La sécurité de WordPress, un enjeu crucial pour les professionnels
WordPress est le CMS open-source le plus utilisé sur Internet. Sécuriser son installation est une priorité pour éviter qu’un hacker accède à l’interface d’administration, à la base de données ou au FTP. Si cela arrive et qu’aucune sauvegarde n’a été effectué, il est possible de perdre toutes les données de son site soit de nombreuses heures de travail. La mise en place d’une routine de sécurité est donc essentielle surtout si le site est dédié à un usage professionnel et qu’il commence à se référencer. Si un site se fait pirater et que les pages indexées sur les moteurs de recherche ne sont plus disponibles alors le site risque de perdre des positions.
La sécurité de son site Internet passe aussi par les mises à jour de WordPress, des extensions et des thèmes. Il faut le plus possible avoir un site à jour pour éviter les failles de sécurité. Les mises à jour peuvent se prévoir une fois tous les 2 ou 3 mois et apportent aussi des optimisations pour un chargement plus rapide. Quand une nouvelle version de WordPress est disponible il est bien d’attendre quelques semaines avant de migrer sur cette version. Ceci permet au développeur des extensions de mettre à jour leurs plugins pour une meilleure compatibilité avec ces nouvelles versions. La mise à niveau du serveur est aussi importante pour garder une version de PHP sécurisée et plus optimisée.
Supprimer les mots de passe reçus par email
Lorsqu’on commande un hébergement, la plupart des hébergeurs envoient les informations de connexion au FTP et à la base de données par email. Ces informations sensibles ne doivent surtout pas être conservées dans sa boite email. En effet, l’une des principales causes de piratage est l’accès à une boite email contenant ces informations. En récupérant les données d’identification, une personne malveillante peut supprimer les fichiers sources du site Internet ou la base de données. Le mieux est donc de sauvegarder ces accès dans un simple fichier texte sur son disque dur et ne pas conserver les emails. Dans tous les cas, ces mots de passe peuvent être réinitialisés depuis l’interface de l’hébergeur.
Désactiver l’éditeur de fichier du thème
WordPress propose un éditeur de fichier PHP et CSS dans l’interface d’administration afin de modifier le code source de son thème. Cet éditeur se trouve dans le menu Apparence > Éditeur de thème. Hacker le CSS d’un site ne va pas compromettre l’intégrité de la base de données, mais en modifiant un fichier PHP il est possible d’écrire un script pouvant effacer toutes les données du site que ce soit la base ou les fichiers sources sur le FTP. Pour éviter cela, il suffit de désactiver l’éditeur de thème dans le fichier wp-config.php à la racine du site comme vu dans cet article.
define('DISALLOW_FILE_EDIT', true);
Changer l’url du formulaire de connexion
Pour se connecter au back-office de WordPress il suffit de se rendre sur mon-domaine.com/wp-admin/ ou sur mon-domaine.com/wp-login.php ouvrant le formulaire de connexion. Même si un hacker est en possession des informations de connexion s’il ne peut plus accéder à ce formulaire, il ne pourra tout simplement pas aller plus loin. Pour se faire, il suffit d’installer le plugin WPS Hide Login développé par l’hébergeur WPServeur qui permet de modifier l’URL par défaut. Une fois installé le plugin ajoute une option dans la page Réglages > Général nommée URL de connexion afin de modifier le comportement de WordPress.
Bloquer les tentatives de connexion à l’administration
Toujours développé par WPServeur, le plugin WPS Limit Login permet de limiter les tentatives de connexion au formulaire d’identification. Ce plugin bien pratique permet notamment de limiter les attaques de type brute force consistant à exécuter un programme qui va tenter des milliers de combinaisons pour trouver le bon mot de passe. Couplé à WPS Hide Login vu précédemment, ces 2 plugins augmentent considérablement la sécurité d’une installation WordPress. Il se base sur l’adresse IP de l’utilisateur et peut être paramétré de différentes manières dans le menu Réglages > WPS Limit Login.
Faire des sauvegardes hebdomadaires ou mensuelles
Quel que soit le niveau de sécurité exigé pour son site WordPress, la mise en place de sauvegarde redondante permettra de sécuriser son site de la meilleure des façons. Il existe de nombreux plugins pour cela, mais je conseille le plugin BackWPup qui permet dans la version gratuite de réaliser une sauvegarde au format ZIP de tous les fichiers et de la base de données. Elles se planifient comme on le souhaite puis peuvent se télécharger sur son ordinateur. La version payante propose plus d’options comme la possibilité d’envoyer automatiquement les archives sur un cloud ou un FTP distant. Il est d’ailleurs conseillé de faire une sauvegarde de son site Internet avant de faire les mises à jour.
Mettre en place une stratégie pour sécuriser WordPress
Dés l’installation de son site sur WordPress il est bien de réfléchir à une stratégie de sécurité. Modifier les accès au back-office, limiter les tentatives de connexion et faire des sauvegardes régulières est le minimum à mettre en place pour sécuriser son site. Selon les besoins de chacun d’autres aspects de WordPress peuvent être pris en compte pour renforcer la sécurité comme un anti-spam pour les commentaires, le paiement en ligne sous WooCommerce, etc. De nombreuses extensions gratuites ou payantes sont disponibles pour renforcer la sécurité de son site WordPress, il ne faut pas hésiter à les comparer et déterminer celles répondant au mieux à nos besoins. De nombreux sites sous WordPress subissent régulièrement des attaques plus ou moins complexes, pour savoir si notre site est entrain de se faire pirater on peut consulter les logs du serveur.
La sécurité d’un site web sous WordPress doit être prise très au sérieux et être mise en place rapidement dés l’installation. Chaque développeur web conseille sur une stratégie plus ou moins différente. Protéger l’intégrité de la base de donnés et des médias est le plus important. La plupart des hébergeurs réalisent des backups journaliers ou hebdomadaires des sites qu’ils gérent donc mettre en place un plugin dédié à cela reste facultatif et dépend de l’hébergeur utilisé. Si on réalise une boutique en ligne ou un site de type LMS avec WordPress ou autre, il est bien de stocker les données dans un autre lieu que le datacenter de l’hébergeur. Dans ce cas un plugin de sauvegarde peut être intéressant à mettre en place si on ne peut pas les télécharger. Un site fait avec WordPress doit être mise à jour régulièrement pour éviter les failles de sécurité dans les extensions.