WordPress a historiquement eu une mauvaise réputation en matière de sécurité. Cependant, un peu de contexte est nécessaire. WordPress se situe actuellement confortablement au sommet du paysage CMS avec une part de marché de 64,7% en 2021. La deuxième place revient actuellement à Shopify avec 5,4%. En fait, WordPress a presque le double de la part de marché des 90 prochaines plateformes populaires combinées. Il existe de nombreux sites WordPress et cela signifie en fin de compte qu’il existe de nombreux sites Web WordPress qui intéressent les « mauvais acteurs ».
Il existe également un grand nombre de sites WordPress dans la nature qui s’appuient sur des thèmes ou des plugins standard pour alimenter des parties clés, ou la totalité, du site Web. Souvent, c’est là qu’une situation problématique peut survenir. En compromettant un thème ou un plugin largement utilisé, un attaquant peut potentiellement obtenir les clés d’un certain nombre de sites, c’est pourquoi ces thèmes et plugins peuvent être une cible attrayante.
L’autre côté de cette histoire est qu’il existe un grand nombre de développeurs dans la communauté WordPress et que WordPress étant un logiciel open source, les correctifs de sécurité sont déployés extrêmement rapidement dès la découverte de vulnérabilités. La dernière version de WordPress au moment de la rédaction comptait 481 contributeurs individuels pour cette seule version.
Le principal point à retenir est que si vous créez un site Web basé sur WordPress en utilisant un thème sur mesure et en gardant WordPress lui-même et tous les plugins à jour, vous êtes entre de bonnes mains. Cependant, il y a d’autres choses à surveiller et voici donc une liste des meilleurs conseils pour sécuriser un site Web WordPress :
1 – Utilisez un pare-feu d’application Web (WAF)
Tout comme vous pourriez avoir un logiciel antivirus sur votre ordinateur, c’est une bonne idée d’avoir une sorte de pare-feu sur votre serveur. La plupart des hôtes gérés, tels que WP Engine ou Kinsta, proposent une sorte d’offre WAF. Si vous gérez vos propres serveurs, vous pouvez utiliser quelque chose comme Cloudflare ou Sucuri pour gérer votre pare-feu avant que les demandes n’atteignent votre serveur (ils ont tous deux une offre spécifique à WordPress) ou si vous modifiez vos paramètres DNS pour qu’ils s’exécutent via l’un des ces services sont un problème, une alternative côté serveur telle que WordFence peut toujours être efficace.
2 – Modification des chemins par défaut
Bien que le concept général de sécurité par l’obscurité ne rende pas votre logiciel plus sûr, il peut aider à vous protéger contre les attaques automatisées. Bien que nous considérions le piratage de sites Web comme une personne sur un ordinateur sélectionnant un site Web particulier et se mettant ensuite au travail pour le compromettre, la vérité est que la grande majorité des attaques sont automatisées. Des outils et des robots analysent Internet à la recherche de sites Web exécutant des logiciels présentant des vulnérabilités connues, puis une fois ces sites identifiés, des outils automatisés peuvent être exécutés pour les compromettre.
De simples modifications telles que la modification de l’URL de connexion par défaut, l’installation de WordPress dans un sous-répertoire de sorte que les chemins d’accès au backend soient un niveau plus profond qu’une installation standard ou le déplacement du fichier de configuration principal de WordPress peuvent souvent signifier que les outils automatisés n’identifient tout simplement pas le site comme en cours WordPress ou ne parviennent pas à exécuter les outils d’analyse car ils attendent des chemins différents.
3 – Exécuter des versions à jour de PHP
PHP avait historiquement un calendrier de publication lent. Les choses ont changé au cours des dernières années et maintenant, les versions PHP arrivent en masse et rapidement, apportent vitesse, stabilité et, surtout, des améliorations de sécurité en cours de route. C’est généralement une tâche assez simple de s’assurer que vous utilisez une version récente de PHP et cela vaut bien l’investissement en temps pour la tranquillité d’esprit.
4 – Implémentez l’authentification à deux facteurs (2FA)
2FA est le processus de confirmation d’une tentative de connexion en envoyant un code (généralement à une adresse e-mail ou un appareil mobile) ou en générant un code via une application d’authentification telle que Google Authenticator lorsqu’une tentative de connexion est effectuée. Il s’agit d’une couche de sécurité supplémentaire pour un nom d’utilisateur et un mot de passe et garantit que même si un nom d’utilisateur et un mot de passe sont volés ou compromis ailleurs, un attaquant aura également besoin d’accéder à votre adresse e-mail ou à votre appareil mobile.
