Chaque jour, plus de 30 000 sites sont piratés et ce chiffre est en constante augmentation. Si vous ne prenez pas des mesures maintenant, ce n'est qu'une question de temps avant que votre site ne tombe entre de mauvaises mains...

Ah la sécurité, il y a encore quelques années c'était une notion qui me passait complètement par-dessus la tête. J'imaginais que les histoires de piratage cela n'arrivait qu'aux autres !

Seulement voilà...

Un jour mon hébergement a tout simplement fait pschiit ! J'ai reçu un mail de mon hébergeur qui me notifiait gentiment de la fermeture de mon hébergement suite à une activité suspecte... Pardon ? Mais monsieur l'hébergeur, ce n'est pas très gentil ça, j'avais 5 sites qui tournaient à plein régime sur cet hébergement et là il n'y a plus rien qui fonctionne !!!

Bon heureusement, j'avais déjà le bon réflexe de sauvegarder régulièrement mes sites et j'ai rapidement pu rétablir l'ordre... Mais imaginez-vous dans cette situation sans sauvegarde ? Des dizaines et des dizaines d'heures de travail qui disparaissent ? Parfois même des années de publications sur votre blog ! Tous vos efforts pour vous faire connaître et finalement essayer de gagner votre vie, plus rien... Cela peut vite se transformer en cauchemar !

Et surtout n'imaginez pas que cela n'arrive qu'aux sites importants... La plupart du temps les piratages sont réalisés de manière automatique avec pour but de pirater un maximum de sites pour ensuite lancer des attaques plus importantes ou même simplement pour du Spam... Si vous voulez éviter que cela ne vous arrive, lisez la suite, je vais vous prendre par la main et vous guider pas à pas pour transformer votre site wordpress en une véritable forteresse impénétrable ! (ok ce n'est pas Guantanamo non plus mais presque 🙂 )

Etape 1 : Sauvegardez votre site régulièrement

Vous avez probablement déjà dû le lire des dizaines de fois mais l’avez-vous fait ? Sauvegarder votre site, c’est la base de la base pour éviter la catastrophe. En aucun cas vous ne pouvez passer outre. Ne pas sauvegarder son site Internet, c’est exactement comme faire de la moto sans casque… Le jour où il vous arrive un accident, il n'y a pas de retour arrière possible…

Ok, je suis convaincu, je fais comment ?

Eh bien pour cela il existe plusieurs solutions :

• Faire une sauvegarde manuelle de votre site Internet. Cela nécessite quelques manipulations qui ne sont pas toujours simples pour un débutant et en plus c'est juste pénible à faire...
• Utiliser un plugin WordPress : c’est nettement plus simple, il suffit de configurer une fois le plugin et ensuite vous pouvez faire autant de sauvegardes que vous le souhaitez. La plupart des plugins dans ce domaine proposent une version gratuite qui est suffisante dans la plupart des cas.
• Et enfin, il existe des services externes qui proposent souvent des fonctionnalités supplémentaires mais ils sont payants

Je vous propose pour cet article de vous guider dans l’installation et la configuration d’un plugin gratuit : Backwpup

Installation du plugin Backwpup

Extensions → Ajouter
Recherchez « backwpup » et cliquez sur « Installer maintenant »

Une fois l’installation terminée, activez l’extension en cliquant tout simplement sur le lien « Activer l’extension » (oui je sais, heureusement que je suis là, vous ne l’auriez pas deviné tout seul !)

Vous avez maintenant un nouveau menu à gauche Backwpup.

Configuration du plugin

Vous allez voir, ce n’est pas bien compliqué, commencer par aller dans le menu « ajouter une nouvelle opération »

BackWPup → Ajouter une nouvelle opération

Dans l’onglet général

La plupart des options sont bonnes par défaut. Ajoutez un nom puis en bas de la page, choisissez l’endroit où vous souhaitez sauvegarder vos fichiers. Le choix vous appartient mais sachez que la sauvegarde envoyée par mail sera vite limitée par la taille maximale de celui-ci… Si vous ne savez pas trop quoi faire, vous pouvez sélectionner la première option « Sauvegarder dans le répertoire ». La sauvegarde sera simplement placée dans le répertoire wp-content de votre site. Ce n'est pas l'idéal mais c'est bien mieux qu'aucune sauvegarde. A terme, pensez à utiliser un service de stockage externe comme dropBox pour y mettre vos sauvegardes.

