Sécuriser son thème wordpress, simplement et rapidement !
La sécurité des sites sous WordPress a toujours été un sujet important. Vingt-cinq pour cent des sites tournent actuellement sous WordPress, ce qui démultiplie les tentatives d’attaques mais également les moyens de les contrer. Beaucoup d’articles traitent de ce sujet, mais la plupart sont destinés aux développeurs. Voyons ici comment sécuriser vite et bien votre site WordPress.
Les mots de passe
Le mot de passe de votre compte administrateur doit être différent de tous les autres. Choisissez un mot de passe unique à votre site. Ainsi, si un de vos comptes est compromis (mail, FTP, personnel) l’intrus ne pourra pas entrer sur votre site. Il existe de très nombreux générateurs de mots de passes, ainsi que des gestionnaires de mots de passe qui vous faciliteront la vie (Dashlane, Norton Identity, etc..).
Plus votre mot de passe sera complexe et long, plus il sera difficile pour un robot ou un humain de le découvrir (s’il comporte 6 caractères sans majuscule, il ne résistera que quelques minutes contre des machines puissantes, alors qu’avec 8 caractères dont des majuscules et des chiffres, il faudra plus de deux ans aux ordinateurs les plus puissants pour le trouver).
Les mises à jour
Avoir votre site WordPress à jour est primordial. C’est avec ces mises à jour que les failles de sécurités sont corrigées. Outre WordPress, tous vos plugins doivent aussi être à jour, car ils permettent aussi à une personne malveillante de s’introduire dans votre site.
Le brute force
Le brute force consiste à tester toutes les combinaisons possibles de mots de passe. Elle est l’apanage d’ordinateurs très puissants qui testent des milliers de combinaisons à la seconde. Pour empêcher cela, rien de plus simple : il suffit d’instaurer un délai entre chaque tentative de connexion infructueuse. Certains plugins sont très performants contre ce genre d’attaque, iThemes Security le plus connu et sûrement le plus complet, un peu lourd mais très pratique; WP limit login attempts est, au contraire, très léger. Il possède moins de fonctionnalités mais est néanmoins efficace contre ce type d’attaque.
Les formulaires
Les formulaires son une vraie porte ouverte pour les personnes mal intentionnées. Ils permettent aux robots de vous spammer en remplissant votre boîte mail d’annonces, mais aussi aux hackers en herbe de pénétrer sur votre site via des champs de texte mal sécurisés. Pour sécuriser vos formulaires, deux mesures sont importantes : installer un captcha sur chacun de vos formulaires (Recaptcha de Google est le plus novateur et facile d’utilisation pour vos visiteurs) et surtout utiliser des plugins éprouvés pour créér et gérer vos formulaires (Contact Form 7 – gratuit, Gravity From)
Le scan des vulnérabilités
Il se peut que vous ne souhaitiez ou ne puissiez pas appliquer certaines mesures ou mises à jour. Dans ce cas vous pouvez tout de même scanner votre site pour détecter des failles. Les plugings de sécurité évoqués plus haut font cela très bien. Vous pouvez également utiliser le plugin de la société spécialisé en sécurité, Sucuri qui va vous permettre de scanner votre site, de surveiller l’activités des utilisateurs, etc.
Les sauvegardes
Si, malgré toutes ces précautions, quelqu’un parvenait quand même à pénétrer votre site, il pourrait installer des programmes malveillants, ou pire encore, supprimer purement et simplement votre site. Une sauvegarde peut alors vous sauver la vie ! Des outils réalisent cette action de manière automatique et transparente. Itheme Security (évoqué précédemment) gère les sauvegardes, certes pas de la manière la plus simple mais il fait ce qu’on attend de lui. Si vous souhaite dédier un plugin à cette tâche, le très bon BackWPup vous satisfera ou encore VaultPress (payant mais qui s’occupe de tout).
Les utilisateurs
Une des plus grande failles de votre site réside dans les comptes des utilisateurs qui on accès à votre site. Chaque personne qui à accès à votre back-office est un danger potentiel, si cette personne possède un virus, ou bien a défini un mot de passe trop simple, c’est une porte ouverte aux intrusions. Il est donc bon de limiter les droits de certains utilisateurs. Ainsi une personne qui n’a vocation qu’à écrire des articles sur votre site ne devra avoir accès qu’à cela dans le backoffice. Les rôles déjà présents dans wordpress (auteur, éditeur, etc) son suffisants mais si vous souhaitez aller plus loin vous pouvez utilisez User Role Editeur.
Vous pouvez également empêcher les utilisateurs de définir eux-mêmes leurs mots de passe afin de garder ceux générés par wordpress (qui sont longs et complexes).
Si vous souhaitez tout de même surveiller l’ensemble de l’activité de vos utilisateurs (et de leurs actions) je ne peux que vous recommander le très bon Activity Log
Pour aller plus loin
Il y a beaucoup de sujets que nous avons volontairement oubliés, comme la sécurité et la sauvegarde de votre base de données, le htaccess, les droits sur vos fichiers/dossiers, comment cacher votre version de WordPress, changer le préfixe de vos tables, etc.
Si vous souhaitez approfondir le sujet, vous pouvez vous rendre sur WP Secure qui vous fera entrer dans les tréfonds de WordPress, notamment grâce à Advanced guide.
Si cet article vous a plu, nous vous invitons à découvrir notre agence wordpress et à télécharger notre livre blanc « Les 11 commandements d’un site internet qui convertit vos visiteurs en clients »
