Améliorer la sécurité de votre site WordPress avec Zenpress

Lors de chaque mise en place dans le cadre de nos contrats de maintenance WordPress, Zenpress met en oeuvre une série d’actions afin d’améliorer la sécurité de votre site.

Ci-dessous vous trouverez dans un premier temps les actions mis en place par notre équipe, puis nous listerons quelques autres conseils pour renforcer la sécurité de votre site WordPress.

  1. Présentation générale
  2. Suppression des thèmes et extensions non utilisés
  3. Le plugin SecuPress
  4. Les sauvegardes
  5. Amélioration du chiffrement des mots de passe
  6. Ce que vous pouvez faire pour améliorer encore d’avantage votre sécurité

Présentation générale

L’équipe de sécurité de WordPress est constituée d’environ 50 experts incluant des développeurs en chef et des consultants en sécurité.
Cette équipe est en relation avec des chercheurs connus dans le domaine de la sécurité ainsi qu’avec des sociétés d’hébergements.

L’équipe de sécurité de WordPress croit en la divulgation par le signalement immédiat de toutes vulnérabilités potentielles. Ces éventuelles vulnérabilités peuvent être signalées à l’équipe de sécurité directement via le WordPress HackerOne. L’équipe de sécurité communique ensuite en interne et travaille à huis clos pour le suivi, le test et la résolution des bogues et problèmes de sécurité.

Chaque rapport de sécurité fait l’objet d’un accusé en réception, puis l’équipe vérifie la vulnérabilité et détermine sa sévérité. Si elle est confirmée, l’équipe de sécurité prévoit alors un correctif pour résoudre le problème qui peut être validé pour une prochaine version de WordPress ou qui peut être poussé immédiatement en version de sécurité, selon la sévérité du problème.

Lors de la sortie immédiate d’une version de sécurité, une notification est publiée par l’équipe de sécurité sur le site des annonces de WordPress.org, présentant cette version et détaillant les modifications. Le crédit pour la divulgation d’une vulnérabilité est donné dans cette annonce pour encourager et renforcer le principe de divulgation responsable pour les prochaines versions.

Les administrateurs de sites WordPress reçoivent une notification de disponibilité d’une mise à jour sur le tableau de bord de leurs sites lors de la sortie d’une nouvelle version.
Il est donc primordial de mettre régulièrement son site à jour afin de corriger les nouvelles failles de sécurité.

Suppression des thèmes et extensions non utilisés

Plus de la moitié des sites WordPress piratés le sont par une faille de sécurité dans leur thème ou leurs extensions.

Sites WordPress piratés
Sites WordPress piratés

Le plugin SecuPress

Chez ZenPress, en terme de sécurité nous utilisons Secupress. Ce plugin est édité par la célèbre team WP-media, éditrice de Wp-Rocket, et de Imagify. Ce plugin WordPress se veut vraiment le plus complet existant :

Ce plugin de sécurité WordPress est un des meilleurs dans le domaine. En effet il dispose de toutes les fonctionnalités requises pour la sécurité. En même temps d’alléger votre site en plugins, il propose aussi de nombreux paramétrages que vous auriez pu faire à la main, limitant les risques d’oublis et les erreurs.

Sauvegardes

Faites des sauvegardes : Les sauvegardes de la base de données et des fichiers sont à effectuer au moins toutes les semaines pour prévenir un piratage ou un crash disque.  Il vaut mieux prévenir que guérir !

De nombreux plugins existe pour ça, chez ZenPress nous utilisons la version premium de ManageWP qui a de nombreuses options :

Amélioration du chiffrement des mots de passe

Renforcer vos mots de passe

Un bon mot de passe doit contenir au moins 12 caractères et 4 types différents : des minuscules, des majuscules, des chiffres et des caractères spéciaux.

Personne ne doit deviner votre mot de passe à partir du nom de votre chien ou de votre film préféré.

Enfin, pour éviter les piratages en cascade, chacun de vos comptes en ligne qui présente un caractère sensible (banque, messagerie, réseau social, etc.) doit être verrouillé avec un mot de passe propre et unique.

