Par notre rédacteur externe Kevin Kyburz.

Non pas que je te souhaite cette mésaventure, mais imagine que tu ouvres ta page WordPress pour te rendre compte qu’elle a été piratée ! Pour t’épargner ces désagréments, j’aimerais te donner ici quelques conseils pour augmenter, simplement et rapidement, la sécurité de ton installation WordPress.

Quel est le problème ?
WordPress gagne en popularité et devient par conséquent de plus en plus intéressant pour les pirates. La différence par rapport à un site Web HTML statique « traditionnel » réside dans la possibilité d’utilisation de WordPress à travers une interface administrateur, sans accès au système de fichiers de l’hébergeur. De plus, WordPress a besoin d’accéder à une base de données. Si un pirate a accès à l’interface administrateur de WordPress, à la base de données, voire même au système de fichiers du compte de l’hébergeur, cela peut avoir des conséquences catastrophiques.

L’erreur est avant tout humaine !
On ne cesse de nous le répéter : « Choisissez un mot de passe sûr ! ». Nombreux sont ceux qui ignorent cette consigne, principalement pour des raisons de confort, alors que les règles suivantes sont pourtant simples :

  • le mot de passe doit contenir plus de 8 caractères
  • il doit contenir au moins 1 majuscule, 1 chiffre et 1 caractère spécial (#,£,@)
  • il ne doit pas représenter une suite logique (12345678)
  • il ne doit pas comporter de nom, rue ou lieu de domicile

La solution la plus astucieuse consiste à utiliser un générateur de mot de passe. Je te recommande pour cela 1Password, compatible aussi bien avec Windows qu’avec Mac et l’iPhone/iPad. 1Password n’est certes pas gratuit, mais cela en vaut vraiment la peine pour la gestion et la génération de mots de passe d’une plate-forme à l’autre.

L’homme face à la machine
Un mot de passe difficile à déchiffrer est un bon début, mais cela est loin d’être suffisant. Les sites Web sont rarement piratés directement par les hommes. La plupart du temps, les pirates s’aident de « bots » qui exploitent en arrière-plan un programme permettant de détecter des failles au niveau de la sécurité. Par exemple, l’ouverture d’un répertoire spécifique ou du fichier wp-config.php de WordPress, où sont consignés l’identifiant et le mot de passe de la base de données. Je vais maintenant t’expliquer, point par point, comment accroître la sécurité de WordPress.

Préparation
Dans le Hostpoint Control Panel à l’adresse https://admin.hostpoint.ch, connecte-toi à ton compte d’hébergement et clique sur le lien de Document-Root, dans « Sites Web », dans le domaine d’installation de ton WordPress. Tu devrais ainsi directement accéder au répertoire de WordPress, sous « Explorer ».

Toujours rester à jour !
Un des principaux conseils est la mise à jour des plugiciels, des thèmes et de WordPress. Des failles peuvent toujours se produire au niveau de la sécurité. Tant que les développeurs les découvrent avant les pirates, cela ne pose aucun problème. Une simple mise à jour suffit.

Le problème principal réside bien plus dans le fait qu’après la mise à jour d’une version, des informations qui révèlent la nature des failles sont disponibles. C’est alors un jeu d’enfant pour les pirates qui recherchent exclusivement les anciennes versions de WordPress. Grâce aux informations qui représentent une faille pour la sécurité, les criminels n’ont aucun problème à se frayer un chemin.

Le script TimThumb, intégré dans de nombreux thèmes pour zoomer dans les images, en est un bon exemple. En exploitant cette faille, les pirates ont pu avoir accès à la structure de données du logiciel de blog. J’ai personnellement été victime d’une attaque sur mon blog à cause de cette faille. Depuis la version 3.7, WordPress peut effectuer automatiquement et de façon autonome des mises à jour minimes (par ex. de 3.7 à 3.71), ce qui représente une économie de travail pour le propriétaire et un renforcement de la sécurité.

Limiter les tentatives de connexion
Tel que mentionné précédemment, les sites Web ne sont généralement pas directement piratés par des personnes, mais par un script automatique. Une façon d’accéder à l’interface d’administration est la méthode Brute-Force, avec un script qui essaie automatiquement les identifiants et les mots de passe les plus courants. Le plugiciel Limit Login Attempts déjoue cette stratégie en limitant le nombre d’échecs de connexion. Dans les paramètres, il est possible de définir le nombre d’échecs à partir duquel l’adresse IP du pirate est bloquée ainsi que la durée de blocage, en heures.

