⇒Tuto N°: 22/25 – Comment sécuriser son site WordPress ?

Parce qu’il s’agit d’un moteur open source bien connu des hackers, les sites web animés par WordPress font l’objet de multiples attaques en permanence. Limitez les brèches de sécurité et dressez un véritable rempart contre les pirates.

WordPress alimente plus d’un site web sur quatre : la solution étant gratuite et accessible à tous, de très nombreux pirates l’ont examinée sous toutes les coutures afin d’identifier des failles de sécurité. Ajoutez à cela les milliers d’extensions que l’on retrouve sur le marché et qui ne font l’objet d’aucun contrôle spécifique, et vous comprenez pourquoi WordPress s’apparente parfois à un morceau de gruyère ; les hackers exploitent ces failles pour prendre le contrôle de votre site et, au mieux l’inonder de spams ou, au pire, le mettre totalement à genoux. Dans la plupart des cas, ce ne sont pas des as du piratage : sur des sites web frauduleux, on retrouve des kits prêts à l’emploi qui permettent de tester et d’exploiter la plupart de ces failles sans la moindre connaissance technique. Il existe aussi des méthodes d’attaque par «force brute» ; des PC zombies testent successivement des dizaines de milliers de mots de passe jusqu’à découvrir celui de votre compte d’administrateur. Il existe heureusement des solutions efficaces contre ce type de menaces, même si aucune mesure n’est fiable à 100%. Pour cette raison, vous avez d’ailleurs intérêt à sauvegarder régulièrement votre site web (reportez vous à l’article Comment sauvegarder son site internet WordPress ?)

01 – Choisir un mot de passe complexe dans WordPress

Premier bon réflexe : remplacez le mot de passe de votre compte d’administrateur par une formule plus longue et plus complexe, que les hackers vont avoir plus de difficultés à deviner. Retenez qu’ils utilisent généralement des «dictionnaires» avec des milliers d’expressions courantes ; choisissez une succession de lettres, de chiffres et de signes de ponctuation. Cliquez sur Utilisateurs, sélectionnez votre compte puis cliquez sur le bouton « Générer un mot de passe ».

02 – Désactiver les extensions inutiles de WordPress

Prenez également le temps de désinstaller les extensions que vous n’utilisez pas : leurs fichiers sont toujours présents sur votre serveur et certains de leurs scripts peuvent constituer des failles de sécurité. Pour cela, reportez-vous à la section Extensions puis cliquez sur le lien Désactiver sous les entrées que vous souhaitez supprimer. Ce lien se voit ensuite remplacé par la mention « Supprimer ». Validez l’opération et renouvelez-la pour tous les éléments concernés.

03 – Supprimer les thèmes superflus dans WordPress

La menace est moindre, mais vous avez tout de même intérêt à la juguler : les thèmes que vous n’utilisez pas occupent eux aussi de la place et s’accompagnent de nombreux fichiers, dont certains scripts pour les plus ambitieux d’entre eux. Reportez-vous à la section Apparence > Thèmes et cliquez sur le bouton « Détails du thème » pour tous les éléments désactivés. Cliquez ensuite sur le bouton Supprimer, en bas à droite de la description.

04 – Sécuriser les commentaires dans WordPress

Nous avons déjà vu la procédure à dans l’article : ⇒Tuto N°: 18/25 – Comment sécuriser les commentaires sur WordPress ? Mais un rappel est ici utile : pensez à sécuriser les commentaires afin d’éviter une nuée de spams. Cliquez sur Réglages > Discussion et obligez les utilisateurs à disposer d’un compte personnel en cochant la case « Un utilisateur doit être enregistré et connecté pour publier des commentaires ». Complétez en cochant la case « Le commentaire doit être approuvé manuellement » et envisagez d’installer une extension de Captcha.

