Sécuriser votre site WordPress contre les attaques de piratage

Avec tous les problèmes liés au piratage, faites-vous le maximum pour protéger votre propre site ?

Voici nos 10 meilleures suggestions de modifications élémentaires pour sécuriser votre site WordPress.

21 Avr, 2013
Double padlock denoting extra security

Photo par Paolo Gadler

De nombreux commentaires circulent dans la presse concernant la vague récente d’attaques de piratage sur WordPress. Tandis qu’en mon fort intérieur je pense que « tout a déjà été dit », une petite voix me pousse quand même à mettre mon grain de sel dans la discussion en donnant mon avis, et en partageant mes propres règles d’or pour assurer la sécurité de vos sites WordPress.

Pourquoi WordPress ?

WordPress a toujours été une cible de choix pour les pirates informatiques et les spammeurs. Bien qu’un site WordPress correctement entretenu ne soit pas plus vulnérable aux attaques que n’importe quel site web, le fait est qu’environ 20 % de tous les sites internet sont désormais construits avec WordPress, faisant de celle-ci l’une des plateformes les plus lucratives pour les pirates.

Bien que WordPress travaille d’arrache-pied pour parer à toutes les éventuelles faiblesses détectées, de très nombreux propriétaires de sites web ne maintiennent tout simplement pas leur version de WordPress (et leurs plugins) à jour. De nombreux sites sont donc vulnérables aux attaques. Ma règle d’or numéro un pour assurer la sécurité de votre site WordPress est donc la suivante…

1. Veillez à tenir votre version WordPress à jour

Suivie rapidement par la règle numéro deux…

2. Maintenez vos plugins WordPress à jour

Attaques WordPress par Force Brute

La menace actuelle qui pèse sur les sites WordPress provient de pirates qui tentent de se connecter aux sites WordPress en essayant des milliers de combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce qu’ils parviennent à se connecter.

Ces tentatives de connexion sont automatisées, et un pirate informatique est en mesure de générer plusieurs milliers de tentatives dans un laps de temps très court, généralement à partir d’une série d’adresses ip et de lieux différents. Même s’ils ne parviennent pas à s’introduire dans votre site, leurs tentatives de connexion augmentent considérablement la charge du serveur, ralentissant les sites internet.

Nous avons récemment fait face à un tel problème sur notre propre serveur, et il est probable que celui-ci (ou une variante) se produise plus fréquemment à l’avenir. Il ne s’agit pas d’un souci qui nous concerne spécifiquement : la plupart des hébergeurs de sites web se retrouvent à un moment ou à un autre dans la même situation.

3. N’utilisez pas un nom d’utilisateur (ou mot de passe) facile à deviner… et ne le partagez avec personne

Il est possible que ces hackers ne cherchent même pas à pirater votre site. Leurs idées peuvent être encore plus ambitieuses : par exemple, utiliser la puissance de votre site web pour lancer une attaque sur une cible encore plus importante !

Protéger Votre Site WordPress Contre Les Attaques Par Force Brute

Vos propres hébergeurs de site web ont peut être mis en oeuvre des mesures pour protéger votre site contre les attaques de piratage sur WordPress, comme par exemple l’ajout d’un écran de connexion supplémentaire devant votre page de connexion WordPress réelle. C’est une bonne idée si vous êtes la seule personne à vous connecter à votre site, mais si plusieurs utilisateurs s’y connectent, cela peut s’avérer déroutant pour eux. Nous vous conseillons de consulter un plugin tel que Limit Login Attempts, qui empêche une adresse IP d’accéder à votre site pendant 15 minutes si quelqu’un tente 4 fois une combinaison nom d’utilisateur / mot de passe incorrecte, et une période de verrouillage supplémentaire de 24 heures si plus de tentatives infructueuses ont lieu. Cela gênera sérieusement les pirates informatiques, qui comptent sur des milliers de tentatives toutes les quelques minutes pour  » déchiffrer  » votre mot de passe. Toutefois, cette mesure risque de ne pas être efficace si les tentatives de connexion proviennent d’un grand nombre d’adresses IP différentes.

4. Installez une protection de connexion supplémentaire sur votre site à l’aide d’un plugin de sécurité (ou deux)

Pouvez-vous faire encore plus ?

Aucun site web (que ce soit WordPress ou autre) ne peut être immunisé à 100 % contre les attaques des pirates. Cependant, plus vous ferez d’efforts pour protéger votre site, plus vous rendrez son accès compliqué pour les hackers, les encourageant ainsi à se tourner vers d’autres cibles, nombreuses et plus faciles d’accès.

Voici quelques autres petites astuces…

5. Installez votre base de données WordPress avec des préfixes de tables qui ne commencent pas par wp_. Ceci est le préfixe de table par défaut, et donc un bon point de départ pour les hackers qui essaient d’entrer dans votre base de données par injection sql. Si vous lui donnez un autre préfixe, votre base sera plus difficile à pirater !
6. Veillez à utiliser les clés de sécurité WordPress secrètes correctement. Celles-ci améliorent le cryptage de vos cookies utilisateur, et ne doivent pas être laissées en tant que valeurs par défaut. Mettez-les à jour dans votre fichier wp-config.php lorsque vous installez un service de ce type sur votre site. Conseil utile : si vous souhaitez forcer tous vos utilisateurs à se reconnecter, modifiez ces valeurs dans votre fichier wp-config.php.
7. Jetez un oeil à un service tel que CloudFlare : il filtrera une grande partie du trafic malveillant avant même que celui-ci n’atteigne votre site
8. Sauvegardez régulièrement votre site, et conservez un nombre raisonnable de sauvegardes au cas où vous devriez le restaurer à partir d’une ancienne version. Conseil utile : veillez à sauvegarder à la fois les fichiers de votre site ET votre base de données WordPress, ET assurez-vous d’avoir testé votre processus de restauration !
9. Si vous pensez que le pire s’est produit et que votre site a été piraté, faites-le inspecter par Sucuri pour le vérifier
10. Si vous n’avez ni les connaissances ni le temps de vous occuper de votre site vous-même… demandez à un professionnel de le faire à votre place

Nous proposons un service d’assistance premium qui peut gérer votre site en gardant tous les composants essentiels à jour, ainsi qu’en suggérant de manière proactive les problèmes que vous pourriez rencontrer et en vous aidant à les résoudre. Ce service coûte seulement 260 € HT par an et offre jusqu’à une heure de notre soutien par mois. Nous proposons aussi un service Or encore plus complet (pour ces propriétaires de site qui désirent encore plus).

Si vous ne bénéficiez pas encore de l’un de nos programmes de soutien pour sites web, et que vous souhaitez faire appel à nous pour protéger le vôtre, n’hésitez pas à nous contacter.

Obtenez une Solution à vos Problèmes WordPress

Quels que soient vos besoins concernant WordPress, dites-nous comment nous pouvons vous aider. Nous serons à votre écoute et vous proposerons une évaluation honnête des options qui s'offrent à vous.

  • Donnez-nous votre numéro de téléphone si vous voulez que nous vous rappelions
  • Voici comment nous utiliserons vos données.
  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *