Article invité rédigé par Aurélie, développeuse chez Atchik Services, depuis plus de 8 ans !
Hello à tous !! Comment allez vous ?
Aujourd’hui je vous propose un article invité qui vous donnera quelques conseils pour sécuriser votre blog / site WordPress. Pourquoi ce sujet ? Eh bien, il y a 3 ou 4 semaines j’ai reçu un mail de mon hébergeur qui me disais que j’étais en train de subir une attaque sur le blog. J’ai paniqué, paniqué grave mais autre que la recherche de quelques articles sur Google, je n’ai rien fait 🙂 Bref, pas très sérieux de ma part. Après une forte prise de conscience, je me suis dit qu’il faut que je m’informe sur le sujet, et je commence aujourd’hui avec cet article invité !!
Merci à Aurélie pour son temps et le partage de connaissances ! Bonne lecture !
Comment sécuriser son WordPress ?
Avant tout je tiens à remercier Miss SEO Girl de m’avoir invité à rédiger un petit article sur son Blog 🙂
Depuis quelques mois il ne se passe pas un jour sans lire ou entendre qu’une personne autour de moi s’est fait pirater son ou ses sites. Si l’on regarde de plus près les sites en question, il s’agit dans une majeur partie de sites ou blogs sous WordPress. 88% des blogs français seraient sur WordPress dont cela semble logique que le CMS soit la cible privilégié des pirates ces derniers temps.
En mars dernier nous étions a plus de 40 000 attaques par minute. Ces temps ci je vous l’accorde les chiffres sont plus bas (autour de 18 000 attaques par minute) mais la menace persiste :
Si vous voulez être notifié des alertes de sécurité concernant WordPress et être averti de la vulnérabilité des plugins et de l’état de correction de ceux ci, je vous invite à vous inscrire à la newsletter de Wordfence.(il faut scroller tout en bas du site).
Mais pourquoi ces sites en particulier se font-ils hackér ?
On peut répondre à cette question en se disant que l’un des principaux atout du CMS WordPress est qu’une personne non technophile peut créer un blog ou un site en quelques heures/jours grâce à WordPress, un thème gratuit ou payant et quelques extensions.
Le problème est que ces personnes sont justement non technophiles et donc la cible privilégiée.
Vous avez peur de vous faire pirater ?
Vous n’y “connaissez rien” mais désirez faire quelque chose ?
Pas de panique, il existe une application … euh, pardon, il existe des règles de base en manière de sécurité et des extensions pour ça ! 🙂
La première chose à faire est de vérifier si les extensions et la version de WordPress sont à jour. Si ce n’est pas le cas, en premier vous mettez à jour les extensions, puis WordPress, toujours dans cet ordre.
C’est fait ?
Maintenant, je vous conseille d’effectuer des sauvegardes de votre site (FTP) et de son contenu (base de données) une fois par semaine. Avoir un backup est important si l’on veut remettre sur pied son site ou blog rapidement.
Si vous n’avez pas d’extension qui le fait, IThemes Security le permet (voir plus bas).
Votre WordPress et ses extensions sont à jour, vous avez programmé une sauvegarde par semaine, vous pouvez maintenant passer à l’étape d’installation des plugins.
Flexion, extensions !
1. IThemes Security
Ce que j’aime avant tout dans ce plugin c’est qu’il permet rapidement de corriger les failles de sécurité qu’il peut y avoir sur un site. Ces failles/points de sécurité sont triés par priorité.
Je vous conseille de vous occuper en priorité des conseils qui sont dans “High priority”, ce sont les plus importants.
Dans ces points importants il y a notamment le fait qu’il ne doit y avoir aucun utilisateur “admin” dans votre WordPress et qu’il faut le protéger contre les attaques de type “brute force”.
