Mettre en place de la sécurité pour son site WordPress peut paraitre compliqué ou inutile pour certains. Je vais vous expliquez moins point de vue là-dessus et mes bonnes pratiques.
Ce “Guide” n’est pas destiné au professionnel de la sécurité WordPress, même si je serais très content d’avoir leurs retours.
Il est destiné aussi bien aux professionnels qui créent et vendent des sites qu’aux utilisateurs finaux.
Le but de ce guide est de vous faires comprendre pourquoi vous devez sécuriser votre site et comment le faire le plus simplement possible.
Sommaire
WordPress est vulnérable
Ou pas… en faite, le noyau de WordPress est sécurisé. Il comporte bien sûr des failles de sécurité, mais quand elles sont connues, elles sont rapidement corrigées.
Un site WordPress, est par contre plus attaqué que les autres CMS, car WordPress représente plus de 35% des sites internet. C’est donc plus facile pour les bots de cibler la masse en espérant tomber sur des sites vulnérables.
Les extensions que vous installez sur votre site ajoutent des portes d’entrée supplémentaires à votre site. Donc théoriquement, plus vous avez d’extensions, plus vous être sensibles aux attaques. Ce n’est pas une vérité générale, car cela dépend de l’extension, comment elle est codée et ça fréquence de mise à jour.
Les principes de bases de la sécurité WordPress
Avant d’aller plus loin, il y a quelques principes de base à savoir. Si vous vous renseignez sur la sécurité de votre site internet, vous avez surement déjà appliqué ces conseils, mais un petit rappel de fait jamais de mal :).
Choisir un hébergement fiable
Votre site web est stocké chez un hébergeur afin de permettre qu’il soit accessible par tout le monde et tout le temps.
Celui-ci doit bien sûr être performant, mais aussi fiable et sécurisé.
Vous pouvez avoir le site le plus sécurisé, si votre hébergeur est une passoire parce qu’il n’est pas à jour ou qu’il ne met pas en place des mesures de sécurité de son côté, cela ne sert pas à grand-chose.
Je vais vous recommander 3 hébergeurs, comme ça vous aurez le choix.
Infomaniak:
Hébergeur Suisse de qualité, il propose plusieurs services complémentaires à l’hébergement web. Serveur web en Suisse uniquement.
02Switch
Hébergeur français très connu chez nous, il propose une offre unique qui vous donne accès à un Cpanel avec 5 comptes séparés. Serveur web en France uniquement.
Lien vers 02Switch
PlanetHoster
Hébergeur canadien qui propose aussi une offre avec un Cpanel. Son interface permet de créer facilement des comptes séparés. Serveur web en France et au Canada uniquement.
Cela ne veut pas dire que tous les autres hébergeurs sont à exclure !! Pas du tout.
Mais avec ceux-là, vous êtes sure qui ont mis en place des règles de sécurité.
EDIT: J’ai eu de nombreux soucis avec Planethoster, je ne le conseille plus maintenant
Choisir et installer un plugin de sécurité
Ah moins que vous êtes un développeur spécialiste de la sécurité Web et sur WordPress ( et encore…) vous aurez besoin d’une vraie extension de sécurité.
Dire que cela ne sert à rien, cela reviens à supprimer les verrous d’une porte d’entrée dans un quartier qui craint et d’installer une pancarte “Open Bar”
L’extension de sécurité à un seul but, vous facilitez la mise en place de sécurité sur votre WordPress.
Elle n’est pas là pour vous compliquer la vie ou pour mettre en place des actions qui ne servent à rien.
Si vous êtes de ceux qui pensent que les antivirus ne servent à rien et que c’est ces même boite qui créer les malwares… et que c’est pareil du côté web, vous pouvez tout de suite changer d’article de blog.
Beaucoup trop de sites internet sont livrés par des “agences web” et des professionnels du web sans aucune sécurité! rien du tout!
C’est aberrant.
Alors, que le graphiste qui à l’habitude de faire des cartes de visite, vous livre un site sans optimisation de sécurité, je peux le comprendre, mais c’est un autre problème, ce n’est pas son métier.