Utiliser un plugin pour améliorer le hashage

L’équipe qui développe wp_hash_password, la fonction de hashage des mots de passe WordPress, utilise le framework phpass password et ce dernier passe par un hachage à 8 passes MD5.

WordPress utilise par défaut MD5 comme fonction de hachage (répétée 8192 fois) pour la simple et unique raison qu’elle est supportée par toutes les versions de PHP (depuis PHP 3.0).

Heureusement on peut remplacer le chiffrement utilisé par défaut sous WordPress par bcrypt, un algorithme de hashage plus puissant, via l’installation d’un plugin. Il faut pour cela :

Vous pouvez alors télécharger le plugin wp-bcrypt que vous trouverez sur WordPress.org et l’installer !

Ce que vous pouvez faire pour améliorer encore d’avantage votre sécurité

Le risque 0 n’existe pas. Même en respectant tous ces conseils vous avez un risque de vous faire pirater. Heureusement les sauvegardes régulières permettent de remettre en place le site et de combler la faille !

Modifier votre identifiant

Pour vous connecter à votre administration WordPress, l’identifiant admin est proposé par défaut. Pour éviter que les pirates ne s’en serve, créez votre identifiant personnel puis supprimez le compte admin !

Modifier l’adresse de connexion

Pour réduire le risque de piratage, il est également recommandé de modifier son adresse de connexion. Par défaut, WordPress vous propose mon-site.com/wp-admin. Ce qui facilite encore une fois le travail des hackers !

Vous pouvez changer cette URL en modifiant le le fichier .htaccess ou en utilisant une extension comme Custom Login URL. Cette deuxième solution, plus simplifiée, est parfaite pour les personnes qui s’y connaissent peu ou pas du tout en code.

Masquer la version de WordPress utilisée

Moins les autres personnes en savent sur la configuration de votre site WordPress, mieux c’est. S’ils voient que vous exécutez une installation WordPress obsolète, cela pourrait être un signe de bienvenue pour les intrus. Par défaut, la version WordPress apparaît dans l’en-tête du code source de votre site. Encore une fois, nous vous recommandons simplement de vous assurer que votre installation WordPress est toujours à jour afin que vous n’ayez pas à vous en soucier.

Voici comment masquer quelle version de WordPress vous utilisez :

Dans le fichier functions.php de votre thème WordPress vous pouvez ajouter le code suivant :

Attention, l’édition du code source d’un thème WordPress peut casser votre site si ce n’est pas fait correctement. Si vous n’êtes pas à l’aise de le faire, veuillez d’abord vérifier auprès d’un développeur.

Vous pouvez également trouver le fichier readme.html situé à la racine de votre WordPress et le supprimer !

Changer le prefix des tables WP

La base de données SQL contient et stocke toutes les informations nécessaires à votre site pour fonctionner. Elle devient alors une cible de choix pour les pirates informatiques et les spammeurs. Lors de l’installation de WordPress, la plupart des gens ne prennent pas la peine de changer le préfixe de base de données par défaut qui est « wp_ » . 1 sur 5 cas de piratage de WordPress serait dû à des injections SQL, en effet les pirates choisiront de cibler cette valeur en premier.

Retrouvez un tuto complet pour le changement de ce préfixe chez Sql.sh

Remonter le fichier wp-config.php d’un niveau

Par défaut, le fichier wp-config.php est situé à à la racine votre installation WordPress.

Il est cependant conseillé de le déplacer et de le remonter d’un niveau afin d’éviter en cas de souci qu’un pirate ne puisse le lire.

Utiliser Cloudflare

Le plugin Cloudflare pour WordPress accélère la vitesse de chargement des pages, améliore le référencement et protège contre les attaques DDoS et les vulnérabilités spécifiques à WordPress.

Contenu rédigé par
Gauthier_press

Vote pour cette publication:

Votez pour la qualité de cette publication
5 (24 votes )