Ensuite, vous pouvez aller dans l’onglet “Security” et vérifier que dans “Global Settings” :
- la case “Allow iThemes Security to write to wp-config.php and .htaccess.” est cochée (le plugin doit avoir les droits pour pouvoir modifier le fichier de configuration de WordPress et du serveur web)
- vous avez saisi votre adresse e-mail préférée dans “Notification Email” afin d’être notifié par l’extension
- vous avez saisi une adresse e-mail dans “Backup Delivery E-mail”
- vous avez saisi un seuil assez bas pour “Blacklist Threshold”, je mets 3 en général
- vous avez saisi une durée du “Lockout Period”, je mets 15 en général
- vous pouvez saisir à “Lockout White List” des adresses IP en liste blanche (whitelist) si vous ne voulez pas que le plugin vous bloque au bout de x tentatives de connexion
- la case “Enable Email Lockout Notifications” est cochée
Vous pouvez ensuite demander au plugin d’être notifié s’il trouve des erreurs 404. Pour rappel une erreur 404 survient lorsqu’un utilisateur tente d’accéder à une URL qui n’existe pas. Mais également il faut savoir que les pirates munis de robots appellent des URLs qui n’existent pas afin de trouver une faille et de s’y faufiler.
Dans “Brute Force protection”, je vous conseille de cocher la case “Enable brute force protection”. Il est important de sécuriser son site afin d’être protégé pour un maximum de types d’attaque, dont celle-ci qui est très répandue.
IThemes permet également de programmer des sauvegardes (backups) de votre base de données et de les sauver en local sur le FTP et/ou de vous les envoyer par e-mail.
Personnellement je demande au plugin de me notifier lorsqu’il constate que des fichiers ont été modifier, via l’encart “File Change Detection”.
Si un ou plusieurs fichiers ont été modifiés IThemes m’avertira alors par e-mail et si ce n’est pas moi qui ai modifié ce fichier, je saurai qu’un pirate a réussi à s’introduire et à modifier tel fichier.
A noter que si vous avez installé un plugin de Cache, je vous conseille d’exclure le répertoire dans “Files and Folders List” :
Dans “Strong Passwords, je vous conseille de cocher la case “Enable strong password enforcement.”. Il faut au minimum que les administrateurs du site aient des mots de passe sécurisés. Oui je sais c’est moins facile de les retenir mais cela peut décourager les pirates débutants et de sauver votre site ;-).
Dans WordPress Tweaks, il y a des astuces pour décourager les pirates et ne pas leur donner trop d’informations (comme la version de WordPress dans le code source :p) :
L’onglet “Logs” est intéressant car il vous permet de voir l’historique des attaques. Voici un exemple d’attaque qui se sont produits il y a quelques heures sur un de mes sites :
Au vue de cette capture (et lorsque l’on reçoit les e-mails de notification), je peux vous assurer que même un néophyte comprend que son site est la cible d’attaque et que grâce à une extension il est averti lorsque cela se produit et il peut constater que l’attaque n’a pas réussie.
Regardez bien la colonne “User” de cette capture, est ce que cela vous convainc de ne plus avoir d’utilisateur nommé “admin” sur votre site ? 🙂
2. Block Bad Queries
Je vous ai parlé des pirates qui essayaient d’entrer sur votre site en appelant des URLs qui n’existaient pas. Et bien les pirates qui connaissent le fonctionnement de WordPress (et des sites en PHP) peuvent entrer sur votre site en appelant es URLs malicieuses.
le plugin BBQ vous protège contre ce type d’attaque.
Pour aller plus loin …
Si vous souhaitez modifier du “code” et sécuriser davantage votre site, je vous invite à lire cet article d’Atchik-services à la section “J’ai accès au serveur FTP, je passe au niveau 2 de la sécurisation de mon site”.
D’autres articles sur la sécurité WordPress :
Et les droits dans tout ça ?
Plus haut dans cet article vous avez vu qu’il était possible à un pirate d’ajouter du code malicieux dans un plugin, grâce à une faille. Un moyen d’empêcher le code malicieux de faire très mal à votre site adoré, est de veiller à donner les bons droits aux répertoires de votre WordPress.
WordPress conseille la liste des droits suivants :
* Root Directory / –> 0755
* .htaccess /.htaccess –> 0644
* wp-admin/index.php /wp-admin/index.php –> 0644
Le répertoire racine/root de votre installation WordPress doit être défini de manière récursive en 0755.
Tous les fichiers/dossiers devraient avoir 0755 comme autorisations par défaut, exceptés les fichiers “.htaccess” et “/ wp-admin/index.php”.
Selon la configuration de votre serveur, vous pouvez mettre votre wp-content avec les droits 775. Cette autorisation permettra à votre groupe d’écrire dans ce dossier.
