Protéger son site wordpress contre les attaques de pirate

Les sites WordPress se font pirater : les 10 principales raisons

En avant propos, il est important de signaler qu’il n’y a pas que WordPress qui est concernĂ©. Tous les sites web sur Internet sont vulnĂ©rables aux tentatives de piratage.

La raison pour laquelle les sites WordPress sont une cible de choix est que WordPress est le CMS le plus populaire au monde. Il alimente plus d’un tiers de tous les sites Web, soit des centaines de millions de sites Web dans le monde.

Cette immense popularité permet aux hackers de trouver facilement des sites Web moins sûrs, afin de les exploiter.

Les pirates ont des motivations différentes pour pirater un site Web. Certains sont des débutants qui apprennent tout juste à exploiter des sites moins sécurisés.

D’autres ont des intentions malveillantes, comme la diffusion de logiciels malveillants, l’utilisation d’un site pour attaquer d’autres sites Web ou le spam sur Internet.

Examinons Ă  prĂ©sent les principales causes de piratage des sites WordPress et les moyens Ă  mettre en Ĺ“uvre pour ‘Ă©viter que votre site ne soit piratĂ©.

1 – HĂ©bergement Web non sĂ©curisĂ©

Les sites Web basĂ©s sur WordPress Ă  l’instar des autres sites web ont besoin d’un hĂ©bergement Web. De nombreux hĂ©bergeurs doivent empĂŞcher les dommages Ă  leurs sites Web. De nombreux hĂ©bergeurs web ne sĂ©curisent pas suffisamment leurs offres d’hĂ©bergement ce qui rend votre site vulnĂ©rable.

Cette situation peut ĂŞtre Ă©vitĂ©e si vous n’utilisez que des hĂ©bergeurs ayant une excellente rĂ©putation et dont les serveurs sont sĂ©curisĂ©s. Un bon hĂ©bergeur a mis en place toutes les protections nĂ©cessaires, appliquĂ© les mises Ă  jour aux diffĂ©rents services (php, mysql, …) et propose gĂ©nĂ©ralement de nombreux outils de sĂ©curitĂ© et de sauvegarde.

C’est notamment le cas d’O2switch qui utilise Cpanel sur son offre. Il propose des outils comme TigerProtect ou bien encore WP Tiger qui permet de contrĂ´ler l’intĂ©gritĂ© de votre site WordPress. Ajouter Ă  cela ImunifyAv qui scanne votre hĂ©bergement Ă  la recherche de fichier suspect.

O2switch propose Ă©galement des sauvegardes de vos e-mails, de vos fichiers et de vos bases de donnĂ©es. Ainsi, si vous avez Ă©tĂ© victime d’un acte de piratage, vous pouvez restaurer vos fichiers Ă  une date ultĂ©rieure.

2 – Utilisation d’un mot de passe faible

Une autre raison probable des cyberattaques sur votre site Web est l’utilisation de mots de passe faibles et faciles Ă  deviner. Vous devriez essayer d’utiliser des mots de passe forts et uniques pour chaque compte, en particulier votre site Web WordPress.

Ainsi les mots de passe de :

  • Compte administrateur WordPress.
  • Comptes FTP
  • Comptes du panneau de contrĂ´le de l’hĂ©bergement Web (Cpanel, Plesk, …)
  • Comptes de messagerie utilisĂ©s pour l’hĂ©bergement
  • Base de donnĂ©es MySQL utilisĂ©e pour le site

Ils doivent tous ĂŞtre diffĂ©rents. Naturellement, l’utilisation de mots de passe complexes et diffĂ©rents rend leur mĂ©morisation presque impossible. C’est la raison pour laquelle je vous invite Ă  vous tourner vers une solution comme KeePass ou Bitwarden.

Si vous utilisez un mot de passe faible, il ne faudra que quelques secondes au hacker pour le trouver, grâce des outils comme Hascat.

Un bon mot de passe doit contenir des caractères alphanumériques, des minuscules et des majuscules ainsi que des caractères spéciaux. Un mot de passe sécurisé doit ressembler à cela :

6fx~U5,?s#zYj;vV 

3 – Accès non protĂ©gĂ© au tableau de bord de WordPress

Via le tableau de bord de WordPress, vous pouvez accĂ©der Ă  l’exĂ©cution de diverses actions et tâches sur votre site web. C’est Ă©galement l’une des zones les plus couramment attaquĂ©es de WordPress. Par consĂ©quent, si vous la laissez sans dĂ©fense, vous risquez de vous retrouver dans l’arène des pirates informatiques.

Par dĂ©faut, celle-ci est accessible Ă  l’adresse www.nomdedomaine.tld/wp-admin OU www.nomdedomaine.tld/wp-login.php

Ces accès par défaut ne sont hélas pas modifiables depuis le tableau de bord, ce qui est fort dommageable. Toutefois il existe de nombreux plugins WordPress qui offrent la possibilité de modifier cet accès et bien plus encore.

Si vous ĂŞtes Ă  la recherche d’un plugin gratuit pour modifier l’accès d’administration Ă  votre WordPress et sans autres fioritures, je vous recommande WPS Hide Login.

Renommer l’accès d’administration Ă  votre WordPress limitera les tentatives d’accès par Brute-Force, mais nous pouvons encore renforcer la sĂ©curitĂ© de celui-ci.

La double authentification 2FA

Une autre prĂ©caution consiste Ă  ajouter diffĂ©rentes couches d’authentification dans le rĂ©pertoire d’administration de votre site pour assurer une protection adĂ©quate de l’administrateur WordPress.

Pour se faire vous devez installer une extension depuis votre tableau de bord. Deux se démarquent :

  1. WP 2FA – Two-factor authentication for WordPress
  2. Wordfence Login Security

La première solution propose uniquement un système de double authentification. Cela tombe bien, c’est ce que nous voulons.

La seconde est connue des utilisateurs de WordPress car il s’agit d’une des options en standalone de la suite Wordfence que nous aborderons plus loin dans cet article.

L’une comme l’autre, vous permettrons rapidement et facilement de mettre en place un système de double authentification 2FA.

4 – Droits d’accès de fichiers incorrects

Les droits d’accès aux fichiers sont des règles que le serveur web utilise pour rĂ©guler l’accès aux fichiers disponibles sur votre site web. Si cette autorisation de fichier est incorrecte, les pirates peuvent avoir accès Ă  la modification et Ă  l’Ă©criture de ces fichiers.

Ainsi, vous devez vous assurer que tous vos fichiers ont la valeur 644 comme autorisation de fichier. Et tous les dossiers du site doivent avoir la valeur 755 comme autorisation de fichier. Cela permettra de tenir les pirates Ă  distance.

Ne pas sécuriser le fichier de configuration wp-config.php

Autant vous le dire de site, si un pirate accède aux données de ce fichier, ça sent le sapin 🎄 pour votre site.

Le fichier de configuration comprend notamment les identifiants à votre base de données. Une fois celles-ci en sa possession, il peut se connecter à votre base, récupérer son contenu ou bien encore ajouter un nouvel administrateur au site directement depuis un gestionnaire de base de données.

Pour empĂŞcher tout accès Ă  ce fichier sensible, il est recommandĂ© d’ajouter dans le fichier .htaccess disponible Ă  la racine de WordPress les lignes suivantes :

#Protection du fichier de configuration
<files wp-config.php>
order allow, deny
deny from all
</files>

5 – Ne pas effectuer les mises Ă  jour des thèmes et plugins

Tout comme le noyau de WordPress, les thèmes et les plugins ont besoin d’ĂŞtre mis Ă  jour rĂ©gulièrement. Les dĂ©veloppeurs et la communautĂ© WordPress dĂ©couvrent de nouvelles failles de sĂ©curitĂ© qui sont corrigĂ©es par les mises Ă  jour.

