Aujourd’hui, ce n’est un secret pour personne, WordPress est le CMS le plus utilisé dans le monde. Ses nombreux atouts, tels que sa facilité de prise en main et la richesse de ses thèmes ou plugins lui ont permis de se démocratiser et de s’imposer en peu de temps chez les éditeurs de site Web. Cependant, sa grande popularité en fait aussi l’une de ses plus grandes faiblesses : WordPress est constamment la cible d’attaques, de piratages. Les sites l’utilisant peuvent être fortement impactés et doivent donc faire le nécessaire en amont pour sécuriser au mieux leur installation. Le but de cet article est donc de vous fournir les points indispensables à verrouiller pour éviter les problèmes de sécurité souvent rencontrés avec le CMS.

L’hébergement

C’est le premier socle technique, il ne faut donc pas le négliger. En effet, le serveur qui va héberger vos fichiers se doit d’être sécurisé, car il peut constituer la première faille dans laquelle les hackers sont susceptibles de s’engouffrer. Choisissez donc des hébergeurs reconnus, qui disposent de systèmes de filtrage des requêtes (firewall), des configurations adaptées à la sécurité et aux performances des sites WordPress. Pour les sites à fort trafic ou dans des secteurs très concurrentiels on recommandera aussi de passer par des systèmes de reverse proxy tel que CloudFlare. Ils permettent de vous protéger des attaques DDOS, de mettre en place des pare-feu applicatifs (Waf) pour protéger vos sites. Pensez aussi à désactiver votre “directory listing” qui pourrait laisser l’accès à des fichiers sensibles à certaines personnes malintentionnées.

Les mises à jours

Pour décupler leurs fonctionnalités et pour les personnaliser, les sites WordPress ont très souvent besoin de plugins ou de thèmes. Pour ces derniers, et même pour le cœur du code source de WordPress, il est indispensable d’installer toutes les mises à jour. Surtout lorsqu’elles sont là pour corriger des failles de sécurité. En effet, les hackers sont souvent les premiers avertis des vulnérabilités et n’hésitent pas à tenter de les exploiter.

Si vous disposez de plusieurs sites sous WordPress, des plugins comme Main WP vous permettent de centraliser tous vos sites et de déclencher les mises à jour sur tous en même temps, à partir de la même interface. Avant d’installer un nouveau plugin veillez quand même à regarder s’il est toujours maintenu par son équipe de développement, jetez aussi un œil aux avis des utilisateurs.

Installer des plugins pour la sécurité

Il y a des règles de bonnes pratiques que vous devez adopter pour toute installation de nouveau site WordPress. Tout d’abord, désactiver le Xml-rpc intégré de base. Obsolète et cible d’attaque, le fichier xmlrpc.php ne vous apportera que des ennuis, vous pouvez facilement le désactiver à l’aide d’un plugin.

Ensuite, protégez l’accès à votre backoffice. Le but ici est de se protéger des attaques de type brute force où les hackers tentent de trouver votre mot de passe à l’aide d’un dictionnaire des mots de passe les plus communs. Pour vous protéger de ce type d’attaque, vous pouvez :

  • choisir un mot de passe très sécurisé (minimum 10 caractères dont des caractères spéciaux, majuscules et minuscules, chiffres etc)
  • changer l’adresse pour se connecter au dashboard : vous pouvez utiliser par exemple le plugin WPS hide login pour la personnaliser
  • limiter le nombre de tentatives de connexion au dashboard et bloquer les ips en cas d’échecs trop important. Vous pouvez installer Login Lockdown pour cela.
  • ajouter un système de double authentification (2FA) pour valider la connexion à partir d’un code obtenu sur votre smartphone

Malgré toutes ces recommandations, sachez que le risque 0 n’existe pas et que la meilleure des choses est aussi de prévoir un système de sauvegarde performant. Cela vous permettra, en cas de gros piratage, de retrouver votre site fonctionnel, tel qu’il l’était à une date antérieure.