La sécurité d'un site WordPress

Comment sécuriser WordPress

Beltzung Steven

En 2019, 34% des sites dans le monde utilisent WordPress. À titre de comparaison, Wix est utilisé pour environ 1,1% des sites, ce qui fait de WordPress une cible particulièrement pertinente pour le pirate.

 

Au cours de cet article, nous allons tout d’abord voir comment le pirate opère de manière générale, et dans un second temps, comment sécuriser votre site WordPress.

 

On parle souvent de failles de sécurité liées aux extensions installées, voir à WordPress. Nous allons voir comment les identifier et les corriger, mais cet article va davantage aborder les problèmes liés directement à la configuration de WordPress.

 

Avant de rentrer dans le vif du sujet, vous devez être conscients qu’un pirate peut très bien être un humain qui cherche à cibler une victime bien précise, ou bien un « robot » qui va procéder de manière automatisée et à très grande échelle.

 

Cet article est à but éducatif, il va vous donner les clés en main pour sécuriser votre site.

 

 

l’accès au back-office

 

L’URL permettant d’accéder à la page de connexion du back-office de votre site WordPress est une dangereuse porte d’accès

 

En effet, cette l’URL  est la même pour tous les nouveaux sites WordPress, à savoir : https://votre-site-internet.fr/wp-admin. Dans le cas ou cette URL reste inchangée, votre site devient alors une cible « facile ».

 

connexion back-office wordpress

 

J’entends très souvent : « Ok on a accès à la page de connexion de mon site, et alors ? »

 

Ne vous laissez pas avoir par votre esprit critique. L‘identifiant administrateur et le mot de passe sont des choses beaucoup plus simples à trouver que vous ne l’imaginiez.

 

Ça vous intéresse ? Eh bien, vous êtes sur le bon article.

 

Trouver l’identifiant Administrateur WordPress

 

L’identifiant administrateur, aussi incroyable que cela puisse paraître, peut se trouver dans un certain nombre de fichiers de WordPress et d’extensions installées.

 

En bref, il faudrait essayer de trouver ces fichiers en essayant des URL’s tel que « https://votre-site-internet.fr/author-sitemap.xml » jusqu’à trouver un fichier contenant l’identifiant administrateur (voir l’illustration ci-dessous). Cependant, il existe des outils facilitant grandement cette tâche à profit de la sécurisation, mais aussi des pirates.

 

 

Pour vous simplifier cette tache, je vais vous faire part de mon petit secret : WPSCan. C’est l’outil par excellence d’un développeur WordPress. Il va vous permettre de lister la majorité des failles de sécurité que comporte votre site.

 

WPScan l’outil de sécurisation WordPress

 

WPScan est à la base un outil d’audit de site WordPress. Il fonctionne en ligne de commande Linux et MacOs. Je rédigerai un article détaillé dédié à cet outil.

 

wordpress-wpscan

 

Lorsqu’une faille de sécurité est identifiée sur WordPress ou une extension, elle est répertoriée dans un dictionnaire. WPScan utilise entre autres ce dictionnaire pour lister les failles contenues dans votre site.

 

Il va vous permettre de tester la fiabilité de votre site et ainsi, vous lister toutes les failles de sécurité détectées, par exemple :

 

  • énumérer les failles de sécurité WordPress
  • Énumérer les failles de sécurité des extensions installées
  • Trouver les fichiers sensibles dans les quels se trouve l’identifiant administrateur
  • Opérer une attaque brute-force

 

En plus de vous apporter ces informations croustillantes, il va vous donner une documentation vous expliquant comment la faille détectée fonctionne.

 

 

Trouver le mot de passe

 

Savez-vous que de base il n’y a pas de limite de tentative de connexion au back-office de WordPress ?

 

Ce qui implique que l’attaque brute-force est une attaque extrêmement rependue sur WordPress.

 

Elle consiste à essayer un très grand nombre de mots de passe à l’aide d’un dictionnaire de mots de passe.  À l’heure actuelle il est possible d’utiliser la puissance d’une carte graphique pour augmenter la rapidité d’exécution de l’attaque mais aussi de lier des algorithmes permettant d’optimiser cette attaque en introduisant des informations personnelles connues sur la victime comme sa date de naissance.

 

Autant vous dire qu’un mot de passe comportant moins de 12 caractères est un mot de passe facilement crackable.

 

 

En résumé pour sécuriser son site WordPress

 

Comme vu précédemment il y a 4 points de bases sur lesquels il faut porter une attention très minutieuse.

 

1. Modifier l’adresse de connexion du back-office

 

Si l’adresse URL permettant la connexion au back-office est introuvable, le pirate sera bloqué et ne pourra pas passer à la suite des opérations. C’est l’une des protections les plus puissante qui de plus est extrêmement simple à mettre en place. Trop nombreux sont les sites WordPress ayant l’adresse d’origine.

 

2. Mettre une limite de tentative de connexion

 

Dans le cas ou un pirate arrivait à trouver l’adresse URL de connexion au back-office, la limite de tentative de connexion va permettre de réduire à néant l’attaque brute force.

 

connexion back-office wordpress

 

3. Mise à jour régulière de WordPress / extensions

 

Lorsqu’une mise à jour WordPress est disponible, faites-là. Sachez que très souvent les mises à jour sont là pour corriger des failles de sécurité. Un site WordPress mis à jour est un site internet protégé de la plus grande majorité des attaques.

 

4. Cacher les fichiers sensibles

 

Comme vous l’avez vu précédemment, il y  a un certain nombre de fichiers très sensibles qui peuvent compromettre la sécurité de votre site. Il est absolument nécessaire de restreindre leur accès.

 

Sécurisation de WordPress

 

Pour sécuriser ces 4 points fondamentaux, deux solutions s’offrent à vous. La première est de mettre la main dans le cambouis. Via le fichier function.php, vous allez pouvoir faire le nécessaire. L’inconvénient c’est qu’il faut s’y connaitre un minimum en php, et prendre le temps de lire la documentation de WordPress. Cela fera l’objet d’un autre article pour les mordus de WordPress où je détaillerai comment sécuriser votre site grâce au PHP.

 

Pour les autres, je vous suggère d’installer une extension de sécurité digne de ce nom. Il y en a une multitude faisant plus ou moins bien le travail comme Ithèmes sécurity. Prenez le temps de lire la documentation et d’effectuer correctement sa configuration, et vous serez armés pour contrer la majorité des attaques.