Anticiper les problèmes de sécurité est crucial, surtout en création de site internet WordPress. Découvrez alors mes pratiques essentielles pour tout site Internet agence WordPress, au travers d’une liste des mesures à prendre.
Les gens pensent souvent qu’il est facile de faire un site Internet. Même certains « professionnels » ont tendance à se montrer un peu trop confiant. Je vais alors vous raconter une histoire vrai, survenue voilà quelques années.
Un jour, une personne de mon réseau me téléphone : Google lui indique que son site web – dont je n’étais pas le concepteur – a été piraté. Il s’agissait d’une personne qui accompagnait les indépendants de sa ville dans la création de leur entreprise. On parle donc d’un petit site internet vitrine sans prétention de trafic. Le problème, c’est que le créateur du site Internet demeurait injoignable. C’est alors qu’elle m’a commandé une prestation pour investiguer et régler le souci.
Après de longues recherches, j’ai fini par trouver : une faille dans l’un des plugins de son site WordPress, associé à une absence de sécurisation de son site, ont permis à un pirate… d’y dissimuler un site du dark web ! L’intrus vendait alors, via son site caché dans celui de ma cliente, des médicaments de contrebande, dont certaines petites pilules bleues, ainsi que diverses drogues. Ce n’est pas une blague, je suis très sérieux. Une fois le problème identifié, j’ai alors pu corriger celui-ci.
Autre exemple : il y a peu, une consoeur me racontait qu’elle s’était même fait pirater un site Internet en cours de conception ! La sécurisation n’était pas encore en place, et un bot qui passait par là en a profité. Elle et son associée ont dû refaire le site de zéro pour s’assurer que rien de malveillant ne persistait.
À ces événements s’ajoute la législation : vous êtes légalement responsable de ce qui se trouve sur votre site Internet. Si la sécurisation de celui-ci n’a pas été faite, c’est donc votre problème du point de vue de la loi. Morale de l’histoire : un piratage peut arriver à n’importe quel site web, aussi petit soit-il, et peut coûter très cher.
Cette publication vise alors à sensibiliser sur l’importance de la sécurité, d’autant plus dans un contexte où même des institutions nationales sont visées par des cyberattaques. Personne n’est à l’abri, et c’est pourquoi il est crucial de connaître les outils et méthodes pour sécuriser efficacement votre site WordPress.
Les plug-ins
Pour renforcer la sécurité lors de la création d’un site internet WordPress, plusieurs outils et méthodes sont à votre disposition. Les plug-ins, notamment, peuvent être d’une aide précieuse pour accomplir diverses tâches essentielles.
Redirection
Initialement conçu pour faciliter la mise en place de redirections 301, ce plug-in est un incontournable pour toute agence WordPress. Une redirection 301 informe les visiteurs et les moteurs de recherche du nouvel emplacement d’une page dont l’URL a changé, que ce soit à la suite d’un déménagement de site ou d’une refonte. Cependant, l’aspect le plus intéressant pour nous est la capacité de ce plug-in à détecter les erreurs 404 et les URL associées. Vous pourrez ainsi identifier les IP à l’origine de ces erreurs. Certaines URL sont révélatrices de tentatives malveillantes. Ces IP seront essentielles pour le prochain plug-in que nous aborderons.
iQ Block Country
Ce plug-in, essentiel à tout professionnel lors de la création de site internet WordPress, est à la fois complet et gratuit. Il offre la possibilité de restreindre l’accès à votre site depuis les pays que vous sélectionnez. Plus impressionnant encore, il distingue entre le frontend (affichage public) et le backend (c’est à dire, la partie administration), vous permettant d’affiner vos paramètres avec précision. Suite à une analyse approfondie des tentatives d’attaques sur mon site, j’ai choisi de bloquer l’accès à plusieurs pays, notamment la Chine, l’Ukraine, la Russie, la Turquie, les Émirats Arabes Unis, Taïwan, la Corée du Nord et le Pakistan. Pourquoi ces pays ? Parce qu’après géolocalisation des IP, il s’avère que les attaques viennent principalement de là-bas.
Pour ce qui est du backend, je n’autorise que les pays par lesquelles passent les fournisseurs d’accès Internet français : France, Belgique et Suisse. À noter que iQ Block Country vous offre la possibilité d’ajouter des IP spécifiques à une liste des bannissements.
