Sécurisation de WordPress, entre Mythes et Réalités
En raison de sa popularité incroyable en tant que plate-forme, WordPress bénéficie d’une communauté d’utilisateurs considérable et généreuse qui consacre son temps à partager des informations, des ressources, des conseils et des idées avec d’autres utilisateurs de WordPress en ligne.
Idées reçues sur la façon de protéger son site WordPress contre les intrusions de tiers.
De manière compréhensible, la sécurité en ligne est à l’avant-garde des préoccupations de nombreux propriétaires de sites, et beaucoup de conversation en ligne sur les forums de WordPress tourne autour des meilleures façons de protéger votre site contre les pirates informatiques et les violations de sécurité.
Malgré les meilleures intentions de la plupart des utilisateurs, il existe quelques mythes entourant la sécurité de WordPress qui persistent et se répandent comme des feux de forêt, même si les recommandations qu’ils font ne garantissent en rien la sécurité de votre site internet.
Dans cet article, pas de conseils sur la façon d’optimiser son fichier .htaccess ou de sécuriser le fichier wp-config, de protéger le répertoire wp-admin que sais-je encore, mais des idées reçues sur ce que l’on croit faire de bien pour sécuriser son site et les actions simples et de bon sens à mettre en oeuvre pour se prémunir de la majorité des attaques.
Reste la prévoyance et les sauvegarde« S ».
Idée reçue n° 1:
Déplacer ou masquer ‘wp-admin’ peut éviter les attaques en force.
Des attaques de force brutale surviennent lorsque des robots malveillants marquent vos pages de connexions, tentant de deviner votre nom d’utilisateur et votre mot de passe afin d’obtenir l’accès d’administrateur au back-end de votre site. De là, ils peuvent vous bloquer, compromettre vos données, casser ou même supprimer votre site Web.
Le plus souvent, ces robots utilisent des noms d’utilisateurs communs comme « admin » avec des dizaines de milliers de mots de passe, en espérant que l’un d’entre eux fonctionnera et leur permettra d’accéder à votre site.
Parce que ces robots visent les pages de connexion de votre site, l’étape suivante logique pour de nombreux utilisateurs est de rechercher un moyen de masquer le dossier de l’administrateur wp-admin ou leur page de connexion.
C’est pourquoi il est recommandé de modifier ou de protéger par un mot de passe la page wp-login.php.
Ensuite, et c’est peut-être le plus important, cette approche est une façon de mettre en œuvre ce qu’on appelle la sécurité par obscurité – une tentative d’accroître la sécurité de vos données en cachant le point d’accès ou en modifiant l’url de la page de connexion.
Même si quelque chose est caché dans votre site, la vérité est que tous les pirates informatiques ont les outils informatiques pour tenter d’entrer dans votre site et seront également susceptibles de trouver facilement où votre page de connexion est cachée et peu importe où vous l’avez mise.
Ce n’est tout simplement pas un moyen très efficace d’ajouter une couche de sécurité à votre site Web et peut-être cela engendra encore plus de problèmes in fine.
Idée reçue n° 2:
Modifier le préfixe des tables WP_ améliore la sécurité de mon site WordPress.
Il y a quelques années, nous avons commencé à voir une augmentation de popularité concernant l’idée que changer le préfixe de vos tables de la base de données WordPress aiderait à prévenir les attaques d’injection SQL sur votre site, dans lequel l’attaquant utilise une vulnérabilité d’un de vos plugins ou de votre thèmes WordPress pour accéder à votre base de données.
L’idée était que, si vous avez changé le préfixe de table de base de données du «wp_ par défaut» avec un autre préfixe comme « xwpa_ » ou autre chose, cela empêcherait d’emblée ces types d’attaques.
Il n’y a aucune raison de croire que changer les préfixes de table de base de données fera en sorte d’améliorer la sécurité de votre site, et cela risque de mettre en danger tout votre site si elle n’est pas exécutée parfaitement la première fois.
Il faut considérer cela comme une forme de « substitue de sécurité» – des actions qui vous font croire que vous faites beaucoup pour améliorer la sécurité de votre site et qui en fait ne servent pas à grand-chose.
La meilleure protection contre les attaques par injection SQL est une approche à trois volets de l’utilisation d’un puissant pare-feu d’application Web, la surveillance de votre site continuellement contre les logiciels malveillants, le maintien des plugins à jour et du Core de votre site Web.