Cliquez sur « Sauvegarder les changements » .Pour chaque emplacement de sauvegarde sélectionnée vous aurez un nouvel onglet dédié en haut à droite qui permet de le configurer. Dans notre cas, rien de plus à faire.

Dans l’onglet programmation

Ici, vous pouvez choisir le type de lancement de votre sauvegarde, en gros, soit vous la lancez manuellement soit elle est exécutée automatiquement à intervalles réguliers.

Je vous propose d’utiliser la version automatique en activant l’option « avec le cron de WordPress ».

Vous pouvez maintenant régler la fréquence de sauvegarde. A vous de voir selon la fréquence de mise à jour de votre site mais essayez d’opter au moins pour une sauvegarde hebdomadaire.

Cliquez sur « Sauvegarder les changements »

 Lancer une sauvegarde manuellement

N'attendez pas le lancement automatique pour votre première sauvegarde. Allez dans le menu « Opérations », puis cliquez sur « lancer l’opération »

BackWPup → Opérations

L’opération peut prendre quelques minutes selon la taille de votre site Internet.

Une fois terminée, re-cliquer sur le menu « opérations » et au bout de la ligne vous pouvez télécharger directement votre sauvegarde en cliquant sur « Télécharger »

Et voilà ! Vous êtes sauvés ! Tous vos fichiers et votre base de données sont sauvegardés sur votre ordinateur.

Pour les sauvegardes automatiques, vous pourrez les trouver en passant par votre FTP dans le répertoire …/wp-content/uploads/ (c'est le répertoire par défaut). Si vous ne savez pas comment accéder à vos fichiers par FTP, je vous conseil d'utiliser Filezilla, il est simple à utiliser et gratuit.

Etape 2 : Sécurisez votre interface d'administration

Pour cette étape nous allons nous limiter à l'ensemble des points que l'on peut traiter sans aller toucher à un quelconque fichier.

Maintenez l'ensemble de votre système à jour

Un site qui n'est pas maintenu à jour est une véritable passoire et du pain bénit pour les hackers. Chaque mise à jour permet de corriger des failles de sécurité et de diminuer les risques que quiconque puisse s'introduire frauduleusement sur votre site. En plus cela ne vous prendra que quelques secondes...

Tableau de bord → Mise à jour 

3 types de mises à jour sont disponibles :

• Mise à jour de wordpress

Un clic suffit à mettre à jour votre wordpress, appuyez sur le bouton "Mettre à jour"

• Mise à jour des extensions

Dans la partie Extensions, appuyer sur la case à cocher "Tout sélectionner" puis "Mettre à jour les extensions"

• Mise à jour des thèmes

Ici, même opération que pour les plugins, appuyer sur la case à cocher "Tout sélectionner" puis "Mettre à jour les thèmes"

 

Supprimez les extensions non utilisées ou inutiles

La communauté autour de WordPress est tout simplement colossale et les plugins disponibles sont extrêmement nombreux. Je ne sais pas pour vous, mais moi j'aime bien tester régulièrement de nouveaux plugins à la recherche d'une pépite. Souvent ces plugins ne nous sont pas vraiment nécessaires ou ne correspondent pas à notre besoin mais on a parfois tendance à se dire "bon ce n'est pas grave, je le laisse, on verra si cela peut servir".

Le problème c'est qu'en laissant le plugin sur votre site, non seulement vous ralentissez wordpress pour rien mais en plus vous vous exposez potentiellement à des failles de sécurité et c'est encore pire si vous ne maintenez pas le plugin à jour. Si vous vous dite qu'il suffit de désactiver le plugin et bien malheureusement cela ne change rien en termes de sécurité, le code du plugin est toujours présent et donc les failles aussi.

Bref vous l'aurez compris, il est temps de faire du ménage !

Extensions → Extensions installées

Regardez attentivement l'ensemble des plugins et posez vous la question "Est-ce que ce plugin me sert vraiment ?", dites-vous que chaque plugin que vous enlèverai vous fera gagner en performances et en sécurité.

C'est bon ? Vous avez trouver quelques plugins à supprimer ? Alors commencez par les désactiver et ensuite supprimez les. (ne soyez pas triste, si jamais il vous manque de trop vous pourrez toujours les réinstaller 🙂 )

 

Bannissez l'utilisateur Admin et optez pour un vrai mot de passe

Par défaut dans wordpress, vous avez un compte administrateur avec le login Admin. C'est bien sûr une très mauvaise idée de le garder puisque tout le monde connait ce login...  Allons faire un tour dans la partie "Utilisateurs" !

