Comment rendre son site WordPress Fiable et Sécurisé ?

Le CMS WordPress est accessible à tous. Il n’est pas nécessaire de savoir coder pour publier son contenu. La gestion et la création étant très accessibles, même pour les novices, en fait un outil puissant et polyvalent.
Une infinité de fonctionnalités sont disponibles grâce aux thèmes (4081 thèmes gratuits) et plugins (46 291 plugins gratuits) développés par des tiers.

Sommaire

Pourquoi dois-je sécuriser Mon site WordPress ?

Il est l’outil le plus répandu pour produire son site web :
  • En effet WordPress gère 32% de l’ensemble de l’internet.
  • Environ 19 500 000 sites web sur l’ensemble du Web utilisent WordPress.
C’est certainement à cause de ces chiffres et des 500 nouveaux sites construits quotidiennement que de nombreux hackers tentent de l’attaquer.
 
Les dangers sont multiples, se prémunir des attaques de pirates informatique n’est donc pas une option.
 
Sur les 8 000 sites Web infectés analysés dans une étude en 2016, 74% étaient construits sur WordPress.
Voici le lien vers cette étude : Rapport de sites Web piratés
 
Toutefois les failles du CMS sont rapidement corrigées avant leur propagation grâce aux nombreux patchs.
 
Mais alors d’où vient le problème ?

I. Une Grande faille: humaine

Le facteur humain est bien plus important qu’on ne le pense. La notoriété de WordPress est à double tranchant car il attire des néophytes peu consciencieux. Vous pouvez avoir un antivirus et des tonnes de plugins de sécurité, ça ne suffira pas. Et oui, si vous « donnez » votre mot de passe, toutes ces protections deviennent inutiles.

Il faut donc être conscient des menaces et des divers pièges  du web. Mais également savoir comment sécuriser son site sans compter uniquement sur des plugins. Un utilisateur averti vaut mieux que 100 plugins. Malheureusement certains webmasters négligent encore la sécurité. Même dans les écoles d’informatique la sécurité des sites est une option à peine évoquée.

8% des sites ont été piratés parce qu’ils avaient un mot de passe faible… Ici il s’agit uniquement du pourcentage sur WordPress. Il est donc très important de sécuriser ses mots de passe.

Pourquoi avoir des mots de passe sécurisés ?

Il faut savoir que ce problème concerne tous les utilisateurs (administrateurs, professionnels, utilisateurs lambdas, etc …).

1. L’utilisation d’un mot de passe faible augmente les chances qu’il soit deviné :

  • En effet, d’après une étude de 2013 réalisé par la société Dashlane (start-up française gestionnaire de mots de passe), plus de 80% des clients des boutiques en ligne utilisent un mot de passe simple tel “123456“, “password“, “motdepasse“, “azerty“ etc…
  • Près de 20% des utilisateurs se servent de leur date de naissance comme mot de passe. Ces mots de passe basiques sont très faciles à deviner et à pirater. Ils sont les premiers à être testés que ce soit par des humains ou des robots.

2. L’utilisation d’un mot de passe unique pour plusieurs services :

  • Par exemple utiliser d’un même mot de passe pour s’identifier auprès de sa banque, de sa messagerie et de boutiques en ligne.

Si le mot de passe unique est découvert par une personne mal intentionnée (pirate, hacker), il sera facile pour elle de se connecter aux différents services qui utilisent le même mot de passe.

Comment créer un mot de passe sécurisé ?

Description de la vidéo : étapes pour choisir un bon mot de passe

1. Un bon mot de passe est constitué d’au moins 8 à 12 caractères et devrait contenir 3 types de caractères différents : minuscule, majuscule, chiffres, caractères spéciaux comme une virgule, un tiret, un point, une parenthèse etc…

2. Vous devriez utiliser un mot de passe différent pour chaque site ou service web.

3. La double authentification liant votre mot de passe à une adresse email ou à un téléphone est une bonne façon de renforcer la sécurité.

Ce que vous ne devriez pas faire avec vos mots de passe

1.  Un mot de passe ne doit pas être en lien évident avec l’utilisateur : évitez donc votre date de naissance, ville de naissance ou de résidence, le prénom de votre conjoint(e), de vos enfants ou de votre animal de compagnie.

2. Afin d’éviter tout problème de vol de mot de passe, ne conservez pas vos mots de passe dans un fichier ou sur papier

3. Une attaque très connue et répandue est l’attaque par force brute ( nous verrons cette attaque en détail dans un prochain article) :

  • Pour faire court, c’est une méthode utilisée pour tester, une à une, toutes les combinaisons possibles. Cette méthode est considérée comme la plus simple à mettre en place. Il sera alors facile de trouver le mot de passe pour l’attaquant si celui-ci est en lien avec l’utilisateur/est un mot de passe « bateau » :admin, admin01, azerty, 1234, etc …

Le compte Admnistrateur

Il est essentiel d’aborder la notion d’administrateur.

