La sécurité WordPress est souvent mise de coté. Mais vous devriez vous en soucier rapidement pour éviter des déconvenues. Voici les méthodes essentielles pour bien sécuriser son site WordPress.
Il est aujourd’hui de plus en plus difficile de sécuriser de manière optimale son site Internet contre la menace des hackers et autres pirates.
S’il n’est pas évident de disposer de toutes les cartes pour contrer tous les attaques éventuelles, il est possible, en quelques clics, de grandement limiter les risques.
Afin de sécuriser son site WordPress, son contenu et son intégrité, il est conseillé de prendre ces quelques premières précautions.
Voici le b-a-ba de la sécurité WordPress.
Sécurisez vos comptes WordPress
La protection de vos comptes WordPress est un volet essentiel de la sécurité de votre blog.
Le risque ici est qu’un malotru vous mette à la porte de votre blog et le squatte avec son contenu, ou s’en serve comme rampe de lancement pour agresser vos voisins et collègues numériques. Vous n’aimeriez pas ça dans la vraie vie, vous ne l’aimeriez pas plus avec votre blog.
Il est bien sur évident que plus le compte a un rôle important et donc de permissions étendues, plus sa protection est importante. Les comptes les plus sensibles sont bien entendu les comptes administrateur.
Donc, comment protéger vos comptes WordPress ?
Protéger un compte WordPress se fait en protégeant 2 éléments :
- l’identifiant de connexion
- le mot de passe.
Ces 2 éléments sont nécessaires pour se connecter à un blog WordPress grâce à un compte.
L’identifiant de votre compte WordPress
En plus de son rôle, de ses permissions et de son mot de passe, un compte WordPress est aussi défini par son identifiant. Ou plutôt par son identifiant, son nom et son slug.
Bon, je vais donc tâcher d’être plus précis …
- L’ identifiant du compte. À la création d’un compte, vous devez indiquer un identifiant, obligatoire et non modifiable. Cet identifiant permet de se connecter au blog.
- Le nom du compte. Vous pouvez aussi indiquer un prénom et/ou un nom. Ils sont facultatifs et modifiables. À défaut, WordPress reprend l’identifiant. Ces 2 éléments permettent de moduler le nom à afficher publiquement. Sinon, identifiant et nom sont identiques.
- Le slug du compte. J’aime beaucoup ce mot :-) Par défaut, WordPress crée une page affichant tous les articles d’un compte. Cette page est accessible par l’adresse http://mon-blog.fr/author/compte. Le slug, c’est author/compte. Par défaut, WordPress reprend l’identifiant du compte. Et WordPress ne permet pas de modifier ce slug.
De plus, par défaut, WordPress crée automatiquement un compte administrateur, qui peut donc tout faire sur le blog, ayant comme identifiant admin.
Les problèmes de sécurité ne manquent pas :
- si vous ne faites rien, je connais déjà l’identifiant de votre compte administrateur
- si vous créez un compte administrateur autre que le compte par défaut, c’est mieux, mais je peux toujours retrouver son identifiant grâce à son slug.
Dans les 2 cas, je n’ai plus qu’à trouver votre mot de passe …
Donc voici comment protéger tout ça.
Changez le compte administrateur par défaut
Certains outils d’installation de WordPress et certains hébergeurs vous permettent de modifier l’identifiant par défaut de votre compte administrateur. Profitez-en pour mettre autre chose que admin. Et évitez aussi de mettre votre prénom, le nom publique du compte ou quelque chose d’évident. Évitez aussi tout ce qui indique la fonction du compte, comme root pour les unixiens et autres linuxiens, administrateur, administrator, …
Lorsque vous n’avez pas le choix, le compte administrateur par défaut s’appellera admin. Votre première tâche, après l’installation de WordPress, est donc de créer un nouveau compte administrateur puis de supprimer l’ancien.
Avec l’article précédent, vous avez tout le nécessaire pour faire cela. Voici comment procéder :
- créez un nouveau compte ayant pour rôle administrateur ;
- déconnectez-vous de l’ancien compte ;
- connectez-vous avec le nouveau compte ;
- supprimez l’ancien compte administrateur.
Et voilà !
Vous n’avez plus qu’à vous occuper de son slug …
Changez le slug de tous vos comptes
Le problème du slug, c’est que WordPress ne permet pas de le modifier directement. L’avantage du slug, c’est que c’est une donnée stockée dans la base de données de WordPress. C’est donc une donnée modifiable et adaptable.
La première option pour le modifier, c’est d’aller jouer dans la base MySQL de WordPress. Ça se fait très bien avec les outils qui vont bien. Mais ce n’est pas le plus simple et vous n’êtes pas à l’abri d’une erreur tragique.