Que vous soyez professionnels de WordPress ou utilisateurs, vous devez choisir une extension de sécurité, l’installer et la configurer.
Il en existe beaucoup.
Regardez les plus réputer, essayez-les puis, une fois votre choix fait, restez avec.
Pour ma part, dans cette jungle entre WordFence, Sucuri, Ithemes, etc..; j’ai choisi d’utiliser SecuPress.
C’est une extension française, fondée par Julio Potier.
Elle a beaucoup d’avantages, comme une interface conviviale, une facilité d’utilisation, de nombreux modules complémentaires et de nouvelles fonctionnalités qui arriveront surement bientôt très intéressantes.
Elle propose une version gratuite, que je conseille au minimum sur tous les sites WordPress et une version payante qui est plus complète.
Petit rappel en passant: Une extension de sécurité suffit ! si vous en installé plusieurs, vous risquez d’avoir plus de conflits que de sécurité.
Utiliser un système de connexion sécurisé
En gros, il est préférable d’utiliser une méthode d’authentification à deux facteurs que le simple mot de passe.
Vous pouvez très bien utiliser votre mot de passe, mais celui-ci doit être de plus de 12 caractères différents.
Faire les mises à jour
Et oui, il faut faire les mises à jour sur votre site, elles ne sont pas uniquement là pour faire jolie 🙂
Que ça soit du noyau de WordPress, du thème et de vos extensions, il faut absolument mettre à jour votre site internet.
Si vous n’êtes pas à jour, le jour même de la sortie de l’extension, ce n’est pas un drame en soit, mais ne tarder pas trop.
Beaucoup de failles de sécurités sont corrigées pendant ces mises à jour.
Faire des backups
Il faut absolument sauvegarder votre site. Ne pensez pas que vous allez pouvoir compter sur le backup de l’hébergeur en cas de pépin, pourquoi? Car déjà suivant les hébergeurs vous n’avez pas du tout le même type de prestation.
Certains ne garantissent même pas les backups, il vous affirme, que c’est un outil supplémentaire sans aucune garantie.
Certains peuvent mettre plus de 72H à restaurer un site et échoué sur la fin, c’est du vécu avec OVH…
Il vous faut donc un système de backup, que vous maitrisez et comprenez.
Il faut également que vos sauvegardes se trouvent en dehors de votre site WordPress, ni sur le même FTP, donc soit dans le cloud soit chez vous sur un disque, NAS.
Il vous faut aussi des backups qui remontent le plus loin possible dans le temps. Car si vous restaurez un backup de votre site qui contient toujours le malware, vous saurez toujours au même point.
Une méthode simple est d’utiliser une extension WordPress comme UpdraftPlus en version gratuite et d’envoyer les backups sur un cloud comme Google Drive.
Mais je vous conseille vivement, si votre site vous rapporte de l’argent, d’une façon ou d’une autre, de passer sur un système de backup payant et plus complet.
Sécuriser le compte Admin
Une bonne pratique sur WordPress est de ne pas utiliser un compte nommé Admin de manière générale.
Pour ce faire, créer un nouvel utilisateur nommé Admin avec le rôle d’abonné, puis une fois fait, éditer ce compte et supprimer le rôle abonné.
Vous aurez donc, un compte utilisateur admin sans droits ni rôle sur votre site.
Sans oublier le HTTPS
Je le remet ici, car il existe des sites encore aujourd’hui sans HTTPS.
J’ai déjà traiter le sujet dans un autre article:
Comment mettre son site WordPress en HTTPS?
Naviguer en toute sécurité sur internet est désormais primordial. Par conséquent, l’utilisation d’une connexion HTTPS pour votre site WordPress est essentielle. Dans cet article, je vais vous guider sur les différentes étapes pour faire une transition simple de votre site WordPress de HTTP à HTTPS. Étapes Actions à realiser Indicateurs de réussite 😊 Backup Faire […]
Le mythe du 100% sécurisé
Je vais vous arrêter tout de suite, le 100% sécurisé n’hésite pas, que ça soit dans n’importe quel milieu, c’est impossible.
