7
COMM.

Révisons nos bonnes pratiques en maintenance et sécurité WordPress

Avec la sortie d’une nouvelle version de WordPress, vient le temps des mises à jour et parfois des réinstallations (ce que je ne vous souhaite pas). C’est donc l’occasion de faire un point sur les bonnes pratiques en matière de maintenance et sécurité WordPress. N’ayez pas peur, je n’ai pas l’intention de vous transformez en parano de la sécurité. Il s’agit juste de vous rappeler quelques conseils et outils permettant de blogguer l’esprit plus léger.

Si vous avez déjà lu des articles sur la sécurité de WordPress, cela risque de vous paraitre bien peu original. Cependant une chose m’interpelle dans la plupart des articles listant les conseils en matière de sécurité, la sauvegarde est quasiment toujours le dernier conseil donné alors qu’il est pour moi primordial. Vous vous en doutez , on va commencer par là.

 

Sauvegardez vos données

Quand on parle de sauvegarde de données en matière de WordPress, on pense à deux types de données :

    • Les fichiers : contenus médias mis en ligne, traductions, thèmes … ils sont contenus dans le dossier wp-content. Pour ce qui est de la sauvegarde des fichiers, votre hébergeur propose surement une solution de backup dans son tableau de bord sinon vous pouvez utiliser un logiciel comme Filezilla pour accéder à votre serveur et télécharger les fichiers utiles. Les plus téméraires peuvent se lancer dans une copie miroir de leurs sites via WPSync.
    • La base de données qui contient les configurations et le contenu . Pour sauvegarder votre contenu , vous pouvez utiliser l’outil d’export intégré à WordPress qui a l’avantage de permettre aux néophytes de réimporter du contenu facilement. La principale limite de cette fonction réside dans l’absence de sauvegarde des configurations des plugins. La sauvegarde de la base directement via PhpMyAdmin ou via un plugin spécifique est fortement recommandée. Préférez des plugins qui envoient une sauvegarde planifiée par email ou sur des hébergements tiers Dropbox , Amazon S3 comme WordPress Database Backup. Si votre serveur tombe, ce serait bête que la sauvegarde disparaisse avec…

Si vous planifiez une sauvegarde, soyez cohérent sur le choix de la fréquence de sauvegarde. Une sauvegarde quotidienne est un bon consensus ( sauf si votre blog est mis à jour plus fréquemment et beaucoup commenté )

Soyez vigilant et imprévisible

De nos jours en informatique, les principales failles de sécurité sont d’origine humaine, c’est sur ce constat que ce sont développées les techniques d’ingénierie sociale notamment.

Lorsque vous choisissez votre nom d’utilisateur, soyez original, n’optez pas pour « admin » c’est la première chose qui viendra à l’esprit d’un hacker. Si vous avez un utilisateur de ce nom-là, créez un nouvel administrateur et supprimer le compte nommé « admin« .

 

Sécuriser son site

En ce qui concerne le mot de passe, WordPress précise la « force » du mot de passe lors du choix, vous devez donc être déjà sensibilisé au fait qu’il ne faut pas choisir un mot de passe trop simple. Vous pouvez utiliser un système de génération de mot de passe comme celui intégré à WordPress Security Scanpour être plus sécurisé dans votre choix. Pour l’anecdote , pour cette année le top 5 des mots de passe les plus utilisés selon l’ ESET est : password , 123456 , 12345678, 1234 , qwerty

 

Une autre fonctionnalité du plugin WordPress Security Scan est le fait de pouvoir changer le préfixe des tables de sa base de données même après l’installation ( Backup Obligatoire au préalable !!! ). En effet, la plupart du temps, par méconnaissance ou flemme , lors de l’installation on laisse ce préfixe sur wp_ , cela facilite donc le travail des hackers pour trouver le nom des tables utilisées dans la base pour y faire des injections notamment. Vous pouvez opter pour un mélange de chiffres et de lettres suivi d’un underscore (le tiret 8 ou cadratin).

De par la facilité d’accès aux plugins, on est tenté d’en installer un bon nombre. Outre une baisse significative de performances, vous créez potentiellement des failles de sécurité et pas seulement comme le veut la croyance populaire quand ceux-ci sont activés. Faîtes donc attention à n’installez que des plugins nécessaires et à supprimer les plugins non utilisés.

Pour ce qui est des thèmes et plugins connus, faîtes attention qu’ils s’agissent bien des versions originales et non des versions trafiquées. Préférez donc les téléchargements sur le site officiel et vérifier la page du plugin. Il n’y a pas si longtemps, il a été question de tentatives de piratages via l’installation d’un faux plugin Contact Form 7. ( Celui-ci avait le nom de Contact Form 7.3 ). Quoi de plus tentant qu’une version plus récente.

