Sécuriser un site WordPress

Avoir un site WordPress est une étape fantastique pour votre présence en ligne. Cependant, une fois votre site en place, la question de sa sécurité devient non seulement importante, mais absolument vitale. Dans un paysage numérique où les menaces évoluent constamment, négliger la protection de votre site, c'est s'exposer à des risques majeurs : perte de données, défiguration du site, vol d'informations sensibles, impact sur votre réputation, et même des pénalités SEO. Notre expérience montre que même les plus petits sites sont la cible de milliers de tentatives de piratage chaque jour.

Ce guide exhaustif a été conçu pour vous, que vous soyez novice ou utilisateur expérimenté, afin de vous fournir toutes les clés pour une sécurité WordPress ultime. Nous allons explorer en profondeur les meilleures pratiques, les outils indispensables et les stratégies avancées pour transformer votre site en une forteresse imprenable. Préparez-vous à maîtriser la sécurité de votre site WordPress de A à Z.

Les fondamentaux de la sécurité WordPress

Maintenir WordPress, thèmes et plugins à Jour : la règle d'or

La mise à jour est la première ligne de défense et la plus cruciale. Chaque nouvelle version de WordPress, de vos thèmes et de vos plugins n'apporte pas seulement de nouvelles fonctionnalités, mais surtout des correctifs de sécurité essentiels.

Ces correctifs bouchent les failles de sécurité découvertes dans les versions précédentes, empêchant ainsi les attaquants de les exploiter.

Pourquoi c'est crucial ? Selon des rapports de sécurité comme ceux de Sucuri ou Wordfence, une grande majorité des sites WordPress compromis le sont à cause de logiciels obsolètes. Une vulnérabilité connue est une porte ouverte pour les pirates.

Comment faire ?

• Accédez à votre tableau de bord WordPress et naviguez vers Tableau de bord > Mises à jour.
• Appliquez immédiatement toutes les mises à jour disponibles pour le cœur de WordPress, vos thèmes et vos plugins.
• Pour une sécurité accrue et pour ne jamais manquer une mise à jour, envisagez d'activer les mises à jour automatiques pour les versions mineures de WordPress et, avec prudence, pour les plugins et thèmes fiables.

Utiliser des mots de passe forts et l'authentification à deux facteurs (2FA)

Vos identifiants de connexion sont la clé de votre site. Un mot de passe faible est une invitation ouverte aux attaques par force brute, où les pirates tentent des milliers de combinaisons jusqu'à trouver la bonne.

Des mots de passe comme "admin123" ou "password" sont compromis en quelques secondes.

Pourquoi c'est crucial ? Les attaques par force brute sont parmi les plus courantes. Un mot de passe complexe rend ces attaques exponentiellement plus difficiles.

Comment faire ?

• Choisissez un mot de passe complexe : Il doit contenir au moins 12 caractères, incluant des majuscules, des minuscules, des chiffres et des symboles.
• Utilisez un gestionnaire de mots de passe : Des outils comme KeePass, LastPass ou 1Password génèrent et stockent des mots de passe forts en toute sécurité.
• Activez l'authentification à deux facteurs (2FA) : Le 2FA ajoute une couche de sécurité supplémentaire. Après avoir entré votre mot de passe, un second code (envoyé sur votre téléphone via une application comme Google Authenticator ou par SMS) est requis. Cela signifie que même si un pirate découvre votre mot de passe, il ne pourra pas se connecter sans votre appareil.

De nombreux plugins de sécurité comme Wordfence Security ou SolidWP (anciennement iThemes Security) offrent des fonctionnalités 2FA intégrées.

Protection des accès et de l'administration

 

Changer l'URL de connexion par défaut

Par défaut, l'URL de connexion à WordPress est "https://votresite.com/wp-login.php" ou "https://votresite.com/wp-admin". Cette URL est universellement connue des pirates et est la première cible des attaques automatisées.

Pourquoi c'est crucial ? Modifier cette URL ne rend pas votre site impénétrable, mais cela élimine une cible évidente pour les bots et les scripts d'attaque par force brute, réduisant considérablement le "bruit" et les tentatives d'accès non autorisées.

Comment faire ?

