Sécuriser son site WordPress

WordPress est maintenant le moteur qui fait tourner plus de 20% des sites sur le web, ce qui en fait une cible de choix pour les personnes malveillantes, notamment les spammeurs qui cherchent à rentrer dans votre site pour ajouter des liens afin d’améliorer le référencement de leurs sites, utiliser la puissance de calcul du serveur ou infecter vos visiteurs avec des malwares.

Il est donc essentiel de prendre en compte la sécurité de votre site.

Voici des notes Inspiré par une série de vidéo produite par WPMU WordPress et par ma propre expérience.

WPMU WordPress sécurity

Si vous êtes anglophones, cette série de vidéo contient pas mal d’informations:

•  WordPress Security Part1: An Introduction to WP Security
•  WordPress Security Part 2: Points of Vulnerability 
• WordPress Security Part 3: Password and Username Safety
• WordPress Security Part 4: Developing a Security Strategy 
• WordPress Security Part 5: Security through Obscurity

Notes sur la sécurité

Il y a 4 points de vulnérabilités principalement utilisés par les hackers

• faille de sécurité de l’hôte
• noyau wordpress pas mis a jour
• plugin ou thème non sécurisé, anciens, pas mis à jour
• attaque force brute

Bien choisir son hôte

Il est important de bien choisir son hôte:

• vitesse
• options
• services
• securité
• solutions de sauvegarde
• controlle
• type de serveur
• prix

Regarder les revues, …

http://premium.wpmudev.org/blog/4-steps-to-wrangling-your-web-host-for-wordpress/

Mettre à jour WordPress:

• lors des mise à jour de WP, les anciennes failles de sécurité sont bouchées, mais du coup les anciennes version de WP sont plus susceptibles
• mettre à jour WordPress  est le premier et le plus simple moyen de sécuriser
• mettre à jour est ultra simple
• il y maintenant des mises à jour automatiques pour les versions mineures
• possible de recevoir une notification quand une nouvelle version majeure est dispo
• sauvegarder son site avant de mettre à jour
• Masquer le numéro de version

Plugin ou thème foireux:

• mal codés (failles)
• pas mis à jour
• code malicieux cachés (ajoute liens spam, redirection ou même mets en danger utilisateur en redistribuants virus)

ne pas chercher « free wordress themes » dans google, c’est déja squatté par les spammeurs et vous renverra à coup sur vers des thèmes infectés.

Choisir des thèmes et plugins surs

1. Faire des recherches sur l’auteur et seulement télécharger depuis une source sure (site de l’auteur ou répertoire WordPress officiel)
2. Demander conseil à une communauté
3. wordpess.org/support
4. WPMU Dev community
5. Vérifier le numéro de version du lugin ou theme et sa compatibilité avec la version actuelle de wordpress? Beaucoup de thèmes/plugin pas mis à jour régulièrement ou abandonnés.
6. Retirer les themes et plugin inutilisés de votre repertoire
7. le code des plugin ou themes laisse une vulnérabilité potentielle, même s’il n’est pas actif
8. utiliser des themes et plugins payants qui contiennent un support
9. Généralement limiter le nombre de plugins installés (limite aussi le risque d’incompatibilités qui peuvent parfois survenir)

Force attaque Brute

• Logiciels conçu pour tester des milliers de combinaison de mots de passe jusqu’a trouver la bonne
• accès Admin donne la main à tout
• ne JAMAIS utiliser ADMIN comme nom d’utilisateur. si vus faites cela vous donner la moitié de la solution au crackers
• autres noms d’utilisateur/login à éviter: votre nom, celui de votre entreprise, n’importe quelle partie de votre adresse web.