Il existe un certain nombre de solutions 2FA disponibles pour WordPress en fonction d’exigences spécifiques.
5 – Limitez les tentatives de connexion
En limitant le nombre de fois qu’un utilisateur peut tenter de se connecter, vous pouvez considérablement ralentir les efforts d’un attaquant. Limiter le nombre de tentatives de connexion à environ 3 à 5 par heure est généralement un bon équilibre entre sécurité et prise en compte des erreurs humaines.
6 – Utilisez HTTPS et appliquez son utilisation partout
En ayant un certificat SSL valide installé sur le serveur de votre site, vous pouvez servir votre site en toute sécurité via une connexion HTTPS. Cela garantit que toutes les données envoyées entre le site Web et l’utilisateur sont cryptées, protégeant ainsi contre les attaques de l’homme du milieu qui peuvent conduire au vol de mot de passe ou de données de formulaire.
Un avantage supplémentaire d’une connexion HTTPS est que vous pouvez également servir le site Web et ses actifs via une connexion HTTP/2, fournissant des actifs plus rapidement et plus efficacement au navigateur de l’utilisateur et, à son tour, améliorant la vitesse du site Web.
HTTPS est également un facteur de classement confirmé dans l’algorithme de score de page de Google.
Il est important de s’assurer qu’une connexion HTTPS est forcée sur le site Web une fois que vous avez un certificat SSL en place. Ceci est généralement configuré via votre serveur Web (NGINX ou Apache généralement).
7 – Désactivez l’éditeur de fichiers intégré disponible pour les administrateurs connectés
WordPress est livré avec un éditeur intégré qui permet aux administrateurs de modifier les fichiers de thème. En autorisant l’utilisation de cet éditeur, si quelqu’un accède à un compte administrateur, il peut ajouter son propre code au site dans le tableau de bord de l’administrateur WordPress sans jamais avoir à accéder au serveur lui-même. Cela devrait toujours être désactivé.
De plus, la plupart des sites Web devraient utiliser une sorte de contrôle de version, tel que Git. Autoriser l’édition de fichiers directement sur le serveur Web serait en conflit avec le site à version contrôlée, ce qui entraînerait des problèmes lors du déploiement de nouvelles versions du site.
8 – Gardez WordPress et tous les plugins à jour
On ne peut pas sous-estimer à quel point il est important de maintenir à jour tout logiciel exécuté sur votre site Web. Une fois qu’une vulnérabilité est dans la nature, il est important de s’assurer que vous êtes protégé. Heureusement, WordPress et les plugins les plus réputés sont bien entretenus et corrigés et tant que vous avez un bon calendrier de mise à jour en place, par exemple toutes les deux semaines, vous pouvez considérablement réduire le risque d’être compromis.
Un mot sur la sécurité et son impact sur le référencement
Un effet d’entraînement d’un site compromis peut être un grand succès dans les classements des moteurs de recherche. Cela peut arriver pour plusieurs raisons :
- Un serveur compromis est utilisé pour envoyer des courriers indésirables, ce qui entraîne la mise sur liste noire de l’adresse IP du serveur Web
- Les logiciels cachés, tels que les mineurs de crypto-monnaie, s’exécutent en arrière-plan, ralentissant le site Web
- Des scripts supplémentaires sont inclus lors du chargement du site Web, affectant le score Core Web Vitals du site Web
- Le site Web est dégradé ou autrement supprimé, ce qui conduit Google à indexer un contenu incorrect ou à arrêter l’indexation du site du tout
- La détection des logiciels malveillants de Google est déclenchée, ce qui à son tour marque le site comme infecté, empêchant les utilisateurs d’accéder au site. Cela peut être un processus difficile et long à rectifier
Conclusion
En prenant une poignée de mesures, WordPress peut être un système de gestion de contenu très sécurisé et fiable. Nous avons beaucoup de sites WordPress à notre actif et nous nous sentons extrêmement confiants dans notre plate-forme et WordPress en général.
Si vous gérez un site Web et pensez que la sécurité pourrait être un problème, nous vous suggérons de travailler avec une agence qui peut faire ce travail en votre nom. En tant qu’experts en développement WordPress, nous sommes bien placés pour faire des recommandations sur l’environnement le plus adapté à votre projet.