Idée reçue n° 3:
Tout ce qui est nécessaire pour verrouiller un site c’est un nom d’utilisateur et un mot de passe sécurisé
Oui et Non.Certes, l’utilisation d’un mot de passe fort et d’un nom d’utilisateur unique sur votre site WordPress est une partie importante de la sécurisation de votre site. Après tout, l’une des tactiques de base des robots pirates est d’essayer quelques milliers de mots de passe avec le nom d’utilisateur par défaut de WordPress.
Tout simplement en ayant votre nom d’utilisateur d’administrateur autre chose que celui de « admin », vous obtenez déjà une avance sur les entités malveillantes qui peuvent tenter de pénétrer dans votre site, et si votre mot de passe se trouve une longue chaîne unique d’une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux, c’est encore mieux.
Mais la vérité est tout autre même si vous avez un nom d’utilisateur et un mot de passe sécurisé pour votre site Web.
Les pirates informatiques peuvent encore infiltrer et supprimer votre site Web en utilisant d’autres moyens, tels que les vulnérabilités de sécurité dans les plugins périmés, les violations de données ou le phishing.
Les sites qui ne sont pas protégés par l’authentification à double vérification, en envoyant par exemple un code à votre téléphone portable chaque fois que vous vous connectez en tant qu’administrateur, risquent surtout d’être exposés.
Les noms et les mots de passe sécurisés sont une ligne de défense précieuse contre les pirates, mais ils ne peuvent pas être la seule stratégie à utiliser pour sécuriser votre site.
La mise en œuvre de l’authentification à double vérification sur votre site Web ajoute une deuxième couche cruciale de sécurité à vos identifiants lors de connexion, ce qui rend beaucoup plus difficile l’accés à votre Back-End pour les Hackers.
Idée reçue n° 4:
Mon site n’est pas très important, il n’intéressera pas les hackers …
De nombreux propriétaires de sites Web croient à tort que leurs sites bénéficieront d’un degré relatif de sécurité des pirates, car ils pensent également que les pirates ne visent que des entreprises de haut niveau et que leurs entreprises ou sites Web sont trop petits ou sans importance pour être une cible.
Malheureusement, ce n’est pas vrai. Selon une étude de 2014 , 60% de toutes les attaques de sites Web en ligne étaient des petites et moyennes entreprises.
Une statistique encore plus désagréable: parce que ces petites entités en ligne n’ont tout simplement pas les ressources ou les filets de sécurité nécessaires pour rebondir immédiatement de ces attaques.
Une autre étude a révélé que 60% des petites entreprises qui subissent une cyberattaque ferment au cours de l’année…
Votre site web n’a donc pas besoin d’avoir un site important ou avoir des millions de visiteurs pour être une cible d’un pirate informatique.
Une fois que les pirates ont accédé aux capacités d’administration de votre site et à son back-end, ils peuvent causer toutes sortes de ravages , y compris la destruction totale de votre site, l’utilisation de votre serveur pour envoyer du spam à d’autres personnes, distribuer des logiciels malveillants à vos visiteurs, publier un lien Spam ou rediriger vos visiteurs sur un site Web malveillant.
La réalité est qu’ aucun site Web n’est jamais trop petit pour être piraté, et tous les propriétaires de sites Web devraient prendre toutes les précautions nécessaires pour protéger leurs données contre les pirates malveillants et les attaques cybernétiques.
Idée reçue n° 5:
Mon site est sécurisé, car il possède un certificat SSL.
Un certificat SSL (ou Secure Socket Layer) ajoute une couche de sécurité à la communication qui se déroule entre votre site Web et vos visiteurs.
L’obtention d’un certificat SSL sur votre site Web constitue une étape importante pour assurer que la communication entre votre site et vos visiteurs, en particulier les visiteurs qui soumettent des données personnelles sensibles telles qu’un numéro de carte de crédit ou leurs informations de contact sont cryptés et ne peuvent pas être visualisés en texte clair en cas de violation de données sur votre site web.
Les sites avec un certificat SSL ont des URL qui commencent par « https: // » au lieu de « http: // » pour indiquer qu’il est correctement chiffré. Beaucoup de clients savent rechercher ce symbole de cadenas vert dans leurs navigateurs qui indiquent qu’un site a une protection SSL.
En janvier 2017, Google a commencé à exiger de HTTPS des données sécurisées dans les navigateurs Chrome, marquant visiblement tout site qui n’en disposait pas l’information comme « Site non sécurisé ».