Le rôle d’administrateur est attribué lors de l’installation. En tant qu’administrateur, vous avez la main sur votre installation. C’est pour cela que les pirates et robots essaient d’en prendre le contrôle. Il est conseillé de supprimer le compte « admin »  mais attention !

  • Afin d’éviter que des robots viennent par défaut essayer de se connecter via l’ « admin » il ne faut pas laisser les inscriptions WordPress ouvertes. Sinon n’importe qui peut créer ce compte à votre place.
  • Même si nous créons à nouveau ce compte il sera par défaut en  abonné et non plus admin. Mais il  réside un danger, une faille où être connecté avec un compte appelé « admin » ou « administrateur » donne certains droits d’accès sur le site.

Il est donc conseillé après sa création de l’éditer en lui attribuant : Aucun rôle. Ce qui rendra impossible la connexion  au site pour ce compte.

Certains plugins dédiés au e-commerce proposent la création de comptes utilisateurs/clients. Le souci est qu’ils permettent parfois l’attribution excessive de droits.

II. Les Plugins, un nid à Virus !

Les Plugins WordPress ont été téléchargés plus d’un milliard de fois au total.

  • Akismet est le plugin le plus populaire de tous les temps.
  • La deuxième place revient à Jetpack avec plus de 53 millions de téléchargements.
  • 11 plugins ont atteint plus de 7 millions de téléchargements.
  • 19 plugins ont atteint la barre des 1 million d’installations actives.
  • WooCommerce gère 28% de tous les magasins en ligne dans le monde, avec plus de 30 millions de téléchargements à ce jour.
Aviez-vous connaissance de ces chiffres ?

Pourquoi les plugins sont à la 3ème place des dangers de WordPress ?

En juin 2013, le laboratoire de recherche de Checkmarx a effectué un audit complet des plugins afin de tester leur sécurité. Sur 50 plugins WordPress les plus populaires, 20% étaient vulnérables aux attaques web courantes.

Les vulnérabilités les plus connues sont :

  • Injection SQL
  • Faille XSS
  • Script intersite

Elles permettent aux utilisateurs malveillants de voler des données à partir d’installations WordPress cibles.

Si un pirate informatique exploite l’une des vulnérabilités découvertes, il peut accéder aux informations sensibles stockées:

  • coordonnées du client
  • les noms d’utilisateurs et mots de passe
  • les informations de santé et les informations financières

Il peut aussi :

  • Modifier le blog ou le site WordPress ou rediriger les visiteurs vers un autre site frauduleux
  • Lancer une infection de masse
  • Distribuer des logiciels malveillants

Comment choisir le bon Plugin ?

Description de la vidéo : étapes pour bien choisir un plugin

Lorsque vous recherchez un plugin pour WordPress, vous devez garder à l’esprit plusieurs choses.

  • Les plugins sont des scripts puissants qui s’installent dans votre installation WordPress pour étendre les fonctionnalités de votre blog ou de votre site WordPress.
  • Les plugins sont open source, généralement.
  • Certains auteurs de plugins peuvent même être des développeurs inexpérimentés ou des personnes qui n’ont pas le temps de maintenir la sécurité du plugin et de se tenir au courant des nouvelles versions de WordPress.
  • Un plugin peut compromettre la sécurité de votre installation en partie ou totalement.

1. Télécharger un plugin WordPress

Téléchargez toujours un plugin pour WordPress à partir du répertoire officiel de plugin WordPress.

  • En téléchargeant un plugin à partir de ce répertoire, vous vous assurez que le plugin est légitime. S’il y a un problème avec l’un des plugins, les gens se plaindront en masse et le problème sera vite corrigé.
  • Vous serez averti quand une mise à jour est disponible pour le plugin et il est également facile de mettre à jour le plugin sans subir aucune interruption de site Web.

La seule raison pour laquelle vous auriez besoin de télécharger un plugin à partir d’un site Web tiers est qu’il répond à un besoin très spécifique et n’est pas encore répertorié chez WordPress. Dans ce cadre, redoublez de vigilance concernant la réputation du site en question.

2. Choisir un plugin pour WordPress

Lors d’une recherche de plugin pour un besoin particulier vous trouverez des dizaines de résultats de plugins répondant à vos besoins. Choisissez au plus 5 plugins et utilisez les astuces ci-dessous pour choisir le meilleur :

 

a) Combien de fois le plugin a-t-il été téléchargé ?

Plus il a été téléchargé, plus il est populaire. Un plugin devient populaire car il est bien entretenu et fonctionne bien.

b) Notation du plugin WordPress

La note du plugin WordPress est un reflet de la qualité du plugin. Si un plugin WordPress n’a pas suffisamment d’avis, on ne peut pas juger de sa qualité. On évitera donc de le télécharger.