Jouez à cache-cache

En matière de sécurité, l’information est le nerf de la guerre. L’idée est donc de rendre cette information la moins facile à obtenir. Pour cela, nous allons restreindre l’accès à certains de nos fichiers et masquer différentes informations.
La première information facile à cacher est le numéro de version de WordPress.
Si vous jetez un coup d’œil à l’entête de vos pages de site ( côté code source ), vous verrez une ligne similaire à la suivante :

Dans la plupart des thèmes, la version de WordPress utilisée est affichée très clairement. Une personne mal intentionnée peut donc savoir très facilement que vous n’êtes pas très à cheval sur les mises à jour et où chercher pour trouver des failles
Ce numéro de version se cache en éditant le fichier fonctions.php de votre thème ( Que vous aurez bien sur sauvegardé avant toute modification ) . Vous y ajoutez la ligne suivante avant la balise ?>

Si vous n’utilisez pas de thème enfant pour appliquer les modifications à vos fichiers de thème, il vous faudra refaire la modification à chaque mise à jour du thème.

On va maintenant parler de deux fichiers que vous connaissez peut-être déjà :

  • le fichier wp-config.php , c’est celui qui contient notamment les informations qui permettent de faire le lien entre WordPress et sa base de données.
  • Le fichier .htacces est un fichier de configuration du serveur qui permet notamment de restreindre les accès ou de mettre en place des redirections. Il se situe dans le dossier dont il est sensé réguler les accès.

En vous trompant dans l’adresse de votre site, vous avez peut-être remarqué, qu’il est possible sur certains serveurs d’obtenir la liste des fichiers contenus dans un dossier. Vous pouvez faire le test par exemple sur un de vos dossiers contenant des images ( en retirant le nom de l’image de l’adresse). C’est une fonctionnalité très pratique pour récupérer la liste des plugins et thèmes installés sur votre site et savoir où chercher des failles.
Il est possible de désactiver ce listing en ajoutant les lignes suivantes dans le fichier .htaccess :

Pour gérer l’accès à ces deux fichiers nous allons donc éditer à nouveau le fichier .htaccess et y ajouter les lignes suivantes :

Pour aller plus loin

Si vous voulez allez plus loin, vous pouvez mettre en place :

    • Un monitoring de vos fichiers WordPress pour être prévenu d’éventuelles modifications de vos fichiers avec des plugins comme WordPress Sentinel ou des outils externes comme Website Defender
    • Un système de notification de connexions à l’administration via WP Notifier
    • Une sécurité sur votre page de connexion comme Simple Login Lockdown qui permet de prémunir votre blog contre les attaques de type brute force.

bigarow

Laisser un commentaire

Laisser un commentaire

( 7 commentaires )

  1. Bonjour Paul,

    Merci pour cet article 😉

    On est davantage sensibilisé par la sécurité lorsque l’on est touché, et il vaut mieux prévenir que guérir 🙂

    Merci pour tous les conseils que tu m’as donné durant ces moments, cela m’a permis de garder la sérénité et de pousser la sécurité du blog un peu plus loin.

    Belle journée Paul !

    Amicalement,
    Sridar

  2. Merci pour ces infos.
    Une bonne partie a été mise en place sur mon site mais il me reste à faire le reste 😉

    • Paul #

      Bonjour Sébastien,

      De rien 😉
      Bon courage pour le reste !
      Passez de bonnes fêtes.

      Paul

  3. Merci pour tous ces renseignements me paraissant presque évidents concernant le fait de se protéger, beaucoup moins quant à la méthodologie car je ne comprend que le dixième du millième mais ça va venir…
    Pour les différents sites & autres à télécharger, je me suis parfois retrouvé dans le mur pour la seule raison que je suis sur mac. Il serait peut-être utile de penser aux 8% d’utilisateurs apple…
    Concernant la conf’ de 24h, sera-t-elle rediffusée ? Un moyen de l’enregistrer ? pdf, ce serait génial car je vais manquer de café…
    Si j’avais des sous, ne serait-ce que ce qui vous paraitrait un minimum vitale, je me serais abonné et aurais prix un coach dans votre équipe c’est certain.
    Après la pluie, le beau temps et dès les premiers rayons de soleil de mon site « La Passerelle du Son de Soi » (vous voyez, j’applique vos conseils avertis…), nous en profiterons ensemble. Du soleil. « le sourire aux lèvres »
    Très chaleureusement à vous & à bientôt.
    pascal

    • Paul #

      Bonjour Pascal,

      Dans l’équipe, nous avons plus de Mac que de PC 😉
      Les conférences seront rediffusées, surement dans le courant de la semaine ( le temps de souffler un peu ).

      A très vite,

  4. bonjour Cyrille et toute l’équipe!
    Merci pour ces mises en garde de sécurité! un pro de l’informatique trouvera sans doute cela primaire…mais moi qui suit débutante en informatique ,c’est un vrai bain de découvertes!

    • Paul #

      Bonjour Agnes,
      Cela ne fait de mal à personne de revoir ce qui est primaire de temps en temps 😉 .
      Content que vous y ayez fait des découvertes.

      Bien cordialement,
      Paul