WordPress est un excellent CMS que beaucoup de nos clients (peut-être vous ?) utilisent. Au vu de sa popularité, il est aussi une cible privilégiée pour les pirates qui veulent utiliser votre site afin de distribuer des virus, d’envoyer du spam ou de lancer des attaques contre d’autres sites. En tant que webmaster WordPress, il vous appartient de sécuriser WordPress pour ne pas vous retrouvez avec un site piraté. Cet article vous permettra de mettre en place une stratégie de sécurité pour votre site WordPress.
Dans 95% des cas, le nettoyage d’un site piraté est une opération qui prend du temps et qui peut être délicate pour quelqu’un qui le fait pour la première fois. En suivant ces recommandations, vous augmenterez très fortement vos chances de ne jamais devoir passer par là.
Conseil N° 1 : Restez à jour pour sécuriser WordPress
La grande majorité des piratages sont possibles car d’anciennes versions de plugins et/ou de WordPress sont utilisées. Pourtant, il est assez simple d’éviter cela car WordPress offre une fonctionnalité de mises à jour en quelques clicks : Cliquez simplement sur « Mises à jour » dans votre « Tableau de bord » Wordpress et vous aurez la possibilité de mettre à jour WordPress, vos plugins et vos thèmes.
Si votre site est hébergé chez AlpHosting, ces mises à jour seront possibles en quelques clicks. Chez d’autres hébergeurs, WordPress vous demandera votre mot de passe FTP lors de la procédure de mise à jour.
En faisant ces mises à jour, vous vous assurez qu’aucun problème de sécurité connu n’est présent sur votre site, ceci réduit grandement les chances de voir votre site piraté.
Conseil N° 2 : Utilisez des mots de passe forts
Pour vos accès d’administrateur WordPress, évitez d’utiliser des mots de passes qui sont facile à deviner. N’utilisez pas simplement une date de naissance ou le nom de votre société. Si votre mot de passe actuel est trop facile à deviner, rendez-vous sur la page « Votre profil » et entrez un nouveau mot de passe qui soit indiqué comme « Fort » par l’indicateur de sécurité. Ne réutilisez pas ce mot de passe sur d’autres sites.
Conseil N° 3 : N’utilisez pas « admin » comme nom d’utilisateur
Par défaut, le nom d’utilisateur de l’administrateur WordPress est « admin ». Si vous utilisez ce nom d’utilisateur, vous rendez service aux pirates qui veulent deviner votre mot de passe, car ils connaissent déjà votre nom d’utilisateur. Pour vérifier que vous n’avez pas d’utilisateur nommé « admin », rendez-vous sur votre « Tableau de bord » et cliquez sur « Utilisateurs ». Si l’utilisateur « admin » se trouve dans la liste, commencez d’abord par créer un autre utilisateur avec le rôle « Administrateur ». Déconnectez-vous de WordPress et connectez-vous avec votre nouvel utilisateur, puis retournez sur la liste des utilisateur et effacez l’utilisateur « admin ». Lorsque vous effacerez celui-ci, WordPress vous donnera la possibilité d’attribuer les articles et pages créés par « admin » à un autre auteur.
Conseil N° 4 : Assurez-vous que vous utilisez les bonnes permissions
Contactez votre hébergeur afin de vous assurer que les permissions que vous utilisez pour les répertoires et les fichiers PHP de votre site sont bonnes. En effet, une mauvaise configuration peut donner accès à vos fichiers à d’autres utilisateurs sur le serveur, ce qui permettrait à un pirate ayant réussi à pirater un autre site que le vôtre de lire vos fichiers et d’obtenir les informations de connexion à votre base de données.
Chez AlpHosting, nous vérifions et corrigeons chaque jours les permissions des fichiers de nos clients, afin que ce genre de situations ne se produisent pas.
Conseil N° 5 : Utilisez un mot de passe différent pour le FTP et pour l’accès MySQL
Si par malheur un pirate arrive à lire votre fichier wp-config.php – ce qui peut arriver s’il exploite un problème de sécurité dans une extension que vous n’auriez pas mise à jour – celui-ci aura accès à votre base de données. Cela n’est déjà pas idéal en soin, mais si le mot de passe utilisé pour accéder à votre base de donnée permet également d’accéder à vos fichiers par FTP, le pirate aura un accès total à votre compte. Si votre hébergeur vous permet de créer un utilisateur MySQL spécifique (comme le fait AlpHosting), utilisez cette fonctionnalité pour ajouter un niveau de protection supplémentaire en cas de piratage de votre site.
Conseil N° 6 : Désactivez l’éditeur de fichiers
Par défaut, le tableau de bord de WordPress permet d’éditer le code source de votre site. Bien que cela soit une fonctionnalité pratique lorsque vous développez un plugin ou un thème WordPress, cela peut être un problème de sécurité si votre mot de passe tombe dans les mauvaises mains. Vous pouvez désactiver l’éditeur de fichiers en ajoutant :
define('DISALLOW_FILE_EDIT', true);
dans votre fichier wp-config.php.
Conseil N° 7 : Sécurisez également votre ordinateur
Assurez-vous de toujours utiliser un anti-virus à jour et appliquez également les mises à jour sur votre ordinateur. Accéder à WordPress depuis un ordinateur qui est compromis peut permettre aux pirates de connaître votre mot de passe WordPress. La règle du « maillon faible » s’applique malheureusement à la sécurité informatique.
Les plugins pour sécuriser WordPress
Il existe un grand nombre de plugins qui permettent d’améliorer la sécurité de WordPress. Certains sont cependant des « usines à gaz » qui font de gros changements sur votre site et qui nécessitent des connaissances poussées pour les utiliser . Si vous avez les connaissances nécessaires pour les administrer, n’hésitez pas à les installer. Sachez cependant que certains des changements faits par ces plugins ne sont pas facilement réversibles et peuvent poser problème. Voici une liste de plugins recommandés : Better WP Security, WordFence ou BulletProof Security.
Votre site chez AlpHosting
Si votre site est hébergé chez AlpHosting, sachez que nous avons mis en place un certain nombre de mesures pour éviter les piratages des sites de nos clients. Par exemple, nous bloquons les tentatives de login répétées sur WordPress à l’aide de règles mod_security. Nous analysons également les fichiers uploadés sur nos serveurs (autant ceux uploadés par nos clients que ceux qui sont envoyés via votre site web) pour supprimer les virus connus et les fichiers utilisés couramment par des pirates.
allani ziad dit
Autant que webmaster et référenceur, je travaille beaucoup avec le CMS WordPress et je constate souvent que les utilisateurs ne prennent pas très au sérieux la question de sécurité..Et pourtant, WordPress est très souvent victimes d’attaques informatiques.
J’ajouterais à la liste des conseils le fait d’installer une solution de backup..
Florian Blaser dit
Bonjour,
Merci pour votre message. Effectivement, faire un backup de son site WordPress est quelque chose que nous conseillons aussi. J’ai d’ailleurs écrit un article là-dessus que vous trouverez en suivant ce lien :
Au plaisir,
Florian
magali dit
bonjour,
pour mes premiers pas sur wordpress, merci de cet article !
Florian Blaser dit
Heureux d’avoir pu vous être utile !