Protéger son site WordPress contre les attaques en 2021

par | 8 Sep 2021 | Entreprise en ligne, WordPress

Avis : certains des liens figurant dans cet article sont des « liens affiliés ». Cela signifie que si vous cliquez sur le lien et réalisez un achat, je recevrai une commission d’affiliation.

 

 
Protéger votre site WordPress contre les attaques peut paraitre délicat. En réalité, vous pouvez appliquer quelques principes et astuces relativement accessibles.

En étant victime d’un piratage, vous pourriez perdre tout votre travail, les données de vos utilisateurs et utilisatrices ou encore une partie de vos revenus. Vous pourriez également être déclassé.es ou mis.es sur liste noire par certains moteurs de recherche.

De plus, sachez que « nettoyer » un site qui contient du code malveillant peut s’avérer laborieux, chronophage et coûter cher. Les efforts que vous investissez aujourd’hui diminueront drastiquement ces risques.

Enfin, notez que l’une des règles d’or pour se protéger en ligne est celle-ci : soyez un peu plus difficile à pirater que vos voisin.es ! C’est certes cynique, mais vrai. Les attaques exploitant des failles connues demeurent majoritaires et les sites mal ou non sécurisés sont les premières victimes.

 

1. Utiliser un hébergeur fiable

La première étape, et sans doute la plus importante, pour protéger votre site WordPress porte sur le choix d’un hébergement de qualité. En plus de ce qu’on attend normalement d’un hébergeur (disponibilité des serveurs presque continue, assistance technique accessible en permanence, interface facile d’utilisation, etc.), la sécurité est également un aspect essentiel de ce service.

En effet, vous devriez bénéficier d’une installation de certificat SSL gratuite, de scans réguliers de votre serveur, d’une aide en cas de piratage, mais encore des versions les plus récentes de PHP, SQL, MariaDB, etc. Autrement dit, les technologies exploitées par WordPress doivent être à jour. Voici deux hébergeurs fiables et sécurisés qui offrent tous ces services et bien d’autres.

 

1.1 Kinsta

Kinsta est un excellent hébergeur web, spécialisé dans l’hébergement WordPress infogéré, c’est-à-dire en grande partie géré pour vous. Renommée pour son infrastructure qui permet d’accélérer la vitesse de chargement de votre site, cette entreprise offre les technologies les plus récentes pour héberger votre site WordPress. L’assistance technique et les services proposés existent en français.

 

1.2 GreenGeeks

Alternative moins coûteuse, GreenGeeks est un des bons hébergeurs du moment. Leur service client (uniquement en anglais) est professionnel et efficace. Cette entreprise travaille constamment à l’amélioration de la sécurité et des technologies utilisées par ses serveurs. Avec GreenGeeks, vous gérez vous-même votre site grâce à cPanel.

 

2. Installer un certificat SSL

Un certificat SSL permet de chiffrer le trafic entrant sur votre site et d’empêcher son détournement. Ce certificat emploie le protocole HTTPS, version sécurisée du HTTP. Avantage supplémentaire, les moteurs de recherche, notamment Google, privilégient légèrement les sites qui ont recours à ce protocole.

Protéger son site WordPress avec un certificat SSL
Le certificat SSL vous protège de nombreuses attaques

 
Aujourd’hui, les certificats SSL sont gratuits grâce à Let’s Encrypt, une autorité de certification, et s’installent le plus souvent en quelques clics depuis le tableau de bord de votre hébergeur ou votre cPanel. Kinsta et GreenGeeks, mentionnés plus haut, offrent un certificat SSL délivré par Let’s Encrypt.

En revanche, si votre hébergeur ne fournit pas de certificat SSL gratuitement, vous pouvez sécuriser votre site en utilisant Cloudflare. Cloudflare est un réseau de livraison de contenu ou Content Delivery Network (CDN) en anglais. Il a le double avantage de protéger votre site de certains types d’attaques, notamment par l’installation d’un certificat SSL, et d’améliorer sa vitesse de chargement.

 

3. Installer une extension de sécurité

Une autre étape importante pour protéger votre site consiste en l’installation d’une extension de sécurité. Il en existe plusieurs très bonnes et vous devrez choisir celle qui correspond le mieux à vos besoins. En voici deux parmi les plus populaires.

 

3.1 Wordfence

Protéger votre site WordPress avec Wordfence
L’extension Wordfence dans le catalogue WordPress

 
Avec plusieurs millions d’installations, Wordfence est une des extensions incontournables de la sécurité sur WordPress.

Wordfence scanne votre site régulièrement à l’échelle de votre serveur et bloque les attaques. Elle est aussi dotée de nombreuses fonctionnalités renforçant la sécurité de votre site (désactivation XML-RPC, authentification en deux étapes, reCAPTCHA) qui font d’elle un véritable couteau suisse.

 

3.2 Sucuri

Protéger votre site WordPress avec Sucuri
L’extension Sucuri dans le catalogue WordPress

 
Sucuri est une autre, voire l’autre, extension incontournable en matière de sécurité sur WordPress. Elle propose de nombreuses fonctionnalités identiques à celles de Wordfence, mais agit de manière différente. Le trafic vers votre site est scanné et filtré dans le cloud. Sucuri supprime donc les attaques avant qu’elles n’atteignent votre site.

En revanche, Sucuri n’offre pas les mêmes fonctionnalités de protection de votre installation que Wordfence. Si vous choisissez Sucuri, vous devrez peut-être ajouter des extensions supplémentaires pour combler ces lacunes.

 

4. Protéger les identifiants

Dans WordPress, il est facile de découvrir les noms d’utilisateurs, mais Wordfence permet de protéger ceux-ci des attaques automatisées. En accédant à cette URL en navigation privée :

exemple.com/wp-json/wp/v2/users

et en remplaçant « exemple.com » par votre site vous pourrez vérifier si la récolte automatique de vos identifiants est possible. Si oui, je vous recommande dès lors d’utiliser Wordfence pour les protéger.

Sachez que découvrir votre identifiant ou ceux de vos utilisateurs et utilisatrices reste possible, notamment en accédant directement à votre site. Cependant, la plupart des attaques sont automatisées. En cachant vos identifiants, elles seront moins efficaces. C’est une forme de sécurité par évitement : vous rendez la tâche plus difficile aux pirates au lieu de leur fournir tous les éléments dont ils ont besoin.

Il est donc essentiel de changer l’identifiant par défaut « admin », c’est celui que les hackers essayeront d’emblée. N’utilisez pas non plus le nom de votre site ou votre URL, à l’envers ou en partie. Ces variantes sont connues et se retrouvent dans les bases de données employées pour les attaques par force brute. Ces dernières consistent en l’automatisation de tentatives de connexion pour deviner des combinaisons identifiants et mots de passe.

Choisissez donc plutôt un identifiant unique et difficile à découvrir. Celui-ci ne peut pas être modifié par défaut dans WordPress, mais vous pouvez tout de même procéder de la manière suivante pour le changer si votre identifiant actuel paraît trop simple.

Créez un nouvel utilisateur avec un identifiant complexe. Déconnectez-vous de WordPress et reconnectez-vous avec l’utilisateur que vous venez de créer. Puis, supprimez votre ancien utilisateur en prenant bien soin d’attribuer tout son contenu à votre nouvel utilisateur.

Notez que vous aurez toujours la possibilité de déterminer votre nom d’affichage, celui qui apparaît lorsque vous publiez un article ou répondez à un commentaire, par exemple.

 

5. Utiliser des mots de passe complexes

L’utilisation de mots de passe uniques et complexes constitue un ingrédient crucial de la protection de votre site WordPress. L’outil qui vous permet d’accomplir ceci aisément est un gestionnaire de mots de passe. Il crypte et enregistre ces derniers pour que vous ne deviez en retenir qu’un seul. Les gestionnaires les plus connus restent sans doute LastPass et 1Password, mais d’autres tels que Bitwarden sont également efficaces.

