2016
21/Juin

Sécuriser son thème wordpress, simplement et rapidement !

Sécuriser son thème wordpress

Les premiers secours

Si la plupart des guides pour sécuriser son site wordpress sont complexes et demandent des connaissances en développement, ici nous nous efforcerons de rester le plus clair possible.

 

La sécurité des sites sous WordPress a  toujours été un sujet important. Vingt-cinq pour cent des sites tournent actuellement sous WordPress, ce qui démultiplie les tentatives d’attaques mais également les moyens de les contrer. Beaucoup d’articles traitent de ce sujet, mais la plupart sont destinés aux développeurs. Voyons ici comment sécuriser vite et bien votre site WordPress.

10

Les mots de passe

Le mot de passe de votre compte administrateur doit être différent de tous les autres. Choisissez un mot de passe unique à votre site. Ainsi, si un de vos comptes est compromis (mail, FTP, personnel) l’intrus ne pourra pas entrer sur votre site. Il existe de très nombreux générateurs de mots de passes, ainsi que des gestionnaires de mots de passe qui vous faciliteront la vie (Dashlane, Norton Identity, etc..).

Plus votre mot de passe sera complexe et long, plus il sera difficile pour un robot ou un humain de le découvrir (s’il comporte 6 caractères sans majuscule, il ne résistera que quelques minutes contre des machines puissantes, alors qu’avec 8 caractères dont des majuscules et des chiffres, il faudra plus de deux ans aux ordinateurs les plus puissants pour le trouver).

Les mises à jour

Avoir votre site WordPress à jour est primordial. C’est avec ces mises à jour que les failles de sécurités sont corrigées. Outre WordPress, tous vos plugins doivent aussi être à jour, car ils permettent aussi à une personne malveillante de s’introduire dans votre site.

Sécuriser son thème wordpress, simplement et rapidement !

10

Le brute force

Le brute force consiste à tester toutes les combinaisons possibles de mots de passe.  Elle est l’apanage d’ordinateurs très puissants qui testent des milliers de combinaisons à la seconde. Pour empêcher cela, rien de plus simple :  il suffit d’instaurer un délai entre chaque tentative de connexion infructueuse. Certains plugins sont très performants contre ce genre d’attaque, iThemes Security le plus connu et sûrement le plus complet, un peu lourd mais très pratique; WP limit login attempts est, au contraire, très léger. Il possède moins de fonctionnalités mais est néanmoins efficace contre ce type d’attaque.

Les formulaires

Les formulaires son une vraie porte ouverte pour les personnes mal intentionnées. Ils permettent aux robots de vous spammer en remplissant votre boîte mail d’annonces, mais aussi aux hackers en herbe de pénétrer sur votre site via des champs de texte mal sécurisés. Pour sécuriser vos formulaires, deux mesures sont importantes : installer un captcha sur chacun de vos formulaires (Recaptcha de Google est le plus novateur et facile d’utilisation pour vos visiteurs) et surtout utiliser des plugins éprouvés pour créér et gérer vos formulaires (Contact Form 7 – gratuit, Gravity From)

10

10

Le scan des vulnérabilités

Il se peut que vous ne souhaitiez ou ne puissiez pas appliquer certaines mesures ou mises à jour. Dans ce cas vous pouvez tout de même scanner votre site pour détecter des failles. Les plugings de sécurité évoqués plus haut font cela très bien. Vous pouvez également utiliser le plugin de la société spécialisé en sécurité, Sucuri qui va vous permettre de scanner votre site, de surveiller l’activités des utilisateurs, etc.

Les sauvegardes

Si, malgré toutes ces précautions, quelqu’un parvenait quand même à pénétrer votre site, il pourrait installer des programmes malveillants, ou pire encore, supprimer purement et simplement votre site. Une sauvegarde peut alors vous sauver la vie ! Des outils réalisent cette action de manière automatique et transparente. Itheme Security (évoqué précédemment) gère les sauvegardes, certes pas de la manière la plus simple mais il fait ce qu’on attend de lui. Si vous souhaite dédier un plugin à cette tâche, le très bon BackWPup vous satisfera ou encore VaultPress (payant mais qui s’occupe de tout).

10

10

Les utilisateurs

Une des plus grande failles de votre site réside dans les comptes des utilisateurs qui on accès à votre site. Chaque personne qui à accès à votre back-office est un danger potentiel, si cette personne possède un virus, ou bien a défini un mot de passe trop simple, c’est une porte ouverte aux intrusions. Il est donc bon de limiter les droits de certains utilisateurs. Ainsi une personne qui n’a vocation qu’à écrire des articles sur votre site ne devra avoir accès qu’à cela dans le backoffice. Les rôles déjà présents dans wordpress (auteur, éditeur, etc) son suffisants mais si vous souhaitez aller plus loin vous pouvez utilisez User Role Editeur.

Vous pouvez également empêcher les utilisateurs de définir eux-mêmes leurs mots de passe afin de garder ceux générés par wordpress (qui sont longs et complexes).

Si vous souhaitez tout de même surveiller l’ensemble de l’activité de vos utilisateurs (et de leurs actions) je ne peux que vous recommander le très bon Activity Log

Pour aller plus loin

Il y a beaucoup de sujets que nous avons volontairement oubliés, comme la sécurité et la sauvegarde de votre base de données, le htaccess, les droits sur vos fichiers/dossiers, comment cacher votre version de WordPress, changer le préfixe de vos tables, etc.

Si vous souhaitez approfondir le sujet, vous pouvez vous rendre sur WP Secure qui vous fera entrer dans les tréfonds de WordPress, notamment grâce à Advanced guide.

Si cet article vous a plu, nous vous invitons à découvrir notre agence wordpress et à télécharger notre livre blanc « Les 11 commandements d’un site internet qui convertit vos visiteurs en clients »

10

1

Nos propositions de site
sous WordPress

 

Mathieu Benhalima

Posté par

Titulaire d’un Master de chef de projet multimédia, adepte de l’expérimentation, j’ai occupé diverse

Mathieu Benhalima

Contact WordPress :

Gabriel Dabi-Schwebel

gds@1min30.com
06 73 55 17 36





Commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Dépassez les objectifs de votre investissement HubSpot !
Rejoignez notre communauté et donnez-vous les moyens de réussir