Maintenir une ancienne version d’un thème ou d’une extension, c’est s‘exposer Ă  une exploitation d’une faille de sĂ©curitĂ© par un pirate. Si un plugin ou un thème n’a pas Ă©tĂ© mis Ă  jour depuis plusieurs annĂ©es, je vous invite Ă  vous tourner vers une alternative Ă  ce dernier. Des sites comme 0day ou Exploit-Db rĂ©vèlent de nouveaux exploits quotidiennement. Les pirates utilisent des outils comme WpScan qui leur permettent de vĂ©rifier de manière automatique les thèmes et plugins utilisĂ©s sur une installation ainsi que leurs versions. L’outil leur donne Ă©galement l’exploit Ă  rĂ©aliser.

6 – Utiliser le FTP au lieu de SFTP/SSH

Les accès FTP sont souvent les premiers crĂ©Ă©s par l’hĂ©bergeur. Ils vous permettent de mettre en ligne les diffĂ©rents fichiers de votre site via un client FTP.

L’inconvĂ©nient majeur de FTP, c’est que les donnĂ©es qui utilisent ce protocole ne pas cryptĂ©es. Elles apparaissent en clair. Un pirate qui utiliserait une attaque de type MITM (Man-In-The-Middle) pourrait intercepter vos identifiants. Une fois ceux-ci en sa possession, il peut mettre en ligne ce qu’il veut sur votre serveur et s’en servir Ă  sa guise.

Utilisez SFTP ou SSH comme alternative Ă  FTP

Par consĂ©quent, au lieu de FTP, il est recommandĂ© d’utiliser SFTP ou SSH.

Ainsi, vous n’aurez pas Ă  changer ou Ă  modifier votre client FTP. La plupart des clients peuvent se connecter Ă  votre site aussi bien en SSH qu’en SFTP. Tout ce que vous avez Ă  faire, c’est de changer le protocole lors de la connexion du site.

Si vous chercher des clients compatibles SFTP ou SSH, vous pouvez vous tourner vers FileZilla ou WinSCP. Pour les plus aguerris, tout est gérable également par ligne de commande depuis votre terminal préféré.

7 – Utiliser Admin comme nom d’utilisateur WordPress

L’une des principales erreurs commises par les utilisateurs est d’utiliser Admin comme nom d’utilisateur WordPress. MĂŞme si cela tend Ă  disparaitre du fait que WordPress permette de personnaliser le nom d’utilisateur dès son installation. Cela reste pourtant la raison plus courante du piratage des sites WordPress. Si vous avez gardĂ© votre nom d’utilisateur administrateur comme admin, vous devez immĂ©diatement le changer pour quelque chose d’autre.

Dans les faits, vous devriez créer un deuxième compte administrateur, lui attribuer le contenu du premier et effacer votre premier compte admin.

Pour quelle raison effacer le premier compte administrateur ?

La crĂ©ation d’utilisateur est incrĂ©mentielle, comme dans tout bon système de base de donnĂ©es. Cela signifie que le premier utilisateur possède l’identifiant 1. Donc quelque soit son nom (admin ou autre), nous savons que par dĂ©faut l’utilisateur 1 est l’administrateur du site.

C’est pour cette raison qu’il est recommandĂ© de supprimer le premier utilisateur de crĂ©er un nouvel utilisateur avec les droits administrateurs.

8 – Thèmes et plugins WordPress Premium Nulled

Nous sommes tous tentés de faire quelques économies en se procurant des thèmes et plugins WordPress premium sans avoir à débourser le moindre argent. Il existe énormément de sites qui proposent des thèmes et plugins WordPress en version nulled.

Qu’est-ce qu’un thème ou plugins WordPress nulled ?

On parle de thème ou plugin nulled comme celui-ci ne demande pas d’activation. Celle-ci a Ă©tĂ© contournĂ©e par l’ajout ou la suppression de quelques lignes code.

En quoi l’utilisation d’un thème ou plugin WordPress nulled est-elle dangereuse ?

Le fait d’avoir contournĂ© l’activation n’est pas dangereux en soit. Cependant, ces crackers ne sont pas tous philanthropes et derrière cette mise Ă  disposition gratuite se cache un cadeau empoisonnĂ©.