05 – Installer un pare-feu dans WordPress

Pour renforcer la sécurité de votre site web, vous avez intérêt à faire appel à une extension spécialisée. Nous vous recommandons WordFence, l’un des meilleurs pare-feu du genre : reportez-vous à la section Extensions et cliquez sur le bouton Ajouter. Dans le champ de recherche en haut à droite. saisissez « WordFence » puis cliquez sur le bouton Installer face au premier résultat. A l’issue du téléchargement des fichiers nécessaires, cliquez sur Activer.

06 – Recevoir des alertes sécurités de WordPress

Sitôt l’extension activée, une fenêtre pop-up vous demande de renseigner une adresse e-mail sur laquelle vous recevrez des alertes : saisissez-la dans le champ correspond puis validez en cliquant sur le bouton « Get Alerts ». Vous recevrez ainsi automatiquement des messages lorsque quelqu’un réussit à se connecter a l’interface d’administration de votre site web ou s’il échoue après vingt tentatives successives infructueuses. De bien précieux indices !

07 – Analyser votre site web WordPress

WordFence va périodiquement analyser l’ensemble des fichiers de votre site web, a la recherche d’éventuelles modifications frauduleuses. Il les compare en réalité avec leurs versions d’origine, telles qu’on les retrouve sur le site officiel de WordPress : c’est un système très pratique pour déceler les intrusions et rétablir les versions correctes des scripts de votre site. Cliquez sur WordFence > Scan puis sur le bouton « Start a WordFence Scan » pour lancer l’analyse.

08 – Mettre à jour vos extensions dans WordPress

Parmi les notifications que vous êtes susceptible de recevoir de la part de WordFence par courrier électronique ou les résultats qui figurent à l’issue de l’analyse précédente, vous retrouverez souvent une série de mises à jour à appliquer. Là encore, WordFence vérifie la parution de mises à jour pour vos extensions et vous invite chaudement à les appliquer. Procédez éventuellement à une sauvegarde de votre site avant d’effectuer cette opération.

09 – Vérifier le trafic en temps réel dans WordPress

L’une des forces maîtresses de WordFence tient a la possibilité de suivre en direct l’origine de vos visiteurs. Reportez-vous à la section WordFence > Live Traffic. Les codes couleur: vous renseignent sur le type de visites et vous remarquez parfois que de multiples tentatives proviennent d’un pays étranger et cherchent à atteindre une page inexistante. Vous découvrez au passage la provenance de chaque visiteur ainsi que son type de navigateur et son système d’exploitation.

10 – Bloquer des adresses IP dans WordFence

Une connexion vous parait suspecte ? Cliquez sur le bouton « Block this IP » sous l’entrée correspondante. Reportez-vous ensuite à la section WordFence > Blocked IPs. Le blocage ne dure par défaut que cinq minutes : cliquez sur le lien « make permanent » face a l’adresse IP que vous avez bloquée pour interdire définitivement l’accès à votre site à ce pirate. Évidemment, les hackers utilisent une grande variété d’adresses IP et vous devrez donc être vigilant pour en bloquer le plus possible.

11 – Diagnostiquer votre site web WordPress

Outre l’analyse régulière (et automatiquement reconduite chaque jour !) des fichiers de votre site web, comme nous l’avons à l’étape 7,vous pouvez établir un diagnostic complet de toutes les fonctionnalités de votre serveur web. Reportez-vous à la section WordFence > Diagnostics. vous profiterez d’une vue extrêmement complète des capacités de votre installation de WordPress. Certains détails sont très techniques. interrogez votre hébergeur en cas d’anomalie.

12 – Configurer les options avancées de WordFence

Dans la rubrique Firewall, vous retrouvez les réglages généraux du pare-feu : par défaut. il est en mode « apprentissage » et crée successivement les règles les mieux adaptées à votre site web. Cliquez également sur la section Options pour adapter les réglages : il est notamment possible de prolonger le blocage d’une adresse IP, d’ajouter d’autres types de notifications que vous recevrez par e-mail ou de tester d’autres types d’éléments lors de l’analyse journalière.