuellement sur votre site avec votre liste par défaut fournie par votre développeur web pour vérifier les ajouts éventuels.
Une autre méthode consiste à vérifier la date d’installation des extensions. Si vous utilisez un hébergeur web, vous pouvez souvent le voir dans votre cPanel, comme illustré ci-dessous :
Généralement, les extensions légitimes sont installées autour de la même date que la conception du site web. Bien sûr, d’autres extensions peuvent avoir été ajoutées par la suite. Confirmez cela avec votre webmestre si vous ne gérez pas directement votre site internet.
Vérifier la liste de vos tâches cron
Cette partie n’est pas toujours évidente à vérifier, mais elle peut vous causer énormément de préjudice si elle est laissée à l’abandon. Une tâche cron de base est une opération planifiée dans Linux qui s’exécute à des intervalles réguliers. Cependant, il existe une fonctionnalité cron au sein de WordPress qui s’exécute en fonction de la configuration de votre fichier wp-config.php. Normalement, vous avez accès à vos tâches cron directement depuis votre cPanel. La liste est censée être vide.

Si jamais vous trouvez une tâche dans votre liste, il se pourrait que cela ait été ajouté par votre webmestre ou quelqu’un de votre équipe.
En cas de compromission de votre site web ou de l’hébergement, vous pourriez rencontrer une fenêtre qui ressemble à celle ci-dessous, avec plein de caractères en base64 obfusqués.
Ce qui est un signe imminent de compromission de données.

Sécuriser son Site WordPress
Maintenant, nous allons regarder les différents moyens de sécuriser votre site WordPress.
Activer les mesures de sécurité de votre hébergeur web
Généralement, la plupart des hébergeurs web comme GoDaddy, Webhoster, Namecheap, etc. possèdent une interface qui vous permet de gérer facilement vos sites WordPress (par exemple, Softaculous). À travers cette interface, il vous est possible d’appliquer certaines mesures de sécurité de base sur votre site internet.

En choisissant l’Option « All », vous appliquez toutes les mesures qui sont les suivant dans le même ordre;
- Changer le nom d’utilisateur administrateur par défaut
- Restreindre l’accès aux fichiers et dossiers
- Blocker l’accès au fichier xmlrpc.php
- Bloquer l’accès au fichier .htaccess et .htpasswd
- Désactiver les « Pingbacks ». Une option qui permet à d’autres site wordpress de laisser automatiquement les commentaires sur votre site.
- Désactiver la modification des fichiers dans le panneau wordpress
- Empêcher le scan des auteurs
- Empêcher la navigation de repertoire
- Empêcher l’execution des scripts PHP dans le répertoire wp-includes
- Empêcher l’execution de scripts PHP dans le répertoire wp-content/uploads
- Désactiver la concantenantion de scripts dans la panneau d’administration wordpress
- Bloquer l’accès à certain fichier sensible.
- Activer la protection par robot.
Toutes ces mesures représentent des précautions préventives élémentaires qui vous permettront déjà d’éviter bon nombre d’attaques visant les vulnérabilités web.
Définir un mot de passe plus complexe
Il est vrai qu’aujourd’hui, il existe de nombreuses solutions, comme celle que nous verrons dans le point suivant, qui permettent de bloquer un compte après plusieurs tentatives infructueuses de combinaison nom d’utilisateur/mot de passe.
Toutefois, afin d’éviter que notre compte se retrouve en vente sur le dark web, il serait judicieux de définir un mot de passe complexe (au moins 10 caractères, composé de majuscules, minuscules, chiffres et caractères spéciaux).
Faire des Mises à jour régulières
Une autre manière efficace de contrer le piratage de votre site WordPress est de faire des mises à jour régulières du cœur de votre logiciel WordPress, de votre thème et de vos extensions. Les mises à jour contiennent généralement des correctifs pour des vulnérabilités applicatives. Ainsi, plus vous appliquez rapidement ces mises à jour, plus vous réduisez le risque de compromission de votre site.
Installer Wordfence
Wordfence est certainement le plugin qu’il vous faut pour gérer la sécurité de votre site WordPress. Non seulement il est gratuit, mais il propose également un éventail de fonctionnalités. Parmi les différentes fonctionnalités offertes par Wordfence, nous avons :
- Firewall d’application web (WAF) : Wordfence inclut un pare-feu d’application web qui peut identifier et bloquer le trafic malveillant avant qu’il n’atteigne votre site.
- Détection des attaques par force brute : Il surveille les tentatives répétées de connexion en force brute et peut bloquer les adresses IP suspectes.
- Protection contre les logiciels malveillants : Wordfence analyse les fichiers de votre site à la recherche de logiciels malveillants, de codes malveillants et de backdoors.
- Analyse de sécurité : Il effectue des analyses de sécurité régulières de votre site pour détecter les vulnérabilités potentielles et les problèmes de sécurité.
- Bloquage des attaques par DDoS : Wordfence peut détecter et bloquer les attaques par déni de service distribué (DDoS) en temps réel.
- Notifications de sécurité : Vous recevez des alertes par email lorsque Wordfence détecte des menaces ou des activités suspectes sur votre site.
- Protection contre les commentaires spam : Il inclut des outils pour réduire les spams dans les commentaires de votre site.
- Gestion des utilisateurs : Wordfence vous permet de voir tous les utilisateurs connectés à votre site en temps réel et de gérer leurs autorisations.
- Journalisation avancée : Il enregistre et surveille toutes les activités sur votre site, vous permettant de retracer les modifications et les événements importants.
- Support de la vérification en deux étapes : Vous pouvez ajouter une couche de sécurité supplémentaire en activant l’authentification à deux facteurs pour les comptes d’utilisateur.
Conclusion
Il existe d’autres mesures ou contrôles de sécurité plus avancés qui réduiront le risque de compromission de votre site WordPress. Toutefois, pour les besoins de cet article, nous allons nous limiter à ceux mentionnés ci-dessus. Il est également important de savoir qu’il n’existe pas de système totalement sécurisé à 100 %. Il subsistera toujours un risque résiduel une fois que les mesures de sécurité adéquates auront été mises en place.
Faire appel à un expert serait la prochaine étape si vous souhaitez renforcer davantage votre sécurité.
Merci d’avoir consulté cet article et n’hésitez pas à laisser un commentaire si cela vous a été utile.
Bon succès à vous dans votre aventure entrepreneuriale.