Du côté du web et WordPress, c’est pareil.
Il y a trop de paramètre qui rentre en compte pour qu’un site soit 100% sécurisé face aux attaques des hackeurs.
Le côté humain joue aussi beaucoup, vous n’êtes pas à l’abri d’un moment d’inattention qui vulnérabilise votre site parce que vous avez passé une grosse journée.
Cependant, vous pouvez faire en sorte de limite les risques et les vulnérabilités.
Sécuriser son site gratuitement (conviens pour les petits sites)
Pour commencer à sécuriser votre site, il vous faut ajouter une extension, pour ce tutoriel, je vais utiliser SecuPress en version gratuite, que vous pouvez trouver sur le dépôt de WordPress.
Une fois installé, rendez-vous dans le tableau de bord de SecuPress.
Vous allez retrouver sur la gauche l’ensemble des catégories qui contiennent les modules de sécurité.
Vous remarquerez également cette information “Disponible en version pro” qui indique que certaines fonctions ne sont accessibles uniquement quant version pro.
Utilisateurs & Connexion
Ce module sert à configurer tous les paramètres en rapport avec la sécurité des utilisateurs et de la connexion à votre site.
Pages de connexion
Ce module permet de modifier la page de connexion à votre site WordPess
Son premier but est de réduire les tentatives des bots qui vont directement tenter d’aller sur la page /wp-admin.
SecuPress vous demande donc d’indiquer le lien de la nouvelle page et se chargera du reste. Pas besoin de mettre quelque chose de très compliqué, même Login peut convenir.
Contrôle des connexions
Ce module va vous permettre de limiter les tentatives de connexion sur votre site.
Pour les e-commerçants: il n’est pas judicieux d’activer bannir les tentatives de connexions avec des noms d’utilisateur inconnus, car si un client tente de se connecter avec son email, il sera banni par SecuPress et de cacher les erreurs de connexion, qui n’indiquera pas a votre client s’il se trompe de mot de passe.
Authentification
Cela permet d’ajouter un Captcha propre à SecuPress sur votre page de connexion WordPress, c’est une très bonne pratique en général, car cela limite les tentatives des bots.
Politique de mot de passe
Une protection supplémentaire pour vos utilisateurs qui demandent un changement de mot de passe.
Noms d’utilisateurs
Cette partie est assez explicite pour ne pas en rajouter.
Téléversement des thèmes et extensions
WordPress autorise par défaut l’ajout d’une extension ou d’un thème en téléversant simplement un fichier zip. Ce n’est pas sécurisé, car le fichier contient du code PHP.
En supprimant cette possibilité, vous vous assurez que les extensions et thèmes ne peuvent être ajoutés qu’en utilisant un FTP ou provenant du dépôt officiel.
Une bonne pratique est donc d’empêcher l’ajout d’extension et de thème via le téléversement de fichier.
Ce module sert à empêcher ça.
Cœur de WordPress
Mises à jour de WordPress
Comme nous l’avons vu, une bonne pratique est de mettre à jour son site WordPress.
La dernière version en date de WordPress, la 5.5 ajoute également la mise à jour des extensions.
Dans le cas d’un site vitrine avec peu d’extensions, je vous conseille de tout cocher.
Dans les autres cas, je vous conseille de laisser d’activer uniquement les mises à jours mineurs et effectuer les mises à jours majeurs manuellement une fois certains que toutes vos extensions soient compatibles.
De manière générale, c’est une mauvaise pratique de ne pas faire ces mises à jour en temps et en heure, si vous n’êtes pas sure ou si vous souhaitez déléguer cette tâche, je me ferai une joie d’effectuer la maintenance de votre site WordPress.
Fichier de configuration de WordPress
Encore une très bonne pratique de désactiver l’édition de fichier depuis WordPress et de filtrer les téléversements de fichier.
Dans la plupart des cas, vous pouvez activer ces fonctions.
Données sensibles
APIs de WordPress
XML-RPC est une fonction ancienne toujours présente dans WordPress et qui n’est plus utilisée.