La seconde option, c’est d’utiliser un plugin. Et il en existe un très simple d’utilisation qui fait juste ce qu’on lui demande : permettre de modifier le slug de chaque compte WordPress. Son nom : Edit Author Slug.
Vous pouvez l’installer et le laisser. Mais je vous conseille plutôt de l’installer, de modifier les slugs de vos comptes puis de le supprimer. En effet, ces modifications restent une fois le plugin désinstallé et supprimé. Et vous n’allez pas modifier des slugs de compte tous les 4 matins ! Pourquoi donc s’encombrer ?…
Voici comment procéder :
- recherchez, installez puis activez ce plugin
- allez dans l’écran de modification du premier compte
- modifiez le slug : le champ de saisie est tout en bas de l’écran
- sauvegardez ce compte
- recommencez pour chacun de vos comptes
- désinstallez le plugin
Et voilà !
Vous connaissez maintenant la deuxième tâche de sécurisation de vos comptes WordPress : changer leur slug.
Le seul intérêt de garder ce plugin, c’est si vous créez régulièrement de nouveaux comptes. Dans ce cas, vous pouvez profiter de son paramétrage global. Sinon, ne réfléchissez pas trop et supprimez-le.
Vous n’êtes pas sûr de bien maîtriser les plugins Wordpress ? Tout est expliqué dans ce tutoriel sur les plugins WordPress.
Vous n’êtes pas sûr de bien maîtriser les comptes Wordpress ? Tout est expliqué dans ce tutoriel sur les comptes WordPress.
Le mot de passe de vos comptes WordPress
Pour le mot de passe, il n’y a pas 36 solutions. Il faut que votre mot de passe soit :
- long : rien en dessous de 10 caractères, idéalement 16 caractères voire plus
- complexe : minuscule, majuscule, chiffre, ponctuation
Je ne parle même pas des mots de passe à base de prénoms ou de dates de naissance, et autres « 123… » ou « abc… »
Bien sur, la question de la mémorisation se pose alors … Vous avez plusieurs solutions.
Ma solution ? Je ne connais pas mes mots de passe ! Même sous la torture, je ne pourrais pas vous les donner : un point de sécurité en plus :-)
En fait, j’utilise un outil : Keepass. Il enregistre tous mes mots de passe pour moi. Un mot de passe principal, long, complexe et mnémotechnique, me permet d’ouvrir le fichier principal. Puis une succession de rechercher/copier/coller me permet de retrouver le mot de passe dont j’ai besoin quand j’en ai besoin. Bien sur, j’en profite pour y stocker tous mes mots de passe : blogs, réseaux sociaux, services, affiliation, … Outre cet aspect stockage, Keepass me permet aussi de générer à la volée des mots de passe complexes et uniques.
Je vous conseille bien sur d’utiliser Keepass. Mais les 2 solutions proposées dans les 2 premiers articles sont aussi très bien.
Nous terminons donc par la troisième tâche de sécurisation de vos comptes WordPress : avoir un mot de passe long et complexe.
Un autre plugin pour sécuriser vos comptes
Il y a bien sur d’autres plugins que celui que je vous ai présenté. En l’occurrence, il y a User Name Security , développé et présenté par Daniel Roch de SeoMix. Ce plugin prend en charge pour vous la plupart des éléments évoqués dans cet article. A considérer si vous voulez vous simplifier la vie.
En résumé
- créer un nouveau compte administrateur ;
- supprimer le compte par défaut admin ;
- modifier le slug de vos comptes pour qu’ils correspondent au nom publique et pas à l’identifiant ;
- utiliser des mots de passe longs et complexes.
Comment sécuriser votre site WordPress efficacement
Il existe plusieurs méthodes qui permettent de sécuriser davantage votre site web contre l’attaque d’éventuels hackers.
Voici les méthodes de base.
Utilisez des mots de passe forts
Je sais : j’en ai parlé juste au-dessus. Mais les mots de passe de votre site sont essentiels : sa sécurité commence par là.
Un mot de passe est utilisé et demandé pour sécuriser l’accès à votre blog. De toute évidence, il vous faut utiliser un mot de passe suffisamment fort. Sinon, en utilisant des techniques dites de “force brute”, votre mot de passe pourra être trouvé puis votre blog piraté.
Un mot de passe fort, c’est un mot de passe :
Idéalement, changer ce mot de passe régulièrement est une bonne idée. Ne serait-ce qu’en changeant une ponctuation, une minuscule par une majuscule, … Faire cela tous les 3 mois n’est pas mal.
De plus, un tel mot de passe doit être utilisé pour vos comptes utilisateurs WordPress, mais aussi pour votre compte FTP et votre base de données.