Rename WP-Login
Cette extension, recommandée pour tout expert WordPress lors de la création d’un site internet, modifie l’URL de la page de connexion par défaut à votre tableau de bord administratif. Ainsi, ceux qui scrutent votre site en quête d’un wp-login.php seront confrontés à une impasse.
Limit Login Attempts
Cependant, en complément de l’extension précédente, ce module est un atout lors de la création de votre site internet. Il restreint les tentatives d’accès à l’interface d’administration de WordPress. Facile à utiliser, il est particulièrement efficace : après un certain nombre de tentatives infructueuses, il bloque automatiquement les IP pour une durée que vous définissez.
Le .htaccess
Là, on va commencer à rentrer dans le dur. Si vous n’êtes pas familiers avec le code, sollicitez votre prestataire web. Le .htaccess est un fichier de configuration du protocole HTTP. On le trouve le plus souvent à la racine du site, mais on peut aussi le trouver à différent niveau dans des sous-dossiers. Voici quelques lignes de code pour vous aider.
Masquez vos répertoires
Masquer vos répertoires aura pour effet de rendre vos dossiers inaccessibles aux indésirables. C’est-à-dire que même en ayant l’URL d’un dossier d’images par exemple, l’internaute ne pourra avoir accès à celui-ci. Seul votre site sera habilité à exploiter ces répertoires pour afficher vos contenus. Afin de procéder à cette opération, il vous suffit d’ajouter la ligne suivante à votre .htaccess :
Options All -Indexes
IndexIgnore *
Sécurisez vos fichiers wp-config.php et .htaccess
Votre fichier wp-config.php contient pas mal d’informations qu’il vaudrait mieux éviter de laisser fuiter. Ouvrez-le, et constatez : identifiants FTP et SQL, mots de passe, bref tout ce qu’on préférerait garder pour soi. Ajoutez les lignes suivantes à votre .htaccess pour être tranquille sur ce point :
<files wp-config.php>
order allow,deny
deny from all
</files>
On fera de même avec les fichiers .htaccess :
<files .htaccess>
order allow,deny
deny from all
</files>
Se protéger de diverses tentatives d’attaques (XSS, clickjacking et MIME-Type sniffing)
Le XSS concerne ce qu’on appelle l’injection de code, qui peut ensuite mettre en danger vos visiteurs ou se servir de votre hébergement pour y héberger quelques contenus illicites, comme évoqué plus haut.
<ifModule mod_headers.c>
Header set X-XSS-Protection « 1; mode=block »
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options: « nosniff”
</ifModule>
Éviter que l’on découvre l’identifiant d’un auteur
Pour se connecter à l’interface d’administration de WordPress, il faut un identifiant. Et quand on l’a, la moitié du travail est déjà fait. Ne reste alors plus que le mot de passe. Ce petit bout de code permet de rendre la tâche plus compliquée.
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* – [F]
</IfModule>
Mais aussi…
Évitez que l’on puisse voir la version de WordPress
Tout est dans le titre. Connaître la version de votre WordPress, s’il n’est pas à jour, c’est connaître ses vulnérabilités potentielles. Vous n’avez alors qu’à placer ce petit bout de code dans le fichier functions.php de votre thème :
remove_action(‘wp_head’, ‘wp_generator’);
Désactivez Windows Live Writer
Windows Live Writer est un logiciel permettant de bloguer à distance. Pour que ce logiciel puisse fonctionner correctement, une ligne de code est générée par WordPress. Afin de supprimer celle-ci, il vous suffit de coller cette ligne dans le fichier function.php de votre thème :
remove_action(‘wp_head’, ‘wlwmanifest_link’);
Supprimez les fichiers readme.html et licence.txt
Situés à la racine du site, ces fichiers indiquent le numéro de version de WordPress. Ça serait ballot de laisser traîner ça…
En tant que dirigeant d’une agence web WordPress, j’ai partagé avec vous les méthodes les plus courantes pour sécuriser un site internet WordPress. Une observation intéressante : en bloquant l’accès depuis certains pays, j’ai remarqué une réduction significative des spams. Bien sûr, il est toujours possible d’optimiser davantage la sécurité, mais ces mesures vous prémunissent déjà contre les attaques les plus fréquentes.
Pour mettre les choses en perspective, voici une statistique édifiante : 60 000. C’est le nombre de tentatives d’intrusion que j’ai enregistrées en seulement quatre ans. Bien que la majorité de ces tentatives proviennent probablement de bots, ce chiffre reste stupéfiant.