Voici comment utiliser LastPass

 
Notez que depuis cette la réalisation de cette vidéo, LastPass est payant si vous souhaitez l’employer sur plusieurs appareils.

Vous pouvez aussi recourir à des méthodes analogiques pour consigner vos mots de passe. Par exemple, vous pouvez les écrire dans un carnet d’une façon difficile à déchiffrer (mais ne perdez pas le carnet !) Peu importe la technique, ce qui compte c’est qu’ils soient uniques, longs et complexes à trouver.

 

6. Désactiver XML-RPC

Certaines attaques par force brute, mentionnées plus haut, utilisent XML-RPC. Ce protocole permet notamment de se connecter à WordPress à distance, mais l’API REST de WordPress le remplace progressivement. En réalité, la plupart des sites n’ont pas besoin de XML-RPC et peuvent le bloquer.

Vous pouvez le désactiver facilement grâce à Wordfence, mais vous avez aussi la possibilité de le faire dans votre fichier .htaccess en y ajoutant ce morceau de code.

#Désactiver les requêtes pour xmlrpc.php
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Vérifiez bien que cet ajout ne crée pas d’erreurs. Si vous constatez des problèmes, vous utilisez certainement une extension ou un thème qui nécessite XML-RPC.

 

7. Activer l’authentification multifacteurs

L’authentification multifacteurs est un principe de bonne hygiène numérique à adopter, non seulement dans WordPress, mais en général. Elle renforce la sécurité de vos comptes en y ajoutant une couche de protection supplémentaire si votre mot de passe est volé ou déchiffré.

Wordfence contient un module qui vous permet de paramétrer votre connexion en deux étapes. Vous pouvez aussi installer l’extension suivante comme alternative à cette fonctionnalité de Wordfence : WP 2FA.

Page de l'extension WP 2FA dans le catalogue d'extensions WordPress
L’extension WP 2FA dans le catalogue WordPress

 
Ensuite, vous devrez vous munir de votre téléphone lors de vos connexions. Vous aurez également la possibilité d’enregistrer votre appareil pendant 30 jours et de n’entrer votre code d’authentification qu’une fois par mois.

 

8. Choisir des thèmes fiables

La structure de votre site WordPress repose sur votre thème. Vous devrez impérativement le choisir de qualité, bien codé et régulièrement actualisé. Les pirates affectionnent le code obsolète puisqu’en l’inspectant, ils trouvent souvent des vulnérabilités à exploiter.

Il existe de nombreux thèmes excellents, gratuits ou non. Si vous optez pour un thème payant, vous devez bénéficier de mises à jour et d’une assistance technique. C’est précisément pour cela que vous payez. Mais les thèmes libres, notamment ceux qui sont développés par WordPress, constituent de bonnes alternatives.

Voici quelques recommandations :

Le thème Twenty Twenty-One devrait déjà être préinstallé avec WordPress. Vous pouvez le personnaliser pour qu’il corresponde aux besoins de votre site.

Divi est un thème payant qui propose de nombreuses fonctionnalités vous permettant de créer des éléments complexes, même si vous ne savez pas coder.

 

9. Choisir des extensions fiables

Vos extensions sont importantes. Elles doivent être bien structurées et maintenues régulièrement, c’est-à-dire mises à jour. Fuyez celles qui n’ont pas été actualisées depuis plusieurs années et qui semblent à l’abandon. Leur code peut présenter des vulnérabilités. Tout comme pour les thèmes, un acteur malveillant pourrait exploiter ces failles.

 

Message d'avertissement dans le catalogue d'extensions WordPress
WordPress vous avertit lorsqu’une extension n’a pas été mise à jour depuis un certain temps

 
De même, si le nombre d’installations d’une extension est peu élevé, elle pourrait se révéler de facture douteuse. Il y a évidemment des exceptions, à l’instar de projets neufs ou d’extensions de bonne qualité qui ne remportent simplement pas le succès qu’elles méritent.