• Utilisez un plugin dédié comme WPS Hide Login. Ce plugin vous permet de définir une URL de connexion personnalisée et de bloquer l'accès aux anciennes URL par défaut.
• Alternativement, certains plugins de sécurité tout-en-un comme WP Cerber ou SolidWP incluent cette fonctionnalité.

Limiter les tentatives de connexion

Les attaques par force brute consistent à essayer un grand nombre de combinaisons de noms d'utilisateur et de mots de passe. Limiter le nombre de tentatives de connexion autorisées par adresse IP ou par utilisateur est une mesure simple mais très efficace.

Pourquoi c'est crucial ? Cela rend les attaques par force brute inefficaces en bloquant les tentatives répétées et suspectes, protégeant ainsi vos identifiants.

Comment faire ?

• Installez un plugin comme Limit Login Attempts Reloaded. Ce plugin vous permet de définir le nombre maximal de tentatives échouées avant de bloquer temporairement l'adresse IP de l'attaquant. Vous pouvez également configurer des alertes par e-mail en cas d'activité suspecte.
• Les plugins de sécurité complets comme Wordfence ou Sucuri offrent également cette fonctionnalité, souvent avec des options plus avancées de détection d'intrusion.

Gérer les rôles utilisateurs et les permissions

Le principe du moindre privilège est fondamental en sécurité : chaque utilisateur ne devrait avoir que les permissions strictement nécessaires à l'accomplissement de ses tâches. WordPress propose plusieurs rôles (Administrateur, Éditeur, Auteur, Contributeur, Abonné).

Pourquoi c'est crucial ? Limiter les permissions réduit la surface d'attaque. Si un compte non-administrateur est compromis, les dégâts potentiels sont moindres. Ne donnez jamais le rôle d'administrateur à quelqu'un qui n'en a pas absolument besoin.

Comment faire ?

• Vérifiez régulièrement la liste de vos utilisateurs (Utilisateurs > Tous les utilisateurs).
• Supprimez les comptes inutilisés.
• Attribuez le rôle le moins privilégié possible à chaque utilisateur. Par exemple, un rédacteur n'a pas besoin d'être administrateur.
• Pour une gestion plus fine des permissions, des plugins comme User Role Editor peuvent être utilisés.

Protection des fichiers et de la base de données

Modifier le préfixe de la base de données

Lors de l'installation de WordPress, le préfixe par défaut des tables de la base de données est "wp_". Ce préfixe est bien connu des attaquants et est souvent la première cible des injections SQL.

Pourquoi c'est crucial ? Changer ce préfixe rend les attaques par injection SQL plus difficiles, car les pirates ne peuvent pas deviner facilement le nom de vos tables de base de données.

Comment faire ?

• Idéalement, modifiez le préfixe lors de l'installation de WordPress.
• Si votre site est déjà en ligne, vous pouvez utiliser un plugin comme SolidWP qui propose une option pour modifier le préfixe des tables existantes. Attention : cette opération est délicate et nécessite une sauvegarde complète préalable de votre site.

Désactiver l'édition de fichiers dans l'administration

WordPress permet d'éditer les fichiers de votre thème et de vos plugins directement depuis le tableau de bord (Apparence > Éditeur de thème, Plugins > Éditeur de plugin). Bien que pratique, cette fonctionnalité représente un risque de sécurité majeur.

Pourquoi c'est crucial ? Si un attaquant parvient à accéder à votre tableau de bord, il pourrait utiliser cet éditeur pour injecter du code malveillant directement dans les fichiers de votre site, compromettant ainsi l'intégralité de votre installation.

Comment faire ?

• Ajoutez la ligne de code suivante dans votre fichier wp-config.php (situé à la racine de votre installation WordPress) :
  define('DISALLOW_FILE_EDIT', true);
• Cette ligne désactivera l'éditeur de fichiers dans l'administration, vous obligeant à utiliser un client FTP ou le gestionnaire de fichiers de votre hébergeur pour toute modification de code, ce qui est une pratique plus sûre.

Protéger les Fichiers Sensibles : wp-config.php et .htaccess

Les fichiers wp-config.php et .htaccess sont parmi les plus critiques de votre installation WordPress. Le premier contient les identifiants de votre base de données et des clés de sécurité uniques, tandis que le second gère les règles de réécriture d'URL et les directives de sécurité du serveur.

