Gérer un site internet peut être source d’angoisses : subir une attaque virtuelle, être piraté ou avoir un site ralenti et pollué par des spams ou actions malveillantes.
Quoi de plus gênant et peu professionnel que de devoir annoncer à vos clients que votre site a été attaqué et qu’ils risquent d’en être les victimes collatérales.
Il est donc vital de sécuriser votre site. Tout comme vous protégez votre ordinateur avec des antivirus et des anti-malwares, vous devez tout mettre en place sur votre installation WordPress pour éviter de devenir la victime de hackers zélés (… et non, cela n’arrive pas qu’aux sites les plus célèbres)
Sécuriser son site contre une attaque de force brute (brute-force attack)
Cette attaque profite d’une vulnérabilité de la méthode « system.multicall » XML-RPC de WordPress. Pour faire simple, elle tente de se connecter à la board d’administration de votre site en testant des combinaisons de login / mot de passe jusqu’à trouver la bonne. Si elle réussit, le hacker prendra le contrôle total de votre site. Cette action est très agressive car elle ne teste pas qu’une combinaison à chaque tentative mais plusieurs (facilement plus de 500). Ainsi, la longueur et la complexité de votre mot de passe ralentira la réussite de l’attaque, mais à force d’acharnement, l’attaque automatisée arrivera à son but. Pour résumer, comme un ordinateur ne se lasse pas…. C’est vous qui perdrez.
Pour réduire à quasiment néant ce risque, vous pouvez instaurer un délai entre chaque tentative de connexion infructueuse.
Notre sélection d’outils :
Il existe une autre méthode qui consiste à désactiver le protocole XML RPC avec un plugin. Nous vous déconseillons fortement cette méthode. Même si elle est efficace, vous risquez de dégrader votre site en bloquant d’autres plugins installés sur votre site (comme Jetpack, une extension répandue).
Configurer le fichier robots.txt
Le fichier « robots.txt » d’une installation wordpress permet d’indiquer aux robots des moteurs de recherche ce qu’ils ont le droit d’indexer, ou non, sur votre site.
Comment y accéder :
- Si vous utiliser Yoast SEO : aller dans SEO> outils > éditeur de fichiers.
- Sinon, vous y aurez accès par votre client FTP habituel (majoritairement FileZilla).
Bloquer l’accès de certains de vos fichiers en racine était une méthode simple et assez satisfaisante. Il y a peu, on vous aurez simplement conseillé de bloquer directement vos dossiers wp-admin, wp-includes et -wp-content (en laissant accès à wp-content/uploads). Cependant, Google veut maintenant pouvoir lire les CSS et JS qui y sont stockés. Par défaut, il est donc impossible de bloquer catégoriquement l’accès à un de ces fichiers. Tout dépend de votre installation… c’est un peu délicat. (n’hésitez pas à nous contacter).
Configurer et sécuriser votre fichier .htaccess
Le fichier .htacces est présent à la racine de votre installation wordpress. C’est lui qui assure le dialogue entre votre site et votre serveur. Il conditionne l’accès à vos fichiers wp-content par n’importe quel utilisateur. Il joue donc un rôle stratégique et le verrouiller renforcera la sécurité de votre site.
Comment y accéder :
- Si vous utiliser Yoast SEO : aller dans SEO> outils > éditeur de fichiers.
- Sinon, vous y aurez accès par votre client FTP habituel (majoritairement FileZilla).
Avant toute modification, copiez votre fichier .htacces initial dans un fichier texte. Cela vous sauvera en cas de mauvaise manipulation.
Rajoutez ensuite ces lignes de codes qui protégeront le fichier .htacces en en interdisant l’accès de l’extérieur.
<files .htaccess> order allow,deny deny from all </files>
Notre astuce : Vous pouvez bannir l’adresse IP d’une personne mal intentionnée, d’un troll ou d’un site tiers en ajoutant ces lignes de code à votre fichier .htacces (l’IP est à personnaliser) :
<Limit GET POST> order allow,deny deny from 123.456.78.9 allow from all </Limit>
Éviter les spams dans les commentaires
Voir apparaître sur votre site des dizaines de commentaires (le plus souvent en langue étrangère et dotés d’un lien sortant) peut rapidement être un problème. Plus votre site gagnera en notoriété et plus ce phénomène de spamming s’accentuera. Pour y faire face, 2 solutions : utiliser une extension dédiée ou, mettre en place un système de validation des commentaires par captcha.
Notre sélection d’outils :
- Askimet (le plus connu) et NospamNX : Ces 2 plugins vous permettent de gérer les commentaires avant leur publication.
- Recaptcha (Google) : Une alternative simple à mettre en place et efficace. Seul bémol cependant, vos utilisateurs peuvent ne pas être fans de cette contrainte qui vous leur imposer. Cependant, cela reste une solution à tester.
Les 2 points de détails à ne pas négliger
Une fois votre site protégé, il faut qu’il le reste. Ne laissez pas vos défenses devenir obsolètes. Prenez le temps de faire les mises à jour régulièrement.
De même, avant toute chose, choisissez un login ET un mot de passe ultra-sécurisés et uniques. Évitez de reprendre une combinaison que vous utilisez déjà ailleurs.
Notre conseil : Un mot de passe doit avoir au moins 8 caractères aléatoires avec des chiffres, des majuscules, des minuscules et des caractères spéciaux.
Pour résumer, sécuriser son site wordpress
Fait partie intégrante d’une maintenance active. Sur internet, vous trouverez aisément des réponses à vos problèmes. Cependant, cette tâche demande rapidement des connaissances en niveau intermédiaire voir expert. Simplement parce que certains plugins ne sont pas compatibles entre eux, ou que d’autres demandent des points de configuration délicate.
En cas de faux pas, vous vous apercevrez rapidement de votre votre erreur (votre site sera en dérangement ou vous recevrez une alerte), d’où l’intérêt de faire des sauvegardes régulières de votre installation wordpress.
Vous avez un doute, vous avez besoin de conseils ciblés, n’hésitez pas à prendre contact avec nous.