Un bon plugin pour WordPress qui fonctionne comme promis aura certainement une très bonne note. Ne choisissez jamais un plugin avec moins de 3 étoiles.

c) Quelle version de WordPress le plugin prend-il en charge ?

Si le plugin n’a pas été mis à jour récemment, il risque de ne pas fonctionner avec les dernières versions de WordPress. Il est possible que le plugin fonctionne avec la dernière version de WordPress bien que cela ne soit pas indiqué dans sa fiche technique. Néanmoins cela représente un risque qu’il faut éviter de prendre.

d) Quand le plugin WordPress a-t-il été mis à jour pour la dernière fois ?

Parfois les plugins ne sont plus entretenus par leur auteur provoquant des dysfonctionnements à long terme. Si un plugin n’a pas été mis à jour depuis plus d’un an, c’est qu’il n’est pas maintenu. Si cela fait plus de 2 ans, le répertoire de plugin WordPress émet une alerte. Si des bugs sont découverts dans ce plugin, ils ne seront jamais corrigés.

e) Forums d’assistance WordPress pour plugins

Sur chaque page du plugin WordPress, vous verrez un bouton « Afficher les forums d’assistance ». C’est à cet endroit que les utilisateurs de plug-in publient leurs commentaires, plaintes et rapports de bugs. Certains plugins, surtout les plus populaires, peuvent également avoir leur propre page de forum. Ce forum est un bon indicateur pour savoir si l’auteur répond aux plaintes et aux commentaires.

III. Les Thèmes

Les thèmes sont un moyen de personnaliser l’apparence globale de son site web. Un thème WordPress est un ensemble de fichiers : templates PHP, feuilles de style CSS, images par défaut, scripts et fonctions en JS, … Il permet au moteur WordPress d’afficher votre site aux internautes. L’optimisation d’un thème se juge par la qualité du code présent dans ses fichiers. Plus un thème est optimisé, plus il se charge vite.

Il existe un large choix de thèmes gratuits ou payants. Ils ont beaucoup de succès, 123 498 018 téléchargements sur wordpress.org en 2014 !

Quels dangers se cachent derrière les thèmes ?

Les thèmes WordPress proposés sur Internet induisent les risques suivants:

  1. Des malwares cachés sont présents sur la plupart des modèles gratuit.
  2. Les thèmes gratuits contiennent parfois des virus susceptibles d’endommager vos fichiers de données.
  3. Parfois il n’y a pas de support technique pour ces thèmes WordPress gratuits.
  4. Des poursuites peuvent être intentées contre vous si vous utilisez un thème piraté ou votre hébergeur peut suspendre votre compte.
  5. Les thèmes infectés génèrent souvent du spam.

Comment choisir son thème de façon sûre ?

  • L’endroit le plus sûr pour choisir son thème reste encore WordPress.org. C’est un endroit digne de confiance !
  • Il existe aussi des plateformes comme ThemeForest  qui propose d’excellents thèmes.

Il y a plus de 11 000 thèmes WordPress sur ThemeForest.

Divi, Avada et Genesis sont les trois thèmes WordPress les plus populaires en ce qui concerne le nombre d’installations. Ensemble, ils détiennent 17% du marché.

Il existe des extensions, comme Theme Authenticity Checker qui ont pour mission d’analyser tous vos fichiers pour identifier le code malveillant ou indésirable.

Conclusion

Il existe des grandes failles WordPress :

  • L’Homme
  • Les Plugins
  • Les Thèmes

Notre vigilance est mise à rudes épreuves quelle que soit la faille. La sécurité n’est pas un acquis car de nouvelles failles peuvent apparaître. Il faut donc se tenir à jour et revoir la sécurité de ses sites régulièrement. L’homme ayant une responsabilité dans tous les problèmes de sécurité.

Consulter régulièrement les forums et le site officiel WordPress.org est une bonne pratique. Mettre à jour le thème et les extensions de son site est essentiel pour bloquer les nouvelles attaques.

Il existe toutefois une 4ème faille très importante. Il s’agit des « Hébergeurs », 41% des WordPress ont été piratés via une vulnérabilité de sécurité sur leur plate-forme d’hébergement.

Ce sujet sera abordé également sur le site. Il  mérite d’ailleurs un article à lui tout seul, car on peut en dire beaucoup de choses.

 « Coming soon » :

  • D’où viennent les vulnérabilités des plateformes d’hébergement ?
  • Comment choisir une plateforme d’hébergement sécurisée ?
2019-05-29T19:40:05+00:00

About the Author:

Clément Guinchard, Dev Full Stack Junior, Web développeur et passionné de sécurité informatique.