Pourquoi c'est crucial ? L'accès non autorisé à ces fichiers peut donner à un attaquant le contrôle total de votre site ou de votre serveur.

Comment faire ?

• Protection de wp-config.php : Ajoutez les lignes suivantes au début de votre fichier .htaccess (situé à la racine de votre site) pour bloquer l'accès direct à wp-config.php :

  <Files wp-config.php>
  Order allow,deny
  Deny from all
  </Files>

• Protection de .htaccess : Protégez également le fichier .htaccess lui-même en ajoutant ces lignes dans le même fichier .htaccess :

  <Files .htaccess>
  Order allow,deny
  Deny from all
  </Files>

Ces règles empêchent l'accès via le navigateur à ces fichiers critiques, même si un attaquant connaît leur emplacement.

Gérer les permissions des fichiers et dossiers (CHMOD)

Les permissions de fichiers et de dossiers (CHMOD) définissent qui peut lire, écrire ou exécuter des fichiers sur votre serveur. Des permissions incorrectes peuvent permettre à des attaquants d'injecter du code malveillant ou de modifier des fichiers.

Pourquoi c'est crucial ? Des permissions trop permissives (ex: 777) sont une faille de sécurité majeure. Elles permettent à n'importe qui d'écrire dans vos fichiers.

Comment faire ?

• Utilisez un client FTP (comme FileZilla) ou le gestionnaire de fichiers de votre hébergeur pour vérifier et modifier les permissions.
• Recommandations générales :
  • Dossiers : 755 (lecture et exécution pour tous, écriture pour le propriétaire).
  • Fichiers : 644 (lecture pour tous, écriture pour le propriétaire).
  • Fichier wp-config.php : 640 ou 600 pour une sécurité maximale.
• Ne jamais utiliser 777 pour les dossiers ou fichiers sur un serveur de production.

Nettoyage de base de données

Une base de données WordPress peut accumuler des données inutiles au fil du temps (révisions d'articles, commentaires en attente, transients expirés, etc.). Bien que ce ne soit pas une faille de sécurité directe, une base de données propre est plus performante et moins susceptible de contenir des résidus de code malveillant après une attaque.

Pourquoi c'est crucial ? Une base de données optimisée contribue à la santé globale de votre site et peut faciliter la détection d'anomalies.

Comment faire ?

• Utilisez des plugins d'optimisation comme WP-Optimize ou WP-Sweep pour nettoyer et optimiser votre base de données.
• Important : Toujours effectuer une sauvegarde complète de votre base de données avant toute opération de nettoyage.

Sécurité avancée et protection globale

Installer un plugin de sécurité robuste

Les plugins de sécurité sont des outils tout-en-un qui offrent une suite de fonctionnalités pour protéger votre site, allant du pare-feu à la détection de malwares.

Pourquoi c'est crucial ? Ils agissent comme un bouclier proactif, surveillant les activités suspectes, bloquant les attaques et vous alertant en cas de problème.

Comment faire ?

• Choisissez un plugin de sécurité réputé et bien maintenu. Les leaders du marché incluent :
  • Wordfence Security : Offre un pare-feu (WAF), un scanner de malwares, la limitation des tentatives de connexion, et le 2FA.
  • Sucuri Security : Connu pour son pare-feu cloud (WAF) et ses capacités de nettoyage post-hack.
  • SolidWP : Propose une large gamme de fonctionnalités, y compris la protection contre la force brute, la détection de changements de fichiers, et la modification du préfixe de la base de données.
  • WP Cerber Security : Un excellent choix pour la protection contre la force brute, la détection d'intrusion et le blocage d'IP malveillantes.
• Configurez-les correctement et programmez des scans réguliers pour vérifier l'intégrité de vos fichiers et détecter d'éventuels malwares.

Utilisation et importance du protocole SSL/HTTPS

Le protocole SSL (Secure Sockets Layer) ou son successeur TLS (Transport Layer Security) est essentiel pour chiffrer la connexion entre le navigateur de l'utilisateur et votre site web. Un site sécurisé par HTTPS affiche un cadenas dans la barre d'adresse du navigateur.

Pourquoi c'est crucial ?