Pourquoi ajouter des autorisations de groupe ?
Parce que dans wordpress, vous pouvez avoir deux utilisateurs travaillant sur des fichiers, l’utilisateur www-data (qui exécute le site) et l’utilisateur ftp (qui télécharge des extensions et des mises à jour provenant de la plateforme web WordPress).
Vous pourrez modifier les permissions sur les fichiers avec votre logiciel FTP préféré.
On m’a dit qu’il y avait un problème avec MailPoet. C’est vrai ?
Depuis quelques jours de nombreuses personnes se sont fait pirater à cause d’une faille critique connue dans l’extension Mail Poet (anciennement wysija). Si vous avez ce plugin, je vous invite à tout mettre à jour et à regarder dans le répertoire wp-content/uploads/wysija/themes/mailp/. Si vous apercevez un fichier “.php” dedans, il faut le supprimer.
N’hésitez pas à regarder dans la section utilisateurs de votre interface d’administration de WordPress, si vous constatez qu’un ou plusieurs comptes administrateurs ont été créé a votre insu, supprimez les.
Si vous souhaitez aller plus loin sur l’histoire de MailPoet, je vous invite à lire cet article de sucuri qui parle de la faille de Mailpoet et qui explique comment les pirates se sont introduit dans des milliers de sites.
Attention, le plugin MailPoet n’est pas le seul fautif, il y a également ceux la (liste non exaustive) :
- blogstand-smart-banner 1.0
- BSK PDF Manager 1.3.2
- CopySafe PDF Protection 0.6
- Download Manager 2.6.8
- Gallery Objects 0.4
- ml-slider 2.5
- NextGEN Gallery 2.0.63
- Simple Share Buttons Adder 4.4
- Tidio Gallery 1.1
- wp-construction-mode.1.8
- WPTouch Authenticated
Si vous vous êtes fait piraté ou bien si vous avez des questions, n’hésitez pas à commenter cet article et j’essaierai d’y répondre ;-).
Aurélie Vache (alias Scraly)
CV : http://www.scraly.com
Scraly’s Blog : http://scraly.blogspot.com/
Passionnée par le référencement naturel et la rédaction web ! Blogueuse depuis 2012 ! Coauteur du livre “Techniques de référencement web” et “Stratégie de contenu e-commerce”.
Découvrez mes “Prestations SEO” et contactez-moi pour échanger sur votre projet SEO.
Merci, c’est un sujet qui m’intéresse de plus en plus. Merci pour le plugin qui semble être bien. Alexandra tu l’utilises maintenant pour ton blog ?
Merci pour tous ces détails, dernièrement notre site a été piraté et c’était à cause justement de sauvegardes et mises à jour I guess
C’est pas moi qui tient le site mais ce que la technicienne m’a dit.
Je vais lui rapporter cet article any way.
Bonsoir,
Merci pour cet article avant tout. Je ne connaissais absolument pas cette extension et je pense l’essayer dès demain.
En revanche, si j’ai bien compris elle cerne l’attaque au moment ou elle se déroule. Mais en cas d’une attaque déjà passé, avec intrusion et éventuelle modification, la détecte elle aussi ?
Car souvent les injection de code malveillant ne sont pas visible en se balladant sur le site.
Je te remercie par avance de ta réponse.
Bien amicalement, Yann.
Salut,
Merci pour ces commentaires, contente que l’article vous ait plu.
Effectivement si le site a déjà été piraté, le plugin IThemes Security ne va pas vous le dire, il a plus pour vocation de vous protéger votre site.
Il va de paire avec Block Bad Queries (BBQ) que je conseille également dans cet article. BBQ permet de bloquer les exploits de failles XSS, SQL injection, ou CSRF/XSRF.
SI vous pensez vous être fait pirater, je vous invite à lire l’article que j’ai écrit plus tôt dans l’année et qui parle du plugin “Wordfence” (http://www.atchik-services.com/blog/webmarketing/securiser-site-blog-wordpress). Vous pouvez installer Wordfence et effectuer un scan pour vous rassurer.
Dans tous les cas, je ne saurais vous recommander de bien mettre à jour les extensions et WordPress et de faire des sauvegardes au moins une fois par semaine.