Commencez par créer nouvel utilisateur

Utilisateurs → Tous les utilisateurs

Remplissez bien l'ensemble du profil et cliquez sur "Afficher le mot de passe". Le mot de passe généré est peut être impossible à retenir mais au moins il a le mérite d'être sécurisé. Je vous conseil de le garder et de vous le copier quelque part. Si vous voulez en mettre un plus facile à retenir assurez vous d'avoir au moins 10 caractères et si possible avec un mélange de chiffres, de lettres et de symboles.

Sélectionnez ensuite le rôle "Administrateur" puis cliquez sur "Ajouter un utilisateur"

Supprimez l'utilisateur Admin

Ok, vous devez maintenant avoir 2 comptes administrateurs. Seulement pour supprimer le premier, il faut bien sûr que vous ne soyez pas connecté avec celui-ci. (Combien d'entre vous ont cherché le bouton "Supprimer" sur l'utilisateur admin avant d'avoir changé d'utilisateur? hein, avouez ? 🙂 ).

Déconnectez-vous du compte admin et connectez-vous avec votre nouvel utilisateur. Allez dans le menu Utilisateur et sur la ligne de l'utilisateur admin cliquer sur "supprimer"

WordPress va vous demander de confirmer la suppression et surtout il va vous demander à qui attribuer tous les articles actuellement associés au compte admin. Sélectionnez bien votre nouvel utilisateur dans la liste et cliquez sur "confirmer la suppression"

Créez un utilisateur avec le rôle "éditeur" pour vos articles

En règle générale, lorsque vous écrivez un article, le login de l'utilisateur est accessible. C'est une bonne chose pour vos lecteurs mais ça l'est moins pour la sécurité de votre site... Le plus simple dans ce cas est de créer un utilisateur avec le rôle "éditeur" en plus de votre compte admin. Comme cela, si quelqu'un accède à votre interface d'administration avec cet utilisateur, ses actions seront très limitées ! Et pour vous, au quotidien cela ne change pas grand-chose, si vous avez besoin des droits "administrateur" vous n'avez qu'à changer d'utilisateur.

Commencez par créer un nouvel utilisateur

Utilisateurs → Ajouter

Même process que pour la création du compte admin à l'exception du rôle que vous devez régler sur "Editeur".

Attribuez les anciens articles au nouvel utilisateur

Il est probable que vous ayez déjà de nombreux articles publiés avec l'utilisateur ayant les droits "administrateur". Vous pourriez les réattribuer un par un mais cela pourrait vite s'avérer long et fastidieux. Pour le faire en masse vous pouvez aller dans la section "tous les articles"

Articles → Tous les articles

1. Sélectionnez l'ensemble de vos articles en appuyant sur la case à cocher à gauche de l'entête
2. Choisissez "modifier" dans la liste déroulante "Actions groupées" et cliquez sur "Appliquer"
3. Dans la liste déroulante "Auteur" sélectionnez votre nouvel utilisateur avec les droits "Editeur" puis appuyez sur "Mettre à jour"

 

Limitez le nombre de tentatives de connexion à votre Interface d'administration

L'une des techniques classiques pour s'introduire sur votre site consiste à trouver votre login et votre mot de passe en essayant un très grand nombre de combinaisons sur votre page de connexion. Pour se protéger de ce type d'attaque, le plus simple est de restreindre le nombre de tentatives possible. Il existe un plugin gratuit qui fait très bien le boulot : WP Cerber

Installation du plugin WP Cerber

Extensions → Ajouter
Rechercher « Cerber Limit Login Attempts » et cliquer sur « Installer maintenant »

Activez l'extension

Configuration du plugin WP Cerber

Réglages → WP Cerber

Par défaut, la plupart des paramètres sont très bien, je vous conseille juste de décocher la case "Utilisateurs inexistants". Cette option bloque l'accès au premier essai raté avec un mauvais login. C'est un peu dur d'attendre 60 minutes simplement par ce que l'on s'est raté sur son login 🙂

Si vous le souhaitez, vous pouvez changer le nombre de tentatives avant le blocage et la durée du blocage. Pour le reste, ce plugin propose énormément d'options pour sécuriser l'accès à votre site mais pour le moment je vous conseille de laisser toutes les options par défaut. (ce plugin mérite un tuto dédié)

Nous voilà à la fin de la 2ème étape. A ce stade, votre site est déjà plus sécurisé que la très grande majorité des sites Internet qui tournent avec wordpress. Bravo !

La prochaine étape va permettre d'aller encore plus loin mais cela va nécessiter de toucher un peu aux fichiers de WordPress. N'ayez pas peur, je vais essayer d'être le plus clair possible et de vous simplifier au maximum le boulot.