• Confidentialité des données : Protège les informations échangées (identifiants, données de paiement) contre l'interception.
• Confiance des utilisateurs : Le cadenas vert rassure vos visiteurs.
• SEO : Google favorise les sites HTTPS dans ses classements.

Comment faire ?

• Obtenez un certificat SSL. De nombreux hébergeurs proposent des certificats gratuits via Let's Encrypt.
• Installez le certificat sur votre hébergement.
• Configurez WordPress pour utiliser HTTPS en permanence. Des plugins comme Really Simple SSL peuvent automatiser ce processus en redirigeant tout le trafic HTTP vers HTTPS.

Sécurité au niveau de l'hébergeur

La sécurité de votre site WordPress commence par un hébergeur fiable comme O2Switch. Un bon hébergeur met en place des mesures de sécurité robustes au niveau du serveur, souvent invisibles pour l'utilisateur final.

Pourquoi c'est crucial ? Même avec toutes les précautions côté WordPress, un hébergeur vulnérable peut compromettre votre site. L'hébergeur est votre première ligne de défense contre les attaques au niveau de l'infrastructure.

Mesures clés d'un bon hébergeur :

• Pare-feu (Firewall) : Protection contre les intrusions et le trafic malveillant.
• WAF (Web Application Firewall) : Filtre le trafic HTTP/HTTPS pour bloquer les attaques spécifiques aux applications web (injections SQL, XSS).
• Isolation des comptes : Chaque site est isolé des autres sur le même serveur, empêchant une compromission de se propager.
• Sauvegardes côté serveur : Des sauvegardes régulières et automatiques de votre site.
• Protection DDoS : Défense contre les attaques par déni de service distribué.
• Mises à jour du serveur PHP : Assurez-vous que votre hébergeur utilise une version récente et supportée de PHP, car les anciennes versions peuvent contenir des vulnérabilités.

Utilisation d'un CDN pour la sécurité

Un Réseau de Diffusion de Contenu (CDN) comme Cloudflare peut améliorer la sécurité de votre site en agissant comme un proxy entre vos visiteurs et votre serveur.

Pourquoi c'est crucial ?

• Protection DDoS : Les CDN peuvent absorber et filtrer le trafic malveillant des attaques DDoS avant qu'il n'atteigne votre serveur.
• WAF intégré : De nombreux CDN incluent un pare-feu applicatif web qui bloque les requêtes suspectes.
• Masquage de l'IP d'origine : Votre adresse IP réelle est cachée, rendant les attaques directes sur votre serveur plus difficiles.

Comment faire ? Inscrivez-vous à un service CDN et configurez-le pour qu'il gère le trafic de votre site. Cela implique généralement de modifier les serveurs de noms de votre domaine.

Désactiver XML-RPC (si non utilisé)

XML-RPC est un protocole qui permet à des applications externes de communiquer avec votre site WordPress. Il est utilisé par des fonctionnalités comme l'application mobile WordPress ou Jetpack. Cependant, il a été historiquement une source de vulnérabilités, notamment pour les attaques par force brute et DDoS.

Pourquoi c'est crucial ? Si vous n'utilisez pas de fonctionnalités qui dépendent de XML-RPC, le désactiver supprime une surface d'attaque potentielle.

Comment faire ?

• Vous pouvez désactiver XML-RPC en ajoutant la ligne suivante à votre fichier .htaccess :

  # Bloquer XML-RPC
  <Files xmlrpc.php>
  Order allow,deny
  Deny from all
  </Files>

• Certains plugins de sécurité offrent également une option pour désactiver XML-RPC.

Protection contre les spams (commentaires, formulaires)

Les spams ne sont pas seulement une nuisance ; ils peuvent aussi être un vecteur d'attaques (liens malveillants, injections de code). Les commentaires et formulaires de contact sont les cibles principales.

Pourquoi c'est crucial ? Réduire le spam améliore la sécurité, la réputation de votre site et l'expérience utilisateur.

Comment faire ?

• Utilisez un plugin anti-spam comme Akismet Anti-Spam (pré-installé avec WordPress, nécessite une clé API) ou encore Antispam Bee.
• Implémentez des CAPTCHA ou reCAPTCHA sur vos formulaires de commentaires et de contact.
• Modérez les commentaires avant publication.

