Sécuriser son thème wordpress, simplement et rapidement !

Les premiers secours

Si la plupart des guides pour sécuriser son site wordpress sont complexes et demandent des connaissances en développement, ici nous nous efforcerons de rester le plus clair possible.

 

La sécurité des sites sous WordPress a  toujours été un sujet important. Vingt-cinq pour cent des sites tournent actuellement sous WordPress, ce qui démultiplie les tentatives d’attaques mais également les moyens de les contrer. Beaucoup d’articles traitent de ce sujet, mais la plupart sont destinés aux développeurs. Voyons ici comment sécuriser vite et bien votre site WordPress.

Les mots de passe

Le mot de passe de votre compte administrateur doit être différent de tous les autres. Choisissez un mot de passe unique à votre site. Ainsi, si un de vos comptes est compromis (mail, FTP, personnel) l’intrus ne pourra pas entrer sur votre site. Il existe de très nombreux générateurs de mots de passes, ainsi que des gestionnaires de mots de passe qui vous faciliteront la vie (Dashlane, Norton Identity, etc..).

Plus votre mot de passe sera complexe et long, plus il sera difficile pour un robot ou un humain de le découvrir (s’il comporte 6 caractères sans majuscule, il ne résistera que quelques minutes contre des machines puissantes, alors qu’avec 8 caractères dont des majuscules et des chiffres, il faudra plus de deux ans aux ordinateurs les plus puissants pour le trouver).

Les mises à jour

Avoir votre site WordPress à jour est primordial. C’est avec ces mises à jour que les failles de sécurités sont corrigées. Outre WordPress, tous vos plugins doivent aussi être à jour, car ils permettent aussi à une personne malveillante de s’introduire dans votre site.

Le brute force

Le brute force consiste à tester toutes les combinaisons possibles de mots de passe.  Elle est l’apanage d’ordinateurs très puissants qui testent des milliers de combinaisons à la seconde. Pour empêcher cela, rien de plus simple :  il suffit d’instaurer un délai entre chaque tentative de connexion infructueuse. Certains plugins sont très performants contre ce genre d’attaque, iThemes Security le plus connu et sûrement le plus complet, un peu lourd mais très pratique; WP limit login attempts est, au contraire, très léger. Il possède moins de fonctionnalités mais est néanmoins efficace contre ce type d’attaque.

Les formulaires

Les formulaires son une vraie porte ouverte pour les personnes mal intentionnées. Ils permettent aux robots de vous spammer en remplissant votre boîte mail d’annonces, mais aussi aux hackers en herbe de pénétrer sur votre site via des champs de texte mal sécurisés. Pour sécuriser vos formulaires, deux mesures sont importantes : installer un captcha sur chacun de vos formulaires (Recaptcha de Google est le plus novateur et facile d’utilisation pour vos visiteurs) et surtout utiliser des plugins éprouvés pour créér et gérer vos formulaires (Contact Form 7 – gratuit, Gravity From)

Le scan des vulnérabilités

Il se peut que vous ne souhaitiez ou ne puissiez pas appliquer certaines mesures ou mises à jour. Dans ce cas vous pouvez tout de même scanner votre site pour détecter des failles. Les plugings de sécurité évoqués plus haut font cela très bien. Vous pouvez également utiliser le plugin de la société spécialisé en sécurité, Sucuri qui va vous permettre de scanner votre site, de surveiller l’activités des utilisateurs, etc.

Les sauvegardes

Si, malgré toutes ces précautions, quelqu’un parvenait quand même à pénétrer votre site, il pourrait installer des programmes malveillants, ou pire encore, supprimer purement et simplement votre site. Une sauvegarde peut alors vous sauver la vie ! Des outils réalisent cette action de manière automatique et transparente. Itheme Security (évoqué précédemment) gère les sauvegardes, certes pas de la manière la plus simple mais il fait ce qu’on attend de lui. Si vous souhaite dédier un plugin à cette tâche, le très bon BackWPup vous satisfera ou encore VaultPress (payant mais qui s’occupe de tout).

Les utilisateurs

Une des plus grande failles de votre site réside dans les comptes des utilisateurs qui on accès à votre site. Chaque personne qui à accès à votre back-office est un danger potentiel, si cette personne possède un virus, ou bien a défini un mot de passe trop simple, c’est une porte ouverte aux intrusions. Il est donc bon de limiter les droits de certains utilisateurs. Ainsi une personne qui n’a vocation qu’à écrire des articles sur votre site ne devra avoir accès qu’à cela dans le backoffice. Les rôles déjà présents dans wordpress (auteur, éditeur, etc) son suffisants mais si vous souhaitez aller plus loin vous pouvez utilisez User Role Editeur.

Vous pouvez également empêcher les utilisateurs de définir eux-mêmes leurs mots de passe afin de garder ceux générés par wordpress (qui sont longs et complexes).

Si vous souhaitez tout de même surveiller l’ensemble de l’activité de vos utilisateurs (et de leurs actions) je ne peux que vous recommander le très bon Activity Log

Pour aller plus loin

Il y a beaucoup de sujets que nous avons volontairement oubliés, comme la sécurité et la sauvegarde de votre base de données, le htaccess, les droits sur vos fichiers/dossiers, comment cacher votre version de WordPress, changer le préfixe de vos tables, etc.

Si vous souhaitez approfondir le sujet, vous pouvez vous rendre sur WP Secure qui vous fera entrer dans les tréfonds de WordPress, notamment grâce à Advanced guide.

Si cet article vous a plu, nous vous invitons à découvrir notre agence wordpress et à télécharger notre livre blanc « Les 11 commandements d’un site internet qui convertit vos visiteurs en clients »

Nos propositions de site
sous WordPress

 

Mathieu Benhalima

Titulaire d’un Master de chef de projet multimédia, adepte de l’expérimentation, j’ai occupé diverses fonctions chez Schneider Electric et Indexel pendant mes années d’études en alternance : technicien du web, administrateur réseau, intégrateur. J’ai aujourd’hui trouvé ma voie : développeur web. Recruté en 2015 par 1min30, je suis le référent technique et le responsable qualité des sites produits par l’agence. J’anime maintenant une équipe de développeurs. Veilleur infatigable, je suis à l’affût de toutes les nouveautés et travaille en osmose avec les chefs de projet. Vous souhaitez un site performant ? Une infographie animée utilisant les dernières technologies ? Je serais ravi de partager avec vous vos objectifs et de mettre en place la meilleure solution. Contactez-moi et avançons ensemble, ensemble construisons le web de demain.