Le b.a.-ba de la sécurité WordPress

Le nom de l’auteur révèle l’identifiant !
Par défaut, avec WordPress, l’identifiant est indiqué dans les commentaires comme classe CSS. Cela représente pour le pirate un point de départ intéressant. Pour remédier à ce problème, tu peux intégrer les lignes de texte suivantes dans le fichier functions.php de ton thème.

  1. Connecte-toi au Control Panel de Hostpoint tel que décrit précédemment et ouvre le répertoire de WordPress.
  2. Ouvre le répertoire « wp-content » > « themes » dans le dossier du thème utilisé (dans l’interface d’administration de WordPress sous « Designs » > « Themes ») et modifie le fichier « functions.php » avec le symbole de stylo.
  3. Ajoute le code suivant après la première ligne « <?php »:
     
    // Security: Hide Usernames from Classes
    function remove_comment_author_class( $classes ) {
    foreach( $classes as $key => $class ) {
    if(strstr($class, "comment-author-")) {
    unset( $classes[$key] );
    }
    }
    return $classes;
    }
    add_filter( 'comment_class' , 'remove_comment_author_class' );

artikelbild-wordpress2014-2

Double sécurité avec .htpasswd lors de la connexion
Pour renforcer la sécurité de façon sensible, configure les paramètres suivants. Lors de l’ouverture des pages d’administration de WordPress, on te demandera de saisir ton identifiant et ton mot de passe dans une fenêtre contextuelle. Voici comment procéder :

  1. Connecte-toi au Control Panel de Hostpoint tel que décrit précédemment et ouvre le répertoire de WordPress.
  2. Clique dans le dossier « wp-admin » sur « Paramètres Web » et active la case « Protéger le répertoire avec le mot de passe » dans le registre « Mot de passe ». Saisis un nom dans « Domaine autorisé ». Ce nom s’affichera lors de la demande de mot de passe (par ex. authentication required ou domaine admin).
  3. Saisis un identifiant ainsi qu’un mot de passe sûr, qui ne peut pas être utilisé ailleurs. « Ajouter utilisateur » permet à l’utilisateur de s’inscrire en bas de la liste des utilisateurs actifs et « Enregistrer » d’enregistrer cette modification.

A l’ouverture de l’interface administrateur dans le navigateur, une fenêtre s’affiche pour te demander l’identifiant et le mot de passe que tu as choisis au préalable.

Cacher wp-config.php
Dans le fichier wp-config.php se trouvent en texte clair l’identifiant et le mot de passe de ta base de données. Si un pirate y accède, il met alors la main sur toutes les données dont il a besoin pour, par exemple, manipuler ta base de données.

  1. Connecte-toi au Control Panel de Hostpoint tel que décrit précédemment et ouvre le répertoire de WordPress.
  2. Dans le répertoire de WordPress, modifie le fichier « .htaccess » avec le symbole de stylo et ajoute le code suivant :
     

    <FilesMatch "(.htaccess|.htpasswd|wp-config.php|lisezmoi.html|readme.html)">
    order deny,allow
    deny from all
    </FilesMatch>

Ce code empêche les accès à ton wp-config.php depuis l’extérieur.

Mon conseil plugiciel pour une plus grande sécurité
Pour protéger un site WordPress, il existe de nombreuses autres possibilités, à commencer par le contrôle du code dans les thèmes et les plugiciels, le déplacement du dossier WordPress dans le répertoire principal du serveur et la modification du nom du dossier. Mais vu que tous les utilisateurs ne sont pas développeurs, ces manipulations de base suffisent pour empêcher 90 % des attaques. Pour la sécurité, je conseille également le plugiciel Better WP Security ), qui présente diverses possibilités de paramétrage, tout particulièrement les points de menu « Utilisateur » et « Préfixe ».

J’espère avec ces conseils avoir contribué à ta protection contre les attaques de pirates. En cas de questions, utilise la fonction de commentaire.

Le b.a.-ba de la sécurité WordPress

Kevin Kyburz

Kevin Kyburz écrit des articles en tant que bloggeur externe. Depuis son premier clic sur Internet, il essaye de publier régulièrement lui-même des contenus sur le Web. Depuis 2009, il travaille avec WordPress pour des sites Internet privés et professionnels. Il propose ses propres blogs sur Swiss Kyburz Blog depuis 2010. Outre le développement de plugiciels et de thèmes, Kevin s’occupe entre autres de la traduction en allemand de WordPress.

0