En-têtes de sécurité HTTP

Les en-têtes de sécurité HTTP sont des directives envoyées par votre serveur au navigateur de l'utilisateur pour renforcer la sécurité. Ils peuvent prévenir des attaques courantes comme le Cross-Site Scripting (XSS) ou le Clickjacking.

Pourquoi c'est crucial ? Ils ajoutent une couche de protection côté client, forçant les navigateurs à se comporter de manière plus sécurisée.

Exemples d'en-têtes importants :

• Content-Security-Policy (CSP) :Contrôle les ressources que le navigateur est autorisé à charger.
• X-XSS-Protection : Active le filtre anti-XSS intégré aux navigateurs.
• X-Content-Type-Options : Empêche le navigateur de "deviner" le type de contenu, réduisant les attaques de type "MIME-sniffing".
• Strict-Transport-Security (HSTS) : Force le navigateur à utiliser HTTPS pour toutes les futures connexions.

Comment faire ? Vous pouvez ajouter ces en-têtes via votre fichier .htaccess ou en utilisant un plugin de sécurité qui offre cette fonctionnalité comme Headers Security Advanced & HSTS WP.

Surveillance et récupération : le plan B indispensable

Sauvegarder régulièrement son site : votre assurance ultime

Même avec toutes les mesures de sécurité en place, le risque zéro n'existe pas. Une attaque réussie, une erreur humaine ou un problème technique peuvent survenir. C'est pourquoi des sauvegardes régulières et fiables sont votre filet de sécurité indispensable.

Pourquoi c'est crucial ? Une sauvegarde récente vous permet de restaurer rapidement votre site à un état fonctionnel après un incident, minimisant ainsi les temps d'arrêt et la perte de données.

Comment faire ?

• Ne comptez pas uniquement sur votre hébergeur : Bien que la plupart des hébergeurs effectuent des sauvegardes, il est crucial d'avoir vos propres sauvegardes accessibles et sous votre contrôle.
• Utilisez un plugin de sauvegarde : Des plugins comme UpdraftPlus, BackWPup ou All-in-One WP Migration permettent d'automatiser les sauvegardes de vos fichiers et de votre base de données.
• Stockez les sauvegardes hors site : Ne laissez pas vos sauvegardes sur le même serveur que votre site. Utilisez des services de stockage cloud comme Google Drive, Dropbox, Amazon S3, ou un serveur FTP distant. Si votre serveur est compromis, vos sauvegardes locales le seraient aussi.
• Testez vos sauvegardes : Assurez-vous que vos sauvegardes sont fonctionnelles en effectuant des restaurations de test sur un environnement de développement.

Pour en savoir plus, lisez mon article comment sauvegarder un site WordPress.

Pour une gestion avancée de plusieurs sites et de leurs sauvegardes, vous pouvez consulter des solutions comme ManageWP.

Surveillance des logs et alertes de sécurité

Les logs de votre serveur et de WordPress enregistrent toutes les activités. Les surveiller permet de détecter des tentatives d'intrusion, des erreurs ou des comportements anormaux avant qu'ils ne deviennent des problèmes majeurs.

Pourquoi c'est crucial ? Une surveillance proactive permet d'identifier les menaces tôt et de réagir rapidement, transformant une tentative d'attaque en un simple incident sans conséquence.

Comment faire ?

• Logs du serveur : Accédez aux logs d'accès et d'erreurs de votre serveur via le panneau de contrôle de votre hébergeur (cPanel, Plesk, etc.).
• Plugins de sécurité : Les plugins comme Wordfence ou SolidWP ont des fonctionnalités de journalisation et d'alerte. Ils peuvent vous envoyer des notifications par e-mail en cas de tentatives de connexion échouées, de modifications de fichiers ou d'activités suspectes.
• Surveillance externe : Des services comme UptimeRobot peuvent vous alerter si votre site est hors ligne, ce qui pourrait indiquer un problème de sécurité.

Que faire en cas de piratage ? Le plan de récupération

Malgré toutes les précautions, un piratage peut arriver. Avoir un plan de réaction rapide est essentiel pour minimiser les dégâts et restaurer votre site.

Pourquoi c'est crucial ? La rapidité de réaction est primordiale pour limiter la propagation du malware, protéger vos données et celles de vos utilisateurs, et rétablir votre réputation.