 

Etape 3 : Sécurisez vos fichiers et vos dossiers

Par défaut, votre installation de wordpress permet d'accéder à de nombreuses informations qui peuvent être détournées, pour y remédier nous allons faire des modifications dans 2 fichiers, le fichier .htaccess et le fichier functions.php. Vous ne comprenez pas de quoi je parle ? Ce n'est rien je vous explique tout juste après !

Modification du fichier .htaccess

Chaque installation de wordpress possède un fichier .htaccess à la racine de votre installation. Ce fichier est franchement génial et vous permet d'agir sur votre site internet de bien des manières mais il est utilisé en priorité pour les points suivants:

• Améliorer la vitesse de chargement
• Mettre en place des redirections
• Et bien sûr la sécurité (ba oui quand même...)

Je passe sur le fonctionnement de ce fichier, si vous voulez en savoir plus aller voir l'excellent article rédigé sur Wpmarmite dont je me suis inspiré pour cette partie.

Quelques précautions avant de manipuler le fichier .htaccess

Avant de faire une quelconque modification de votre fichier .htaccess il est extrêmement important d'en faire une sauvegarde. Si vous faites une fausse manipulation avec ce fichier, votre site peut tout simplement devenir inaccessible (avouez que ca serait dommage après tous ces efforts 🙂 )

Pour commencer connectez-vous à votre hébergement par FTP (avec filezilla par exemple). Je pars du principe que vous savez vous y connecter. Si ce n'est pas le cas lisez ce tuto https://codex.wordpress.org/fr:Utiliser_FileZilla

Une fois connecté, vous trouverez le fichier .htaccess à la racine de votre installation wordpress, cela vari d'un hebergeur à un autre mais cela devrait être un chemin du type "/www/monsite/".

Une fois que vous avez trouvé le fichier, faites en une sauvegarde sur votre ordinateur en le faisant simplement glisser vers le répertoire voulu.

Ok, vous êtes prêts pour les modifications

Vous pouvez maintenant ouvrir votre fichier .htaccess, nous allons commencer à opérer. (clic droit sur le fichier dans filezilla "Afficher / Editer")

Voila à quoi il devrait ressembler si vous n'avez rien touché (vous pouvez avoir quelques différences mineures):

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

Si votre fichier est très différent, je vous conseil de vous arrêter là pour éviter de faire une fausse manipulation. C'est parfois le cas lorsque vous utilisez un plugin de cache qui modifie les fichiers .htaccess

Voilà la version que je vous propose (en rouge les ajouts)

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ - [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

# 4/Enlève l'accès direct aux utilisateurs par leur identifiant

#Attention cette partie doit bien se trouver entre les balises <IfModule mod_rewrite.c> et </IfModule>

RewriteCond %{QUERY_STRING} ^author=([0-9]*)

RewriteRule .* - [F]

</IfModule>

# END WordPress

# 1/Désactive l'affichage du contenu des répertoires

Options All -Indexes

# 2/Protège le fichier wp-config.php

<files wp-config.php>

order allow,deny

deny from all

</files>

# 3/Protège les fichiers .htaccess et .htpasswds

<Files ~ "^.*\.([Hh][Tt][AaPp])">

order allow,deny

deny from all

satisfy all

</Files>

Les modifications apportées vont permettent de protéger les 4 points suivants:

1. Par défaut, n'importe qui peut accéder aux contenus de vos répertoires en tapant l'adresse. Par exemple essayez avec en tapant l'adresse suivante sur votre site : monsite.xx/wp-content/uploads/ (remplacez "monsite.xx" par l'adresse de votre site). Comme vous pouvez le voir, le résultat est plutôt gênant... Tout votre contenu est visible !
2. Votre fichier wp-config.php présent à la racine de votre site contient tous les éléments nécessaires pour se connecter à votre base de données. Autant dire qu'il ne faut pas quiconque puissent y accéder.
3. Le fichier .htaccess permet de protéger les autre fichiers importants mais qui le protège lui ? Cela peut paraître bête mais il est important d'ajouter cette protection !
4. Saviez vous que l'on pouvait trouver très facilement votre login ? non ? Et bien essayez vous même : monsite.xx/?author=1 (remplacez "monsite.xx" par l'adresse de votre site). Vous devriez être redirigé sur la page de l'utilisateur ayant l'identifiant 1 avec son login bien visible dans l'URL...