Effectuez les mises à jour en temps et en heure
Il est indispensable d’effectuer les mises à jour que propose WordPress, ainsi que les plugins et thèmes que vous pouvez utiliser. Et cela relativement rapidement.
Il n’est forcément judicieux de sauter immédiatement sur toute nouvelle mise à jour, à moins qu’elle ne corrige expressément une faille de sécurité. Attendre un peu permet d’éviter d’essuyer les plâtres et d’importer une faille de sécurité ou une incompatibilité. Avec une nouvelle version, cela arrive parfois …
D’un autre, il n’est pas malin d’attendre trop longtemps ou de ne jamais mettre son site à jour. Les pirates n’attendront pas éternellement pour s’introduire au sein de votre blog et se feront un plaisir de le hacker en un clin d’œil. En ce sens, la nouvelle fonctionnalité de mise à jour automatique livrée avec le nouveau WordPress vous simplifie la vie.
Afin d’éviter toute attaque, restez vigilant quant aux nouvelles mises à jour disponibles pour votre blog.
Consultez cet article pour mettre à jour WordPress. Et consultez cet autre article pour mettre à jour un plugin WordPress (ou tous les plugins).
Sauvegardez fréquemment votre site
Votre blog n’étant pas à l’abri d’un problème technique, d’un bug oud’une attaque, il est impératif de réaliser des sauvegardes, ou backups, régulières de votre site. Ainsi, en cas de souci, vous pourrez au moins le restaurer avec les dernières données.
Votre hébergeur peut vous proposer cette opération. En particulier, o2switch, l’hébergeur que j’utilise et vous recommande, propose cela gratuitement et automatiquement.
Cela étant, la mise en œuvre de votre propre solution n’est pas à exclure pour autant. Idéalement avec un plugin de sauvegarde. Mais en mode manuel, ça le fait aussi.
Attribuez les droits nécessaires à vos répertoires et fichiers
Un site WordPress fonctionne avec des fichiers et répertoires bien précis. Ces fichiers et répertoires doivent être protégés par des droits.
En utilisant votre accès par FTP, vous pouvez attribuer ces droits à fichiers et répertoires.
Les droits “404” pour les fichiers et “505” pour les répertoires favoriseront au maximum leur sécurité. Les droits 777 sont, par contre, bien trop permissifs : tout le monde pourra tout y faire. Cela fait assez modèle de voiture chez Peugeot, mais cela n’a rien à voir. Je vous donnerai plus de détails dans un prochain article …
Cela étant, les droits 404 et 505 sont bien trop restrictifs pour WordPress qui ne peut alors plus fonctionner normalement. Les droits attribués par WordPress suite à son installation ne devraient pas être modifiés : ils allient fonctionnement normal et sécurité.Si vous modifiez ces droits, faites le. Mais ponctuellement uniquement. Et revenez rapidement à la situation précédente.
Configurez un filtrage par htaccess
Autre conseil : configurer les règles de filtrage par htaccess favorise également la protection des données d’un site Internet. La création d’un fichier .htaccess permet entre autres de stopper nombre de hackers (notamment ceux qui s’introduisent grâce à des logiciels) avant même qu’ils puissent atteindre votre site.
Le sujet du fichier htaccess est bien trop large pour être traité ici : entre la sécurité et la rapidité de votre site, il y a de quoi écrire. A suivre dans un prochain article …
Conclusion
Voilà, vous connaissez maintenant les fondamentaux de la sécurité WordPress. Et vous maitrisez les méthodes essentielles pour sécuriser son site WordPress.
Il y a d’autres méthodes possibles. Mais celles proposées ici restent relativement simples de mise en oeuvre et autorisent un niveau de sécurité suffisant.
Si vous avez d’autres techniques à proposer, n’hésitez pas.
hello,
j’attends impatiemment le truc ht access mais il faut que ce soit simple ;-)
Il y a qq mois un de mes sites a été piraté et je confirme, il y a vraiment des enfoirés sur cette planète…
@DavidB: Hello !
Le monde numérique n’est que le reflet de notre (triste?) monde réel …
Je penserais spécialement à toi pour le fichier htaccess. Genre copier-coller avec seulement le domaine du site à changer. Ça devrait aller, non ?
Franchement je n’y avais pas pensé avant de lire cet article mais c’est vrai que si déjà les boîtes mail et les réseaux sociaux sont visés, les blogs doivent l’être probablement de la m^me façon. J’attends aussi avec impatience la sortie de la méthode de protection adaptée afin de l’installer sur mon blog.
@Stéphane: En fait, les sites internet sont visés, tout simplement. Il n’y a aucune raison que les blogs y échappent :-(