Sécuriser un site WP : Protection de vos données et de votre notoriété
Si vous êtes propriétaire ou gestionnaire d’un site WordPress, vous savez pertinemment que la sécurité devrait toujours être votre priorité absolue.
En plus du risque sérieux de perdre votre entreprise, les pirates informatiques peuvent également dérober des données privées ou sensibles de vos utilisateurs et de vos journaux.
Cela peut avoir des conséquences graves sur la réputation et la crédibilité de votre marque, et peut même vous exposer à des conséquences juridiques.
Qu’il s’agisse d’une attaque DDOS, d’une injection de logiciel malveillant ou d’un détournement de mots de passe par force brute, il est probable qu’une multitude de personnes (et de bots) soient toujours à la recherche d’une cible.
Prendre toutes les mesures nécessaires pour sécuriser votre périmètre est essentiel pour minimiser tous ces risques. En ce qui concerne WordPress, il existe de nombreuses actions simples que vous pouvez entreprendre pour réduire considérablement les chances que la sécurité de votre site Web soit compromise.
Examinons-les de plus près.
Points-clés
Comment Protéger Votre Site WP Face Aux Menaces Cybernétiques
1. Comment Installer des Extensions WordPress
Avant d’explorer les différentes fa?ons d’améliorer la sécurité de votre site Web, il est essentiel de savoir comment installer des extensions dans WordPress. Bon nombre de ces conseils de sécurité impliquent l’installation d’un ou plusieurs de ces outils simples, et la procédure est relativement simple.
à partir du tableau de bord de votre site, rendez-vous sur la page Extensions : Ajouter une nouvelle extension.
Ici, vous avez deux options :
La première consiste à rechercher manuellement l’extension, à cliquer dessus et à l’installer.
Alternativement, vous pouvez télécharger manuellement l’extension depuis n’importe quel site web, puis la charger sur votre tableau de bord WordPress.
Lorsque vous téléchargez l’extension depuis un site web externe (comme le répertoire des extensions WordPress), elle se présentera sous la forme d’un fichier .zip. Cliquez sur le bouton Installer une extension en haut de l’écran, sélectionnez ce fichier, puis cliquez sur Installer maintenant.
Avis de Non-responsabilité et Conseils Préventifs
Veuillez noter que même si tous les plugins répertoriés dans cet article sont considérés comme s?rs et sécurisés, il existe toujours une possibilité qu’ils puissent entra?ner des conflits internes.
Ces conflits sont plus susceptibles de se produire si vous avez installé plusieurs plugins ou intégré des scripts personnalisés sur votre site web.
En tant que conseil général, si un plugin ne vous convient pas ou si vous êtes insatisfait de ses fonctionnalités, évitez d’installer un autre avec des fonctions similaires.
De nombreux plugins remplissent le même r?le, en particulier ceux dotés de fonctions multiples, tels que les filtres anti-spam agissant comme des pare-feu.
L’utilisation de deux plugins ayant le même objectif peut entra?ner des interférences, il est donc recommandé de choisir celui qui correspond le mieux à vos besoins et de désinstaller ou désactiver l’autre.
Vous pouvez effectuer cette opération depuis la page Extensions : Extensions installées en cliquant sur la fonction Désactiver dans la description du plugin que vous souhaitez désactiver.
Désactiver les Extensions WordPress
Il est possible de les réactiver de manière permanente ultérieurement, sauf si vous choisissez de les supprimer.
Dans tous les cas, veillez à toujours sauvegarder votre base de données avant d’installer quoi que ce soit sur votre site web afin de disposer d’une solution de secours en cas d’imprévu.
Si vous préférez ne pas installer un autre plugin pour sauvegarder votre site WordPress, vous pouvez le faire en toute sécurité depuis le tableau de bord de votre hébergeur. Les étapes exactes de la sauvegarde de votre site peuvent varier en fonction de vos services d’hébergement. Vous pouvez également procéder via votre gestionnaire de fichiers respectif, tel que cPanel, Plesk ou Webmin.
2. Protéger Votre Site contre les Attaques par Force Brute
L’une des situations les plus préoccupantes est le vol complet de votre site web par un cybercriminel. Les pirates informatiques chercheront à forcer l’accès à votre page de connexion en utilisant des attaques de force brute pour voler vos identifiants et accéder à votre base de données.