Il ne vous reste plus qu'à ajouter ces modifications à votre fichier .htaccess et à l'enregistrer pour profiter de ces améliorations.

Si après ces modifications vous ne pouvez plus accéder à votre site et que vous vous retrouvez avec une erreur de ce type :

Don't panic ! Soit vous avez fait une mauvaise manipulation dans votre fichier .htacces soit l'un des points ajoutés est incompatible avec votre hébergeur mais dans tous les cas, il vous suffit de remettre votre fichier .htaccess d'origine que vous avez mis de côté au début de cette étape (vous voyez que cela peut servir les sauvegardes !!! 🙂 ). Si vous rencontrez des difficultés à cette étape, n'hésitez pas à poser vos questions en commentaire.

Modification du fichier functions.php

Retournons à nos moutons avec le fichier functions.php. Ce fichier permet d'apporter des personnalisations à votre thème et en l’occurrence nous allons y apporter quelques modifications pour renforcer encore la sécurité de votre site web.

Placez-vous dans le répertoire de votre thème enfant et vérifiez si vous avez un fichier functions.php, si vous en avez un, ouvrez-le sinon créez-le.

Si vous aviez déjà un fichier functions.php, faites en une sauvegarde avant de le modifier (ça va finir pas rentrer 🙂 )

Éditez le fichier et insérez-y le code suivant et enregistrez-le:

<?php

// 1) masque la version de votre WordPress

remove_action("wp_head", "wp_generator");

// 2) empêche l'édition de vos fichiers directement depuis wordpress

define('DISALLOW_FILE_EDIT',true);

// 3) Masque les erreurs de connexion

add_filter('login_errors',create_function('$a', "return 'Erreur';"));

?>

1. La version de votre wordpress est par défaut affichée dans le code source de votre page, il ne reste plus qu’à un gentil hacker à utiliser une faille de sécurité correspondant à votre version…  Regardez le code source de votre page en appuyant sur "ctrl+u" et cherchez une ligne du type <meta name="generator" content="WordPress 4.5.3"> . Avec cette modification dans votre fichier "functions.php", la version est retirée du code source.
2. Si quelqu’un accède à votre interface d’administration, il peut très simplement modifier vos fichiers en passant par l’éditeur de fichier sans même avoir besoin d’accéder à votre hébergement. Mieux vaut désactiver cette fonctionnalité.
3. Lorsque vous essayez de vous connecter à votre interface d’administration, WordPress à la fâcheuse manie de vous dire si c’est votre login ou votre mot de passe qui n’est pas bon. Non mais franchement, autant afficher publiquement votre login, le résultat serait le même…  Bref, maintenant vous n’aurez plus qu’un message d’erreur basique sans informations complémentaires.

Quelques précautions par rapport à votre fichier "functions.php". Si ce fichier n'était pas présent vous pouvez simplement le créer et copier/coller l'exemple ci-dessus. Par contre, si vous en aviez déjà un, attention à bien ajouter le code à la fin du fichier avant la balise de fin de fichier PHP "?>" et à ne pas remettre les balises "<?php" et "?>" qui sont déjà présentes dans le fichier. Un exemple :

Comme toutes les autres modifications, si vous rencontrez le moindre problème, remettez votre fichier d'origine ou supprimez-le si vous n'en aviez pas.

Suppression du fichier "readme.html"

Décidément WordPress aime vraiment laisser des traces, tapez l'adresse suivante : "votresite.xx/readme.html"

Oui, vous ne rêvez pas ! N'importe qui peut accéder à ce fichier qui affiche fièrement votre version de WordPress ! La solution est simple et radicale... Supprimez tout simplement ce fichier qui ne sert strictement à rien... (il se trouve à la racine de votre répertoire wordpress)

 

Bravo ! Votre WordPress est maintenant sécurisé !

Je vous invite à vérifier que les modifications que vous venez de faire sont effectives en utilisant cet outil en ligne gratuit qui analyse votre site. Vous avez maintenant peu de chances de faire partie des 30000 sites piratés tous les jours... Les puristes de la sécurité qui liront cet article viendront probablement dire que c'est incomplet... C'est vrai ! Mais j'ai fait le choix de m'attarder sur les points qui me paraissaient essentiels ET qui étaient abordables par le commun des mortels. Si vous voyez d'autres modifications simples et importantes à apporter n'hésitez pas à m'en faire part, je compléterai l'article. En bonus je vous propose un pdf avec l'ensemble des étapes résumées pour gagner du temps et garder un pense-bête sous les yeux à chaque fois que vous faites un site avec WordPress.