Malheureusement, la sécurité qu’un certificat SSL offre à votre site est purement transactionnelle: Elle protège les informations transmises entre votre site et vos visiteurs, mais – de manière cruciale – et non les données hébergées sur le site lui-même.
Sans un pare-feu d’application Web, des plugins et des logiciels à jour et d’autres mesures de sécurité, votre site Web restera complètement ouvert aux pirates, même s’il possède un certificat SSL – et qui pourrait encore mettre les données client stockées sur votre site à risque.
Idée reçue n° 6:
Mon site utilise un pare-feu CDN et est hébergé dans le Cloud.
Les réseaux de distribution de contenu (CDN) et les fournisseurs de pare-feu tels que GoDaddy / Sucuri et Cloudflare peuvent offrir la protection de votre site en réorientant le trafic vers leurs serveurs, en filtrant le trafic en fonction de leurs règles de pare-feu, puis en transmettant uniquement le trafic qui passe ces règles votre site web.
On s’attend à ce que cette route masque l’origine du serveur actuel de votre site Web parce que toute personne qui visite votre nom de domaine est automatiquement transmise aux serveurs du fournisseur de pare-feu cloud au lieu de la vôtre.
La réalité est qu’il est extrêmement facile pour pratiquement quiconque de contourner les pare-feu du cloud en découvrant l’adresse IP d’origine de votre site et en l’attaquant directement. Garder l’adresse IP d’origine de votre site en secret est extrêmement difficile, sinon tout à fait impossible.
Idée reçue n° 7:
On sait tous que WordPress lui-même est un CMS vulnérable.
WordPress est le logiciel de gestion de contenu (CMS) le plus populaire, actuellement utilisé sur plus d’un site sur quatre dans le monde et étant aussi utilisé près de 4 fois plus que Drupal et Joomla réunis.
En raison de sa popularité, WordPress a subi quelques frayeurs de sécurité de haut niveau au cours des dernières années.
Exploiter la vulnérabilité de WordPress signifie qu’une base beaucoup plus large de site internet est menacée ce qui fait fuir beaucoup de gens de WordPress avec la conviction que c’est une plate-forme intrinsèquement instable, mais ce n’est tout simplement pas vrai.
Bien qu’il soit possible que WordPress soit soumis à plus d’attaques que les CMS moins populaires, cela ne signifie pas que WordPress est intrinsèquement moins sécurisé.
Au contraire, parce qu’il gère des millions de sites Web, WordPress dispose d’une communauté internationale passionnément active d’utilisateurs et de développeurs qui travaillent collectivement 365 Jours/365 pour trouver et réparer toutes les vulnérabilités de sécurité possibles à la fois dans les fichiers logiciels de base (Core) et son énorme écosystème de plugins et de thèmes.
En raison de cette énorme communauté mondiale – qu’aucun autre CMS ne se rapproche – dès qu’une menace ou une vulnérabilité potentielle est identifiée, il existe une solution ou un correctif mis à disposition.
La grande majorité des failles de sécurité et les piratages – près de 80% – sont le résultat d’utilisation de logiciels et/ou de mots de passe périmés c’est-à-dire, soit qu’ils utilisent un nom d’utilisateur ou un mot de passe faible, soit en raison d’une vulnérabilité que les administrateurs du site n’ont pas réussi à réparer ou à faire réparer à temps.
En bref, les points d’entrée les plus faciles et les plus courants dans un site Web comme pour un pirate informatique seront toujours via le piratage d’accès du nom d’utilisateur / mot de passe ou un plugin obsolète, ce qui est tout aussi vrai pour n’importe quel CMS et pas seulement WordPress.
Vous devez donc conserver les logiciels de votre site Web et plugins aussi à jour que possible.
Conclusion
Le maintien et l’optimisation de la sécurité de votre site Web peuvent sembler une entreprise très intimidante et compliquée.
Les propriétaires de sites peuvent aussi avoir du mal à analyser un flux sans fin d’informations et de conseils qui peuvent parfois même entrer en conflit.
Déterminer ce qui fonctionnera réellement et ce qui est simplement un «bug de sécurité» peut être extrêmement difficile, mais avec un bon pare-feu, un nom d’utilisateur et un mot de passe sûr avec l’authentification à double validation et une version de logiciel de site le plus à jour, vous pouvez avoir une tranquillité d’esprit, car vous rendez difficile pour quiconque de passer à travers les défenses bien entretenues de votre site ou alors, souscrire auprès d’un prestataire un contrat de maintenance pour s’assurer encore plus de tranquillité et garder la performance de WordPress.