étant donné que, par défaut, toutes les connexions WordPress sont regroupées dans les mêmes deux sous-répertoires (/wp-admin ou /wp-login.php), il est facile pour eux de les localiser et de lancer une attaque visant à accéder illégalement à votre site.
Les URL de connexion par défaut pour les sites WordPress sont généralement les suivantes :
- sitename.com/wp-admin
- sitename.com/wp-login.php
Comment les Attaques par Force Brute Peuvent-elles Endommager Un Site ?
Une fois que les pirates informatiques ont identifié votre page de connexion, ils entament une attaque par force brute pour s’introduire. S’ils parviennent à deviner avec succès vos identifiants de connexion administrateur, ils obtiennent un accès total à votre site web.
Un site web volé peut être détourné pour devenir une page de spam, ran?onné contre de l’argent, ou vos données client privées peuvent être dérobées.
Un pirate peut également installer un logiciel malveillant à des fins de phishing, surveiller les activités de vos clients, voler des informations de cartes de crédit, etc.
Même s’ils échouent à voler votre site web, des armées de robots attaquant en permanence gaspilleront les ressources WordPress précieuses et la bande passante.
Comment Pouvez-vous Contrer les Attaques par Force Brute ?
La sécurisation par l’obscurité est de loin la méthode la plus efficace pour réduire ce risque.
En d’autres termes, vous devez vous assurer que les cybercriminels ne trouvent pas de points d’accès faciles et surveiller attentivement vos points d’entrée.
Changez l’URL de votre Page de Connexion
Pour commencer, modifiez l’URL de connexion afin de la rendre difficile à deviner. En cachant la page de connexion, elle deviendra nettement plus difficile à repérer pour les hackers humains et pratiquement impossible pour les bots, réduisant ainsi considérablement les tentatives de connexion non autorisées.
Même un changement simple comme /wp-login-hidden/ permettrait de réduire considérablement le taux d’attaques par force brute, qu’elles soient occasionnelles ou automatisées.
Cependant, il est possible de renforcer davantage la sécurité. Changez la page de connexion en quelque chose de difficile à deviner, comme une longue combinaison de lettres et de chiffres, et effectuez ce changement régulièrement, par exemple tous les quelques mois.
De nombreux plugins facilitent cette modification rapide de votre page de connexion. Ci-dessous, quelques exemples gratuits, mais n’oubliez pas que cette fonctionnalité est également présente dans de nombreux plugins de sécurité complets, alors assurez-vous d’éviter les conflits :
- WPS Hide Login
- Rename wp-admin login
- Easy Hide Login
- Custom Login Page Customizer
Cependant, ce n’est qu’une première étape, car il existe toujours des moyens pour les cybercriminels de deviner correctement votre URL de connexion.
Limitez les tentatives de connexion
La prochaine étape consiste à surveiller les connexions et à limiter le nombre de tentatives. Aucun attaquant par force brute ne peut deviner vos identifiants dès la première tentative.
Ainsi, si vous remarquez un nombre élevé de tentatives de connexion, il y a de fortes chances qu’un hacker tente de s’introduire.
La surveillance des connexions individuelles vous permettra de détecter si les noms d’utilisateur de vos utilisateurs ont été compromis.
Par conséquent, limiter le nombre de tentatives de connexion à un faible nombre (par exemple, trois ou quatre) protégera votre site web contre les attaques par force brute, même si votre URL de connexion cachée est découverte.
Et si l’un de vos administrateurs est bloqué pour avoir oublié son mot de passe trop de fois… eh bien, il est temps de le changer !
Certains plugins permettant de limiter le nombre de tentatives de connexion et de les surveiller incluent :
- Limit Login Attempts Reloaded
- WPS Limit Login
- Limit Login Attempts
Assurez-vous d’une sécurité maximale des mots de passe
Tout ce qui a été dit et fait jusqu’à présent ne sera pas particulièrement utile si vos identifiants sont étonnamment faciles à deviner, par exemple :
- Nom d’utilisateur : admin
- Mot de passe : password
Il est essentiel d’établir des politiques de mot de passe garantissant un niveau de complexité adéquat, une durée d’expiration limitée et l’impossibilité de les réutiliser de manière répétée. Si vous êtes l’unique gestionnaire de votre site web, ou si votre équipe est suffisamment restreinte, il peut suffire de veiller au respect de quelques bonnes pratiques en matière de sécurité des mots de passe.
