WORDPRESS est un outil très utilisé et plutôt bien fais en terme de sécurité. Mais comme toujours, telle une bonne porte, tout se force avec un peu de temps… et c’est d’autant plus facile si certaines règles de sécurité de base ne sont pas respectées. Donc oui, si votre site tourne sous WORDPRESS vous êtes exposé. Pas parce que WORDPRESS est “vulnérable”, mais parce que vous êtes une cible… tout simplement.Vous allez me demander : en “quoi” mon site WORDPRESS est-il intéressant pour un pirate ? Les réponses sont multiples, mais voici quelques pistes “pourquoi” il l’est :

  • un pirate peut implanter un script sur votre serveur qui va “miner” des BITCOINS (ou toute autre crypto monnaie); c’est très peu payé, mais si je le fais sur 100.000 sites…
  • de la publicité peut être injecté sur votre site (et le pirate peut se payer la dessus)
  • un pirate peut juste avoir envie de laisser une trace et détruire votre site
  • il peut essayer d’écrire à vos abonnés pour leur sous-tirer de l’argent, des informations…

Donc oui, votre site WORDPRESS est “intéressant” pour des hackeurs. D’où la question “comment sécuriser” au mieux un site internet.

Il n’y a pas de protection infaillible… mais voici les règles de bases que nous appliquons à tous nos sites (WORDPRESS ou autre), réalisées pour nos clients

  • un “vrai” mot de passe administrateur / mot de passe base de donnée : caractères spéciaux, minimum 24 caractères. Souvent au delà.
  • nous rendons les espaces “administrateur” accessible que depuis les pays qui sont susceptibles d’y accéder (comprenez ici que le site en lui-même sera accessible de tous les pays, MAIS l’espace administrateur n’a sans doute pas vocation a être accessible depuis les Etats-Unis alors que vous êtes en France). On peut renforcer cela en rendant l’espace administrateur accessible QUE DEPUIS une adresse IP identifiée (celle de votre bureau par exemple) ; ainsi votre site est accessible de partout mais l’administrateur doit être physiquement dans la société, cela vous prive cependant d’une certaine flexibilité.
  • On peut renforcer cela encore en “bloquant” au niveau “serveur” l’accès au site depuis des pays “exotiques” qui n’ont aucune raison valable d’accéder le site (mais dans ce cas votre site est bloqué tout court depuis ces pays et de fait totalement inaccessible) ; cela étant, cela peut être pertinant pour des solutions “cloud” type “partage de fichier, CRM etc) qui sortent du cadre du simple CMS (WORDPRESS, PRESTASHOP etc)
  • si une petite lourdeur d’identification ne vous inquiète pas, une identification en deux étapes est aussi possible (le bon mot de passe ne vous identifie pas mais génère un email qui doit être cliqué pour vous identifier)
  • nous mettons systématiquement en place un module de “BLOCAGE AU BOUT DE X TENTATIVES” d’une adresse IP – cela a pour effet que si l’adresse IP tente plus de 3 fois (par exemple) d’accéder la page administrateur avec un mot de passe erroné, alors l’adresse IP se fait bloquer pendant un certain temps. (par exemple 2h)

Comment protéger mon WordPress

  • le choix du mot de passe et du compte administrateur est essentiel : évitez les comptes “admin” (au nom “admin”) et utilisez une adresse email de récupération sécurisée. Et un vrai mot de passe (ceux générés par WORDPRESS sont bien… il suffit de le mémoriser 🙂 ). Ce point est ESSENTIEL
  • second point, tout aussi essentiel : COPIE DE SAUVEGARDE + MISES A JOURS, au moins 1 / mois. C’est un IMPERATIF. Ce n’est pas négociable. Un site internet (comme n’import quel logiciel) doit être à jour… s’il ne l’est pas, on s’expose. La copie de sauvegarde peut être gérée de plusieurs façons. Pour un débutant total, l’outil “WP MIGRATION” est simple d’utilisation. En version payante on peut programmer des backup-up réguliers et sauvegardes sur un serveur tiers. C’est encore mieux. Mais puisque vous devez de toute façon aller sur votre site 1 / mois faire les mises à jour, profitez-en pour faire un backup en même temps même avec la version gratuite. Cet outil est très facile et même la restauration de votre site avec cet outil est à la portée d’un enfant de 12 ans…
  • l’accessibilité de WP-ADMIN peut être bloquée avec un fichier HTACCESS. C’est radical et efficace. Cela étant, il faut pour cela savoir manipuler les fichiers HTACCESS. Donc nous ne l’indiquons ici que en “information”, si vous ne savez pas trop de quoi il est question ici, passez au point suivant. Basiquement, l’astuce consiste à interdire le dossier WP-ADMIN sauf à certaines “zones” IP.
  • Le Blocage au bout de X tentatives (et blacklisting de certaines adresses) peut être obtenu via des extensions payantes ou gratuites, en fonction de la technicité que vous voulez utiliser (WORDFENCE par exemple pour une solution payante plutôt haut de gamme)

 

Gardez ceci à l’esprit : WordPress est aussi sécurisé que l’installation est à jour. Quelques points faciles à mettre en place (ci dessus) rendrons votre investissement bien plus difficile à pirater.