Elle représente beaucoup de faille de sécurité, donc dans tous les cas, il faut la désactiver.
Si vous utilisez un logiciel externe qui requiert XML-RPC, changer de logiciel.
Protection du contenu
Ces réglages permettent de protéger votre site WordPress en cachant des répertoires et fichiers et en divulguant des informations qui donneraient des pistes d’attaques aux hackeurs.
Pare-feu
Mauvais entêtes
Ce module va protéger votre site contre les bots et les mauvaises requêtes.
Encore une fois de manière générale vous pouvez activer toutes les fonctions sur votre site.
Mauvaises URLs
Une autre protection contre les bots qui scan votre site. Cela va bloquer la plupart de leurs tentatives.
Anti Spam
Si vous avez besoin des commentaires sur votre site, activer cette fonction qui permet de les modérer et de les placer en spam automatiquement.
Si vous n’avez pas besoin de commentaires, supprimer directement la fonction de votre site.
Journaux et IP
Adresses IP
C’est à cet endroit que l’on peut ajouter des adresses IP à bannir ou autoriser.
Journaux
Les journaux permettent d’avoir des traces des actions de SecuPress, je vous conseille de les activer.
Dernière étape
Votre site a maintenant la sécurité minimum requise pour affronter l’armée de bots et de méchant hackeur du web.
Vous pouvez aller faire un tour sur les scanners pour avoir un rapport de sécurité de votre site. Une note de B est très bien, une note de A est excellente.
Cela convient très bien pour les petits sites vitrine sans trafic ou les petits blogs, mais partez du principe que des que votre site internet vous rapporte de l’argent directement ou indirectement, cela ne vous suffira pas.
Sécuriser son site WordPress comme un pro
Maintenant, passons aux choses sérieuses, on ne rigole plus. Encore une fois, si votre site génère des revenus directement ou indirectement, il faut vraiment penser à bien le sécuriser.
Passez en version Pro
Cela passe par différentes étapes, la première, vous vous en douterez est de passer sur la version PRO de SecuPress qui va vous donner accès à beaucoup plus de modules de sécurité, à la correction automatique des éléments de sécurité lors des scanners, c’est un énorme avantage.
Pour passer à la version pro: https://secupress.me/fr/tarifs/
Formez-vous
Une autre possibilité est de vous former à la sécurité web, cela s’adresse plus aux professionnels qui vendent des sites internet, quoi que si vous êtes passionné cela pourrez aussi vous aller.
Le but n’est pas de devenir un consultant en sécurité, mais de comprendre sans être développeur, comment vraiment sécuriser un site et savoir quelle faille pouvez-vous laisser sur le site WordPress de votre client.
Dans ce cas, je vous recommande la formation de Julio Potier, et oui encore lui, que vous pouvez trouver à cette adresse: https://learnwpsecurity.com/
Déléguez la maintenance et la sécurité
Un autre moyen beaucoup plus rapide est de déléguer la maintenance et la sécurité de vos sites web.
Vous allez directement gagner du temps et pouvoir vous concentrer sur ce qui compte vraiment pour vous.
Forcément je vous en parle, car je propose ce service. La maintenance de site WordPress est même ma spécialité.
Je travaille aussi en étroite collaboration avec Julio pour la sécurité, c’est un réel plus pour vous.
Vous pouvez bénéficier de nombreux avantages réunis dans une seule offre. Et surtout, vous avez un site WordPress maintenu avec des mises à jour régulières, sécurisé avec une configuration aux petits ognons suivant le type de site, disponible avec des backups régulier dans le cloud, suivi avec des rapports sur les interventions et deux personnes qualifiées qui veille sur votre site WordPress et ceux de vos clients.
Conclusion
Nous avons vu dans ce guide qu’il ne faut pas négliger la sécurité de votre site WordPress et comment en mettre en place.
Si vous avez tout lu !! Bravo, la plupart ne le font pas…
PS; si j’ai oublié quelque chose ou dit une bêtise, n’hésitez pas à m’en faire part, je corrigerai de suite 🙂