Pour les sites web plus importants, ou en présence d’un nombre exceptionnellement élevé d’utilisateurs, l’utilisation d’un gestionnaire de mots de passe est recommandée. Mieux encore, l’activation de l’authentification à deux facteurs (2FA) peut empêcher les tentatives automatisées de deviner les mots de passe. Certains de ces plugins peuvent améliorer la sécurité des mots de passe, bien que toutes les versions non premium ne proposent pas des fonctionnalités plus avancées comme la 2FA :
- Gestionnaire de politiques de mot de passe
- Sécurité de connexion MelaPress
- Sécurité solide
- Google Authenticator de miniOrange
- WP 2FA
3. Protéger Votre Site contre les Injections de Liens Spam
Les liens spam sont des liens malveillants injectés de force dans la base de données de votre site web, généralement par le biais de la section des commentaires. Des “experts” en optimisation des moteurs de recherche (SEO) de Black Hat utilisent ces liens pour manipuler artificiellement le classement ou l’autorité de domaine d’un de leurs sites de bas niveau, ou pour rediriger les visiteurs vers l’un de leurs sites malveillants.
Les injections multiples et invisibles sont souvent employées, et l’injection de liens spam peut même aller jusqu’à l’envoi d’e-mails de phishing à votre base de données clients, voire à l’affichage de bannières publicitaires pour leurs produits frauduleux sur votre site.
Comment les Injections de Liens Spam Peuvent-elles Nuisibles à Un Site ?
Les liens spam peuvent sérieusement compromettre tous vos efforts en matière de référencement, car Google peut interpréter tous ces signaux sortants de votre site web pour manipuler la position de votre page de résultats sur les moteurs de recherche (SERP).
Vous pourriez être touché par une pénalité pour spam sur l’ensemble du site ou pour la création artificielle de liens, voir vos annonces Google refusées en raison de logiciels malveillants, voire avoir votre compte Google AdWords suspendu ou bloqué.
Dans des cas extrêmes, l’ensemble de votre site web pourrait être blacklisté comme trompeur par Google ou suspendu par votre hébergeur, notamment lorsque plusieurs liens invisibles contenant des logiciels malveillants sont laissés sans surveillance.
Comment Faire Face aux Menaces d’Injection de Liens Spam ?
La manière la plus simple et probablement la plus efficace de contrer les menaces d’injection de liens spam est de bloquer complètement les commentaires. Cette solution, qui a moins de répercussions sur l’ensemble de votre site, ne nécessite aucun plugin. Depuis le tableau de bord de votre site, accédez simplement à Paramètres : Discussion et assurez-vous que personne ne peut commenter sans approbation préalable :
Tous les commentaires seront soumis à modération et ne seront jamais publiés sans votre autorisation. Cela peut rapidement entra?ner l’accumulation de milliers de mots en peu de temps. Pour vous débarrasser de ces commentaires indésirables, vous pouvez utiliser l’un des nombreux plugins de nettoyage de cache disponibles, tels que WP Bulk Delete ou un plugin spécifique pour gérer les commentaires.
Cependant, bloquer les commentaires n’est pas toujours une option sur certains sites web. Dans ce cas, l’application d’un filtre peut être envisagée. Sur la page de Discussion, vous avez la possibilité de réduire le nombre de liens dans chaque commentaire à un seul, car de nombreux commentaires spam contiennent généralement plus d’un lien. Cependant, vous ne pouvez pas les réduire à zéro, sinon tous les commentaires seront soumis à modération.
Une autre alternative possible est d’activer un plugin reCaptcha. Cependant, cette solution n’est pas infaillible, car elle ne stoppera que les bots (la plupart de ces attaques) et non les hackers humains.
Enfin, l’installation d’un filtre anti-spam s’avère être une mesure efficace. Ces plugins accomplissent diverses taches pour s’assurer que tous les commentaires qui appara?tront sur chacune de vos pages sont propres. Ils utilisent des algorithmes spécifiques pour détecter les commentaires suspects, bloquer les activités provenant de certains pays ou ajouter des filtres pour limiter certains types de commentaires.
