La sécurité d’un site WordPress est l’un des éléments les plus importants à surveiller régulièrement pour éviter les piratages, les pertes de données, les erreurs fatales et autres joyeusetés. Il est donc essentiel de réaliser un audit de sécurité WordPress de temps en temps, mais surtout d’adopter les bonnes pratiques de sécurité au quotidien. Dans cet article, nous allons voir comment effectuer cet audit et quels composants du site doivent être vérifiés.
1. Qu’est-ce qu’un audit de sécurité WordPress
Un audit de sécurité WordPress est une vérification globale des paramètres de sécurité d’un site, mais aussi de sa bonne santé générale. Il permet de mettre en évidence les points faibles de la sécurité de WordPress et surtout d’y remédier. C’est pourquoi, effectuer un audit régulièrement, tous les trimestres, par exemple, est essentiel pour vous assurer que la protection de votre site ne comporte pas de faille exploitable.
1.1 Corriger les problèmes
Par ailleurs, le processus complet ne devrait pas prendre plus de quelques minutes et les solutions aux problèmes rencontrés pourront être mises en place rapidement, elles aussi. Notez qu’il est parfois nécessaire de corriger les problèmes immédiatement, en particulier dans le cas d’une faille de sécurité qui est exploitée en temps réel. Pour les autres points, comme les sauvegardes ou la double authentification, vous pourrez les configurer au fur et à mesure.
2. Pourquoi faire un audit de sécurité WordPress
Un audit de sécurité WordPress vous permet de repérer et de corriger les problèmes et les erreurs d’un site. Il a donc un effet préventif pour éviter les piratages. Vous devrez évidemment mettre en place les solutions adéquates aux failles que vous aurez trouvées et ceci vous permettra de renforcer la sécurité de votre site. Lorsqu’on sait qu’en moyenne 30 000 sites sont piratés tous les jours (et cette statistique date de 2013, donc ce chiffre a certainement augmenté depuis), mieux vaut prévenir que guérir.
3. Comment faire un audit de sécurité WordPress
Pour effectuer un audit de sécurité WordPress, il faudra vérifier les 7 points suivants un par un, dans l’ordre qui vous convient.
3.1 Extensions fiables et mises à jour récemment
Les extensions installées sur un site WordPress sont la cause principale de piratage. La première étape de l’audit sera de mettre à jour toutes les extensions pour lesquelles une mise à jour est disponible.
Mise à jour récente
Néanmoins, le catalogue WordPress comporte un nombre très important d’extensions et par conséquent, il est quasi impossible de vérifier la qualité de chacune d’entre elles avant de l’ajouter. WordPress compte sur la communauté pour signaler les extensions à risque, mais il est parfois trop tard.
Il suffit qu’une extension ait été mal conçue ou qu’elle comporte du code obsolète pour que les pirates trouvent une faille à exploiter. Dans de nombreux cas, les extensions très populaires avec un nombre d’installations important offrent des mises à jour régulièrement et en particulier lorsqu’une faille de sécurité est signalée.
Vérifications
Deux facteurs essentiels doivent donc être vérifiés lors d’un audit de sécurité WordPress :
- L’extension a-t-elle proposé une mise à jour récemment ?
- L’extension est-elle développée par une équipe fiable ?
Vous pouvez vérifier ces deux éléments sur la page de l’extension dans le catalogue WordPress.
Pour que l’audit d’une extension soit réussi, il faut répondre oui à l’une des deux questions au minimum. Dans le cas contraire, la solution consiste à trouver une extension alternative mise à jour récemment et développée par une équipe fiable.
3.2 Thèmes fiables et mis à jour récemment
Tout comme les extensions, les thèmes installés sur votre site doivent aussi répondre à ces critères de qualité. Vous devrez les mettre à jour s’il ne le sont pas, mais ils doivent aussi avoir proposé une mise à jour récemment et être développés par une équipe fiable. De manière générale, les thèmes populaires, qu’ils soient gratuits ou payants, peuvent être considérés comme sécurisés.
Solution
Si votre thème n’a pas été mis à jour récemment, il faudra vérifier si les développeurs sont toujours actifs. Si oui, il se peut qu’une mise à jour ne soit pas nécessaire, sinon il faudra malheureusement prévoir de changer de thème dans les meilleurs délais pour éviter les ennuis.
Par ailleurs, si votre site contient des thèmes inutilisés, il faudra les supprimer car ils peuvent, eux aussi, poser un risque de sécurité. Vous pourrez conserver le thème actif évidemment ainsi qu’un thème de secours, comme l’un des thèmes WordPress par défaut les plus récents.
3.3 Sauvegardes automatiques
Le point suivant de votre audit de sécurité WordPress consistera à vérifier votre système de sauvegarde automatique. Les fichiers de sauvegarde doivent être conservés en deux endroits distincts, par exemple sur votre serveur et sur un stockage distant, et le processus doit être lancé automatiquement à intervalles réguliers. La meilleure extension pour effectuer cette tâche est UpdraftPlus.
Si votre système n’est pas fonctionnel, il faudra le configurer rapidement. En effet, une sauvegarde vous permet toujours de récupérer votre site, même après un piratage.
3.4 Authentification multi-facteurs
L’authentification multi-facteurs est un autre élément à vérifier lors de votre audit de sécurité WordPress. Tous les comptes administrateurs devraient être forcés de l’utiliser. Selon la façon dont vous travaillez, il peut être intéressant d’appliquer l’authentification multi-facteurs pour d’autres comptes ou au moins de la proposer.
Je vous recommande d’en discuter avec les administrateurs ou les éditeurs de votre site avant de forcer son utilisation, puis de mettre en place le système. Celui-ci vous protégera des attaques par force brute, qui sont certainement les plus courantes sur WordPress.
3.5 Extension de sécurité
Ensuite, il faudra vérifier si le site est doté d’une extension de sécurité. Celle que je recommande est Wordfence et elle vous permettra de configurer de nombreuses fonctionnalités pour renforcer la sécurité de votre site. Cependant, si le site pour lequel vous réalisez un audit de sécurité WordPress comporte déjà une extension de sécurité, il suffira de vérifier qu’elle est configurée correctement.
3.6 Utilisation du protocole https et d’un certificat SSL
Un autre point essentiel à vérifier lors d’un audit de sécurité WordPress est que le site utilise efficacement le protocole https. Il suffit de contrôler l’URL dans la barre d’adresse de votre navigateur et si https est présent, cette partie de l’audit est réussie. Sinon, vous devrez impérativement installer un certificat SSL et passer votre site sur https, en particulier si vous gérez une boutique en ligne.
3.7 Sucuri Sitecheck et scan Wordfence
Pour conclure l’audit de sécurité WordPress, vous pourrez examiner la santé de votre site grâce à deux outils, Sucuri Sitecheck et le scan Wordfence. Le premier vous permet de scanner votre site de l’extérieur et vous indiquera s’il comporte des vulnérabilités ou des erreurs à corriger.
Le second exécutera un scan de l’intérieur et permettra de vérifier l’intégrité des fichiers et de la base de données. Pour le lancer, rendez-vous dans “Wordfence” > “Scan” et cliquez sur le bouton “Start New Scan”. Vous pourrez ensuite corriger les erreurs signalées.
4. Conclusion
Un audit de sécurité WordPress permet de prévenir les piratages et les erreurs. Il suffit de procéder à quelques vérifications et corriger les problèmes que vous aurez trouvés pour renforcer la sécurité de WordPress durablement. Ensuite, il sera essentiel de respecter les bonnes pratiques en matière de sécurité au quotidien pour éviter d’introduire de nouvelles failles.
Sauvegarde WordPress : extension, FTP et restauration
Mettre à jour WordPress
Protéger son site WordPress contre les attaques en 2024