Menu Fermer

Renforcez la sécurité de vos sites WordPress

Sécurité Wordpress - Design by Chelty

Nous vous parlions il y une semaine, dans nos bonnes résolutions pour 2019, de la nécessité de booster la sécurité de son site WordPress. En effet, comme le montre  cette infographie, WordPress est de loin le CMS le plus utilisé aujourd’hui sur le toile : près de 30% des sites web actuels en sont équipés. Cette popularité a malheureusement ainsi tendance à attirer toutes sortes de pirates. Ajouté à cela, les failles de sécurités que présentent certains plugins… Nous avons donc décidé de regrouper dans un article les meilleures pratiques en terme de sécurité.

Renforcer les mots de passe

Sécurité WordPress : Mot de passe fort - Design by Chelty
Un mot de passe fort

La répétition étant ce qu’elle est (pédagogique), et même si cela peut sembler évident, on ne le dira jamais assez : utiliser un mot de passe faible revient à donner la clé de votre maison au premier passant rencontré dans la rue. Comment alors, créer un mot de passe fort ? Eh bien la recette est simple. Il faut :

  • Des lettres (majuscules et minuscules),
  • Quelques chiffres,
  • Et enfin des caractères spéciaux (@, $, é, è, ç, etc.)

Mélangez le tout jusqu’à avoir une longueur d’au moins 8 caractères (10 recommandé) et voilà le tour est joué. En général les personnes qui sont réticentes à utiliser un mot de passe fort craignent de l’oublier facilement. Pour éviter cela il suffit de créer son mot de passe en partant d’une phrase secrète, par exemple « j’aime les yaourts ». Après quelques transformations on peut aboutir à un mot de passe ressemblant à JèM€LesY@ourt.

1ère alternative : utiliser un service de génération de mots de passe.

2ème alternative : utiliser le générateur de mots de passe intégré à WordPress. Lorsque vous créez un utilisateur ou que vous en modifiez un, cliquez sur « générer un mot de passe » pour vous retrouver avec une belle suite de caractère complètement illisible. Les plus chauds pourront essayer de retenir ce mot de passe tout frais sinon un copier-coller fera l’affaire. Attention dans ce cas à ne pas le laisser traîner n’importe où…

Enfin vous pouvez tester la force de vos mots de passe grâce au site Roboform.

Virer l’admin

Sécurité WordPress : Admin WordPress - Design by Chelty
Juste une métaphore, ne virez pas vraiment votre administrateur

Soyons sérieux, après tous ces efforts pour obtenir un mot de passe solide, vous ne pouvez décemment pas utiliser « admin » comme identifiant du compte administrateur. En plus d’être ringard, cet identifiant présente la (surprenante ?) particularité de pouvoir être deviné par le premier venu. Pensez donc à utiliser un identifiant plus original et un poil plus compliqué (pas de “root” ni le nom du site ou “user” etc.). Il faudra prendre soin par la suite de ne pas utiliser l’identifiant comme nom d’auteur public ou alors de désactiver l’affichage des métas (ce que ne permettent pas tous les thèmes).

Une autre précaution consiste à empêcher que l’on découvre l’identifiant des auteurs à partir de leur page profil. En effet, en saisissant dans la barre d’adresse du navigateur le nom de domaine de du site suivi de « ?author=1 », il y a des chances d’être redirigé vers une page du type nomdusite.ext/author/<user>/, où <user> représente le login administrateur. Avec un script bien écrit, il peut donc devenir assez facile d’obtenir les identifiants sensibles du site. Pas de panique là encore il existe une solution, à savoir, rajouter quelques lignes de code à notre cher fichier .htaccess comme ci-dessous :

<IfModule mod_rewrite.c>
 RewriteCond %{QUERY_STRING} ^author=([0-9]*)
 RewriteRule .* - [F]
</IfModule>

Saler votre configuration

Sécurité WordPress : Clés de salage WordPress - Design by Chelty
Une salière qui n’a à priori rien à voir avec WordPress

WordPress offre la possibilité de renforcer encore plus la sécurité des mots de passe grâce à ce qu’on appelle des clés secrètes. Ces dernières vont permettre de crypter les cookies utilisateur qui contiennent vos informations d’authentification. Pour citer le codex WordPress : une clé secrète est un mot de passe avec des éléments qui le rendent plus dur pour traverser vos barrières de sécurité. Un mot de passe comme « mot de passe » ou le « essai » est simple et facile à casser. Un combinaison imprévisible tel que « 88a7da62429ba6ad3cb3c76a09641fc » prend plusieurs années pour le cracker.

Ces clés secrètes doivent être placées dans le fichier wp-config.php et peuvent être générées automatiquement en ligne via cette API. Inutile de préciser que vous devez conserver ces clés soigneusement et ne jamais les divulguer.

Activer l’authentification à double facteurs

Sécurité WordPress : Authentification 2 facteurs WordPress - Design by Chelty
L’authentification : QUI accède à QUOI ?

L’authentification à double facteurs consiste à rajoute un élément de vérification au couple identifiant/ mot de passe. Cet élément doit permettre une authentification quasi-certaine de l’utilisateur cherchant à se connecter. Il peut s’agir d’une confirmation par SMS ou par e-mail. Cette méthode d’authentification peut se montrer assez contraignante toutefois elle vous donnera l’assurance d’être à l’abri des attaques, même au cas ou vos identifiants et mots de passe venaient à être dévoilés. Il existe de nombreux plugins pour activer et configurer le système d’authentification à deux facteurs, notamment Google Authenticator (qui fera bientôt l’objet d’un tuto détaillé).

Bloquer l’accès aux fichiers sensibles

Sécurité WordPress : bloquer l'accès aux dossiers - Design by Chelty
Ne dévoiler que le nécessaire

Les fichiers de configuration de WordPress peuvent contenir des informations super hyper ultra (ça va on a compris…) confidentielles et donc importantes pour la sécurité. Le fichier wp-config.php par exemple contient les informations de connexion à votre base de données, rien que ça…

Pour offrir un maximum de protection il est de bon aloi de bloquer l’affichage des dossiers ne possédant de fichier index.php, ainsi que l’accès à d’autres fichiers. Pour cela, direction le fichier .htaccess, oui toujours lui. Ajoutez-y ces quelques lignes de code :

# Désactivation de l'affichage du contenu des répertoires
Options -Indexes
# Protection du fichier wp-config.php
<files wp-config.php>
  Order allow,deny
  Deny from all
</files>
# Protection des fichiers .htaccess et .htpasswds
<Files ~ "^.*\.([Hh][Tt][AaPp])">
  Order allow,deny
  Deny from all
</Files>

C’est sur ce dernier conseil que nous nous séparons, en espérant que ces recommandations (bien sûr non exhaustives) pourront vous éviter de mauvaises surprises en matière de sécurité avec vos sites WordPress.

Besoin d’assistance ou de conseil ? N’hésitez pas à nous contacter !

Posted in Guides, Wordpress

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

On garde le contact ?

Profitez de remises sur nos offres, recevez nos astuces et actualités en vous inscrivant à notre Newsletter.
Holler Box