Cela peut ĂŞtre dans les cas les plus mineurs des liens cachĂ©s vers d’autres sites afin d’obtenir des backlinks. Mais dans d’autres cas, l’activation d’un thème ou plugin va dĂ©clencher une attaque en bonne et due forme. Cela peut ĂŞtre la gĂ©nĂ©ration d’un accès sous la forme d’un Shell en php ou l’installation complète d’un site de spam Ă  votre insu.

Mon conseil, ne faites jamais l’Ă©conomie d’un thème ou d’un plugin, car les consĂ©quences peuvent ĂŞtre dĂ©sastreuses. Si vous n’avez pas de budget Ă  consacrer Ă  un thème ou plugin, dirigez vous vers des solutions gratuites.

9 – Ne pas changer le prĂ©fixe de table de WordPress

Par dĂ©faut le prĂ©fixe des tables de la base de donnĂ©es est wp_. Il est recommandĂ© de les modifier et d’ utiliser un prĂ©fixe un peu plus compliquĂ©.

Exemple : wp485_ ou blog34_

Il sera alors difficile pour les pirates de prédire les noms des tables de votre base de données WordPress.

10 – Laisser des sauvegardes accessibles

Certains plugin de sauvegarde vous permettent de sauvegarder votre backup localement, gĂ©nĂ©ralement dans le rĂ©pertoire inc/uploads/. L’ennui est que si votre hĂ©bergeur ou vous mĂŞme n’avez pas configurer correctement votre serveur, vos rĂ©pertoires peuvent se retrouver indexĂ©es sur Google. Rendant ainsi accessibles vos sauvegardes.

Pour palier Ă  ce problème il faut refuser l’indexation de vos dossiers avec la ligne suivante Ă  votre fichier .htaccess:

Options -Indexes

Il est Ă©galement recommandĂ© de ne pas effectuer votre sauvegarde dans le mĂŞme rĂ©pertoire que votre site. Vous pouvez utiliser un cloud Ă  l’instar de Dropbox, Google Drive ou bien encore effectuer une sauvegarde en local, directement sur votre ordinateur.

Bonus : Des solutions de sécurité clé en main

Nous avons abordĂ©s les risques et comment s’en prĂ©munir. Mais la plupart de ces actions sont Ă  rĂ©aliser indĂ©pendamment des autres. Il existe des solutions qui renforcent la sĂ©curitĂ© de votre WordPress contre plusieurs types d’attaques connues, comme les injections sql ou les failles xss.

Voici trois solutions gratuites ou freemium qui vous permettront de renforcer la sécurité de votre WordPress

All in One Wp Security & Firewall

All in One Wp Security & Firewall est la seule Ă  ĂŞtre entièrement gratuite. De plus, elle intègre des outils comme le renommage de la page d’administration que nous avons Ă©voquĂ© au point numĂ©ro 3. C’est une solution très puissante, attention toutefois Ă  ne pas tomber dans le tout restrictif car cela pourrait provoquer des bugs.

Wordfence Security – Firewall & Malware Scan

Wordfence est probablement la solution la plus populaire. Elle intègre notamment la double authentification abordĂ©e au point 4. Notez qu’il s’agit du version freemium, beaucoup de fonctionnalitĂ©s sont accessibles uniquement en premium.

iThemes Security

iThemes Security est le conçurent principal de Wordfence. Celui-ci intègre Ă©galement le renommage du panneau d’administration ainsi que la double authentification, le renommage des prĂ©fixes des tables, la modification de l’utilisateur 1, la modification des droits d’Ă©criture, la protection du fichier wp-config.php et bien d’autres fonctionnalitĂ©s.

Conclusion

La meilleure des sĂ©curitĂ©s reste le comportement de l’utilisateur. Si vous respectez ces quelques règles Ă©lĂ©mentaires et que vous renforciez la sĂ©curitĂ© de votre WordPress avec l’une des trois solutions proposĂ©es ci-dessus, vous devriez vous prĂ©munir des attaques les plus communes et ainsi conservez un site sĂ©curisĂ© pour vous et vos utilisateurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.