Étapes immédiates en cas de piratage :

1. Restez calme : La panique ne vous aidera pas.
2. Mettez votre site hors ligne : Cela empêche le malware de se propager ou de causer plus de dégâts. Vous pouvez le faire via votre hébergeur ou en renommant le dossier public_html (ou www selon votre config) en public_html_off (ou un autre nom).
3. Changez tous les mots de passe : De WordPress (tous les utilisateurs), de votre base de données, de votre compte FTP, de votre panneau d'hébergement, et même de vos e-mails liés au site.
4. Restaurez une sauvegarde propre : Utilisez une sauvegarde datant d'avant le piratage. Assurez-vous qu'elle est exempte de malware.
5. Nettoyez les fichiers : Si une restauration n'est pas possible ou suffisante, utilisez un scanner de malware (via un plugin de sécurité ou un service externe comme Sucuri SiteCheck) pour identifier et supprimer les fichiers infectés.
6. Vérifiez les utilisateurs : Assurez-vous qu'aucun nouveau compte administrateur n'a été créé.
7. Mettez tout à jour : Une fois le site propre, assurez-vous que WordPress, les thèmes et les plugins sont à jour.
8. Contactez votre hébergeur : Ils peuvent avoir des outils pour vous aider à identifier la source du problème.
9. Surveillez : Après la restauration, surveillez attentivement votre site pour détecter toute activité suspecte.

Conclusion : la sécurité WordPress, un processus continu

La sécurité de votre site WordPress n'est pas une tâche ponctuelle, mais un processus continu. Les menaces évoluent, et vos défenses doivent évoluer avec elles.

En adoptant les pratiques détaillées dans ce guide – des fondamentaux comme les mises à jour et les mots de passe forts, aux mesures avancées comme les pare-feu applicatifs et la surveillance des logs – vous construisez une protection robuste et durable pour votre site.

N'attendez pas qu'il soit trop tard. Chaque minute passée à renforcer la sécurité de votre site est un investissement qui vous épargnera des heures de stress et des pertes potentielles. Mettez en œuvre ces conseils dès aujourd'hui et naviguez l'esprit tranquille dans le monde numérique.

Foire Aux Questions (FAQ) sur la sécurité WordPress

Mon petit site WordPress est-il vraiment une cible pour les pirates ?

Absolument. Les pirates utilisent souvent des scripts automatisés qui scannent des milliers de sites à la recherche de vulnérabilités connues, sans distinction de taille ou de popularité. Même un site personnel ou un blog de niche peut être compromis et utilisé pour envoyer du spam, héberger du contenu malveillant ou lancer des attaques DDoS.

Est-ce qu'un seul plugin de sécurité suffit pour protéger mon site ?

Un plugin de sécurité robuste est un excellent point de départ et offre une protection significative. Cependant, la sécurité repose sur une approche multicouche. Elle doit être complétée par de bonnes pratiques (mots de passe forts, mises à jour régulières), une sécurité au niveau de l’hébergeur et des sauvegardes externes. Un plugin seul ne peut pas tout faire.

Combien de temps faut-il pour sécuriser un site WordPress ?

Les étapes initiales (mises à jour, mots de passe, 2FA, installation d’un plugin de sécurité) peuvent être réalisées en quelques heures. Cependant, la sécurité est un processus continu qui demande une vigilance régulière (surveillance, nouvelles mises à jour, tests des sauvegardes). C’est un investissement de temps qui en vaut la peine.

Puis-je sécuriser mon site WordPress sans connaissances techniques ?

Oui, de nombreuses mesures de sécurité peuvent être mises en œuvre facilement grâce à des plugins conviviaux et des interfaces d’hébergement intuitives. Ce guide est conçu pour être accessible. Pour les aspects plus techniques (comme la modification du fichier .htaccess), des instructions claires sont fournies, mais une certaine prudence est toujours de mise.

Que faire si mon site est déjà piraté ?

Si votre site est piraté, la première étape est de le mettre hors ligne pour éviter plus de dégâts. Ensuite, changez tous vos mots de passe, restaurez une sauvegarde propre (datant d’avant le piratage) et utilisez un scanner de malware pour nettoyer les fichiers restants. Si vous n’êtes pas sûr, contactez un professionnel de la sécurité WordPress ou votre hébergeur.