Éviter les mots de passe communs:
S remplacé par $, A par 4, E par 3, nom d’utilisateur à l’envers, date de naissance

Possibilité pour sécuriser mot de passe

• Générateur de mot de passe: génere mot de passe compliqué
  phrase de passe/passphrase: combiner des mots qui ne sont jamais liés habituellement, mais qui vous rappelle unsituation que vous avez vécu et qui a du sens uniquement pour vous: RenardVomiVoiture
• alterner majuscules, symboles
• authentification en 2 étapes (google authenticator) envoi mot de passe par smartphone
• si autres utilisateurs, donner seulement les permissions nécessaires, si vous même n’avez pas besoin de toucher l’admin régulièrement, utilisez un compte éditeur au quotidien pour publier

Layered defense/Sécurité multi-couches:

inclus

• points de sécurité
•  système de filtrage
• stratégie de suivi

La sécurité n’est pas une science exacte; chaque site varie selon ses réglages, ses besoins d’autorisation d’accès, nombre d’utilisateurs …

Variables :

• Accès FTP
• Permission fichiers
• Accès tableau de bord

Mesures:

•   Éditerhtaccess pour limiter certaines fonctionalités
• WP.CONFIG.PHP contient informations ultra importantes
• blacklister adresse IP ou
• whitelister la votre (nécessite une IP fixe)
• blocker la possibilité d’éditer les fichiers depuis le tableau de bord en désactivant l’éditeur de code
• protéger / bloquer la vue des fichiers htaccess

Chaque couche de sécurité peut ajouter des lourdeurs pour vous ou vos utilisateurs. Il faut donc trouver un compromis entra la valeur du site,les risque probables et la mesure prises, la facilité de mise en oeuvre/d’utilisation.

Securité par obscurité:

• masquer WP version (theme folder> function.php)
• bloquer exploration dossier (via htaccess)

Astuces: 3 plugins extrêmement utiles:

La plupart des mesures décrites plus haut peuvent être mise en œuvre facilement via l’usage de plugins simple d’utilisation qui vous permettront de parer au plus pressé en quelques clics. Il existe de nombreux plugins, mais voici les plus utiles:

•   iTheme security (anciennement Better WP security): ajoute de nombreuse mesures de sécurité en un clic (change le nom de tables de la base de données, changer le numéro d’utilisateur, masque le formulaire de connexion, ajoute options dans htaccess, sauvegarde la base de données, envoi alertes de modification de fichiers, bloque tentatives de connexion trop rapides, blackliste IP suspectes, masque la version de WP, … note: peut bloquer certains autres plugins si réglages trop stringents.
• Wordfence security: scanne l’installation pour malwares, inclus codes cachés, bloque automatiquement IP détectés comme malicieuses par autres sites utilisant le même plugin, alertes email sur des points importants
• Sucuri Security – Auditing, Malware Scanner and Hardening : scanne l’installation en profondeur pour détecter des malwares
• BackWPUp: permet de sauvegarder automatiquement l’ensemble du contenu du site (base de données, export xml des articles, fichiers uploadés, plugins, thèmes, …) permet d’envoyer vers un autre serveur cloud (AmazonS3, Dropbox) extrêmement utile, si votre site tombe dans de mauvaise mains ou est infecté vous pouvez retrouver une version saine hébergées sur un serveur indépendant.
• alternative: Vaultpress: sauvegarde site et restaure en cas de besoin (abonnement mensuel)

Ne laissez pas de sites abandonnés !!!

Le danger de laisser un site WordPress sans mise à jour est grand. Si votre site est destiné à un usage temporaire, mieux vaut le désactiver.

Cependant si vous n’avez plus de besoin de publier du contenu, mais que vous souhaitez conserver le contenu existant en ligne, il est possible de figer votre site. En utilisant le plugin WP Static HTML Output vous pourrez transformer tout votre site en HTML. Il aura alors tout l’aspect et le contenu, mais il perdre tout son coté dynamique de système de gestion de contenu mais aussi tout vulnérabilité.

Conclusion

Aucune mesure de sécurité n’est parfaite:
Équilibreentre accès simple, mesures faciles à mettre en œuvre, gérer et degré de sensibilité des infos

• Verrouiller certaines parties
• recevoir des alertes de modification de fichiers
• bon sens dans le choix des plugins et thèmes
• choix des mot de passe
• sauvegarde du site