Voici une liste de certains des plugins anti-spam les plus populaires, mais n’oubliez pas : il y a toujours une chance qu’un lien malveillant passe entre les mailles du filet :
- Akismet
- Anti-spam Bee
- Titan Anti-spam & Security
- Maspik
4. Protéger Votre Site Web contre les Attaques DDOS
Les attaques par déni de service distribué (DDoS) représentent un risque moins fréquent que les autres dont nous avons discuté. Cependant, lorsqu’elles surviennent, les conséquences peuvent être graves, notamment si la période d’indisponibilité de votre site web est directement liée à une perte financière ou de réputation, surtout pour les sites qui doivent rester en ligne en permanence.
Les attaques DDoS exploitent généralement des vulnérabilités dans WordPress, les thèmes ou les plugins installés. Par conséquent, la meilleure stratégie pour les prévenir consiste à réduire les surfaces d’attaque et à planifier à l’avance.
Comment les Attaques DDoS Peuvent-elles Nuire à Votre Site ?
Les attaques DDoS inondent votre serveur de demandes massives, entra?nant un ralentissement du site web, voire un crash complet. Si votre entreprise dépend du trafic web ou de la continuité des services pour ses revenus, une attaque DDoS peut avoir des conséquences graves. Même si le site web ne s’écrase pas complètement, les ralentissements et les temps d’arrêt peuvent entra?ner la mécontentement des clients et la perte de réputation de la marque, d’autant plus que certaines attaques DDoS peuvent durer des jours, voire des semaines.
Comment Pouvez-vous Contrer les Attaques DDoS ?
Comme toujours, la prévention est la meilleure défense. Supprimer toute vulnérabilité potentielle de votre site web WordPress, de ses thèmes et plugins est impératif, et lorsque cela n’est pas possible, les obscurcir peut grandement contribuer à réduire le nombre d’attaques automatisées.
Vulnérabilités WordPress : éliminer l’API XML-RPC
Comme son nom l’indique, XML-RPC est un protocole qui utilise XML à des fins de communication (RPC signifie “appel de procédure à distance”). Il utilise HTTP comme mécanisme de transport de données, mais aujourd’hui, il a perdu son utilité au point d’être souvent considéré comme obsolète.
Cependant, XML-RPC peut être exploité pour des injections de code à distance, représentant une vulnérabilité pour les attaques DDoS et parfois même les attaques par force brute. Pour la grande majorité des utilisateurs de WordPress, désactiver XML-RCP peut être effectué sans effet indésirable pour éviter les attaques indésirables.
Vous pouvez désactiver XML-RPC manuellement ou en installant un plugin tel que Disable XML-RPC ou Disable XML-RPC-API. Si vous préférez le faire manuellement pour éviter d’installer un autre plugin, vous devez modifier le fichier .htaccess. Accédez au Gestionnaire de fichiers de votre hébergeur (tel que cPanel).
Si vous utilisez cPanel, assurez-vous de pouvoir voir les fichiers cachés en cliquant sur le bouton Paramètres en haut à droite de l’écran, puis en sélectionnant l’option appropriée :
Commencez par localiser le fichier .htaccess en utilisant la fonction de recherche à gauche du bouton Paramètres, ou accédez directement au répertoire /public_html. Faites un clic droit sur le fichier et sélectionnez “Modifier” :
Ajoutez le snippet de code suivant :
apache
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>
Remarque : La cha?ne “allow from xxx.xxx.xxx.xxx” est utilisée si vous souhaitez accorder l’accès à XML-RPC à un utilisateur ou un service, et elle doit être remplacée par l’adresse IP de cet utilisateur ou service. Si vous souhaitez désactiver complètement XML-RPC, vous pouvez simplement supprimer toute cette ligne.
Vulnérabilités WordPress : Désactivation de l’API REST
L’API REST de WordPress est un outil utilisé par les développeurs pour transformer un site web en un service web disponible. Elle envoie et re?oit des objets JSON (JavaScript Object Notation), pouvant être utilisée comme une porte dérobée pour d’éventuelles attaques par des acteurs malveillants.
EN SAVOIR PLUS :
Tout comme l’API XML-RPC, elle peut être désactivée relativement en toute sécurité par la plupart des utilisateurs. Cependant, elle peut être nécessaire au bon fonctionnement de certains plugins et thèmes WordPress. Pour cette raison, il est préférable de l’essayer d’abord sur un site de test pour s’assurer qu’elle ne cause aucune perturbation.
Une fois de plus, vous pouvez désactiver l’API REST pour réduire votre surface d’attaque en installant un plugin tel que Disable WP REST API ou Disable REST API, ou vous pouvez le faire manuellement. La procédure est similaire à celle décrite ci-dessus pour l’API XML-RPC. Cependant, cette fois-ci, vous devez naviguer dans votre Gestionnaire de fichiers jusqu’au répertoire /public_html/wp-content/themes. Ensuite, vous devez localiser le nom de votre thème actuel et ouvrir le répertoire correspondant.
Une fois là-bas, trouvez le fichier functions.php à l’intérieur et éditez-le pour y ajouter le snippet de code actuel en bas :
php
function qode_disable_rest_api( $access ) {
return new WP_Error( ‘rest_disabled’, __( ‘The WordPress REST API has been disabled.’ ), array( ‘status’ => rest_authorization_required_code() ) );
}
add_filter( ‘rest_authentication_errors’, ‘qode_disable_rest_api’ );
Vous pouvez vérifier si vous avez correctement désactivé l’API REST JSON en cliquant sur le dossier /wp-json de votre site web, par exemple :
www.sitename.com/wp-json
Si vous obtenez un message d’erreur disant : ? L’API REST WordPress a été désactivée ?, alors l’API REST a été désactivée avec succès.
Thèmes et Plugins : éviter toute Exposition Inutile
Les cybercriminels exploitent systématiquement les vulnérabilités potentielles présentes dans les plugins et thèmes afin de compromettre la sécurité des sites web. Ainsi, une bonne pratique recommande non seulement de désactiver les plugins inutilisés, mais aussi de s’en débarrasser complètement. Il est essentiel de veiller à ce que tous les éléments soient régulièrement mis à jour pour renforcer la sécurité.
Cependant, des problèmes de sécurité bien connus peuvent être facilement détectés par les pirates en vérifiant simplement la version des plugins, de WordPress ou des thèmes que vous utilisez.
Vous pouvez aisément supprimer le numéro de version de votre site WordPress. Revenez au fichier functions.php et ajoutez le morceau de code suivant en bas :
php
function remove_version_info() {
return ”;
}
add_filter(‘the_generator’, ‘remove_version_info’);
Alléger la Charge Serveur : Recourir à un CDN
Les Réseaux de Diffusion de Contenu (CDN) sont des serveurs qui stockent des copies mises en cache de votre site web dans leurs centres de données. Ils répartissent les données sur plusieurs serveurs, agissant comme des intermédiaires entre vous et les visiteurs de votre site web. Les CDNs réduisent la charge sur le serveur de votre site, améliorent la vitesse de chargement et optimisent les performances globales.
De manière cruciale, les CDNs sont bien plus difficiles à attaquer qu’un serveur unique, et ils servent de rempart en cas d’attaques DDoS. Certains CDNs peuvent également agir comme des mandataires inverses.
Divers fournisseurs de CDN existent, certains offrant des services gratuits, d’autres nécessitant des frais mensuels. Certains se limitent aux services CDN de base, tandis que d’autres proposent une gamme étendue de fonctionnalités supplémentaires telles que le chargement différé, le redimensionnement d’images, l’optimisation CSS, et bien plus encore. Parmi les plus populaires, citons :
Une Protection Supplémentaire : Les Pare-feux WordPress
Les pare-feux agissent comme une barrière de sécurité entre votre site web et les utilisateurs, visant à bloquer tout accès indésirable de la part de potentiels pirates. Bien qu’ils représentent une couche de sécurité précieuse, leur nécessité n’est pas toujours incontournable.
De nombreux pare-feux WordPress ont tendance à imposer des modifications excessives à votre site web, impactant parfois les performances plus que nécessaire. Par conséquent, il est recommandé de les activer uniquement sur les sites où une sécurité maximale est essentielle.
En général, pour garantir que les pare-feux filtrent uniquement les robots malveillants sans bloquer les utilisateurs normaux ou les crawlers standard, il est judicieux d’ajuster leurs fonctionnalités de limitation du débit. Si ce paramètre est réglé à une quantité raisonnable, le pare-feu peut bloquer la plupart des attaques DDoS sans affecter l’expérience utilisateur. Parmi les pare-feux WordPress les plus réputés, on compte Sucuri, Wordfence et AIOS.
Conclusion