Je rajouterai que si vous avez plusieurs sites sur un hébergement mutualisé et que l’un d’entre eux n’est pas mis à jour, il risque de laisser entrer les pirates qui pourront s’attaquer aux autres sites.
Effectivement comme le dit Yann, est-ce que cette extension détecte les intrusions qui ont déjà lieux ? J’ai déjà eu des clients qui se sont retrouvés avec des morceaux de codes qui sont restés invisibles très longtemps…
Ce sont d’excellentes choses à savoir, bien que les étapes soient si nombreuses. En tout cas, ce serait encore plus pratique s’il y avait un logiciel informatique facile d’utilisation et efficace pour protéger son site des hackers.
S’il y aurait un logiciel (plugin) permettant de faire ça, ce logiciel serait examiné et décortiqué par les pirates et en peu de temps les sites protégés par ce logiciel se feraient pirater ;-).
L’extension de sécurité est vraiment top, je vais l’installer de ce pas !
En revanche, pour le droit des répertoires, quel owners ?
Parce-que chez moi, les droits sont en user:www-data, du coup ces droits s’y applique quand même ? Je veux dire je peux tout même utiliser le chmod ?
A bientôt, et merci de votre réponse
Henry. L
Bonjour MIss Seo. Bravo pour ton blog que nous suivons régulièrement. Des articles clairs. Un vrai don pour la vulgarisation au sens noble du terme 🙂
Donc, un petit mot pour vous signaler notre annuaire http://dwizer.com
Et oui, les annuaires ne sont pas morts. Il reste le moyen le plus simple et le plus sûr d’avoir de bon backlinks… quand l’annuaire est bien construit, il s’entend. Et quand le référenceur fait l’effort de faire une vraie description longue et originale.
Venez nombreux sur Dwizer. Un annuaire sans cesse mise à jour et construit pour apporter aussi des visiteurs… Beaucoup de visiteurs. A bientôt.
C’est vrai que c’est important bien que les étapes soient si nombreuses. En tout cas, ce serait encore plus pratique s’il y avait un logiciel informatique facile.
Bonjour,
Cette extension semble intéressante, mais quid des failles de sécurité que pourrait potentiellement introduire l’utilisation d’un tel plugin?
Je viens enfin de trouver d’où vient l’attaque de tous mes wordpress, merci wysija. Et comme je suis la personne qui sauve le plus souvent ses données, je me retrouve avec une sauvegarde du 01/01/2014. Avec la BDD et les sauvegardes ovh j’ai pu remettre les sites sur pieds pour récupérer les données pour tout réinstaller car tout les fichiers php sont infectés par l’injection.
Je viens de découvrir ithemes security merci pour l’article vraiment intéressant je le partage directement sur mon twitter.
A bientôt
Fabien
Bonjour, ceci est un très bon article!!
Mais , je pense qu’il est aussi important d’avoir un bon hébergeur assez costaud au niveau sécurité…Je suis en ce moment confronté au choix de l’hébergeur.
Pouvez vous me conseiller un ou plusieurs hébergeur ?
Merci à vous.
francis
Effectivement choisir son hébergeur est une étape importante.
Personnellement, même si j’ai plusieurs sites hébergés chez OVH, côté sécurité je peux dire sur ce ne sont pas les meilleurs.
Lorsque toutes les attaques sur des sites sous WordPress ont eu lieu, les sites sous OVH se sont bien fait pirater alors que ceux d’amis qui étaient sous Web4all ou Gandi n’ont pas semblé subir ces attaques par exemple.
Donc je peux te conseiller de te renseigner en faisant plusieurs recherches, il doit bien y avoir des comparatifs d’hébergeur et leur sécurité :-).
Bonjour,
Merci pour cet article très complet.
J’ai un site wordpress qui vient de faire l’objet d’une attaque, ou en tout cas d’un problème très grave. La base de données a été supprimée ! C’est violent. Connaissez-vous le type d’attaque qui abouti à de tel résultat ? Et surtout, comment s’en prémunir ? Je ne voudrais pas que cela se reproduise. Je vais faire des sauvegarde à présent, mais je ne comprends pas comment cela peut arriver…
Pfiou merci, ça m’a sauvé pas mal de temps de recherche ton article ! 🙂