En règle générale, plus une extension est connue et utilisée, plus l’équipe de développement peut créer une véritable entreprise ; et par conséquent, prendre le temps et avoir les moyens de fournir un travail rigoureux, mais aussi de la maintenir à jour et sécurisée.

 

10. Faire la maintenance de son site régulièrement

Si vous passez du temps à rechercher un thème de qualité et des extensions fiables régulièrement entretenues, il faut ensuite que vous fassiez les mises à jour sur votre site, sinon vos efforts seront inutiles !

 

10.1 Faire les mises à jour

Il peut être délicat d’effectuer des mises à jour, car il arrive qu’elles « cassent » votre site. En effet, une nouvelle version d’une extension ou d’un thème peut engendrer un problème de compatibilité et défigurer l’aspect de vos pages, ou pire encore, empêcher l’accès à votre tableau de bord. Il y a donc une marche à suivre qui demande un peu de préparation, mais qui vous évitera de mauvaises surprises à long terme.

Tout d’abord, je vous recommande de créer un site de développement (ou staging en anglais), sous la forme d’une copie de votre site actif, pour tester vos mises à jour. La plupart des hébergeurs proposent aujourd’hui ce service en quelques clics.

Cette copie vous permet de vérifier non seulement les mises à jour de vos thèmes et extensions, mais aussi d’expérimenter les nouvelles fonctionnalités que vous souhaitez ajouter ou les mises en page que vous désirez modifier.

Après avoir effectué vos tests et confirmé qu’aucune erreur ne s’est produite, vous pouvez mettre à jour la version en ligne, manuellement ou à l’aide d’une extension. Dès lors que quelque chose engendre un problème, votre site n’en pâtira pas. Notez que Wordfence peut vous avertir par e-mail des mises à jour disponibles.

Vous avez également la possibilité de les faire automatiquement, ce qui comporte des risques et des avantages. D’une part, vous pouvez avoir une mauvaise surprise avec un site défiguré après une mise à jour qui crée une incompatibilité ; d’autre part, vous ne devrez pas réaliser ce processus manuellement. Toute mise à jour peut occasionner des dégâts, même si WordPress, vos extensions ou votre thème vous garantissent l’inverse.

 

10.2 Effectuer des sauvegardes automatiques

Réaliser des sauvegardes régulières est indispensable. S’il arrive quoi que ce soit à votre site, votre ordinateur ou encore votre hébergeur, comme ce fut le cas au printemps 2021 chez OVH, par exemple, vos fichiers et vos données sont préservés. Vous ne perdrez donc pas tout votre travail.

Les sauvegardes s’effectuent facilement grâce à une extension. Pour minimiser les risques de destruction, vous devriez en garder au moins deux exemplaires sur deux supports différents et en dehors de votre serveur.

Pour automatiser ce processus, je vous conseille UpdraftPlus.

UpdraftPlus automatise les sauvegardes de votre site
L’extension UpdraftPlus dans le catalogue WordPress

 
Grâce à cette extension, vous pouvez envoyer vos fichiers vers Google Drive, Dropbox et autres. Vous pouvez également les télécharger sur votre ordinateur ou un disque dur externe, par exemple. Vous disposerez alors de trois versions : votre site actif ; une copie sur un espace de stockage en ligne ; et une sauvegarde hors-ligne.

 

11. Conclusion

La sécurité numérique regroupe un ensemble de principes à mettre en œuvre puis à actualiser régulièrement. Enfin, en appliquant l’un ou l’autre des dix points ci-dessus vous pourrez mieux protéger votre site WordPress.

Certains procédés sont spécifiques à WordPress, d’autres font partie des règles de prévention générales. Dans tous les cas, chaque fois que vous renforcez la sécurité de votre site, vous diminuez les risques de le voir endommagé ou détruit par une attaque malveillante.

N’hésitez pas à me faire part de vos questions dans les commentaires.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Réservez votre audit SEO gratuit et recevez un rapport personnalisé sur la santé de votre site web