Sécuriser WordPress

Comment savoir si votre WordPress est sécurisé

Blog Sécuriser WordPress Comment savoir si votre WordPress est sécurisé
0 comments

On parle de sécurité web tous les jours, il suffit de s’abonner à n’importe quel fil sur le sujet pour s’apercevoir que tous les jours des sites se font pirater.

Mais alors, avant d’en arriver là, comment peut-on s’assurer que notre site soit sécurisé ?

La vrai réponse est “on ne peut pas”, oui désolé, on ne pourra jamais savoir si un site est suffisamment sécurisé ou non. Vous n’aurez jamais un message sur votre site vous indiquant “Vous serez victime d’un piratage dans 3 jours”, non.

Rappelez-vous qu’ajouter de la sécurité à un site ne fait que reculer le moment où vous vous ferez pirater, le but d’un plugin de sécurité est de reculer au maximum ce moment, de réduire au maximum les risques que cela arrive sans pouvoir vous assurer à 100% que cela ne puisse arriver.

Il existe donc tout de même des choses à vérifier pour s’assurer que son site est sécurisé, en voici quelques uns.

Les mots de passe

Aussi surprenant que cela puisse paraître, ici pas besoin d’un script ou de code, c’est vous le responsable. Vous devez avoir un mot de passe fort, préférez le long plutôt que compliqué.

Si vous n’êtes pas seul sur votre site, vous devez forcez vos utilisateurs à faire de même en leur forçant un mot de passe fort.

Aussi, utiliser un mot de passe fort pour votre compte administrateur n’est pas suffisant, mettez à jour ces mots de passe aussi :

  • Mot de passe FTP
  • Mot de passe SQL
  • Mot de passe de votre boite mail.

Et s’il vous plait, évitez de les coller sur un post-it ou dans un fichier txt.

Cela peut être renforcé en ajoutant un système de double authentification, ce qui signifie que même si une personne a trouvé, lu, ou vu votre mot de passe 42 caractères, il lui faudra aussi accès à un appareil tiers (la plupart du temps un mobile) afin de se connecter.

Un autre effet de tout ça est aussi celui de la réduction des tentatives de brute force, et donc on s’éloigne encore plus du moment où votre compte sera compromis.

Le brute force d’une page de connexion permet à un attaquant de tenter de trouver le login et mot de passe d’un compte, si possible administrateur. La double authentification me semble la meilleure des solutions.

Sauvegardes

Oui, c’est relatif à la sécurité, vous devez vous assurer que vos sauvegardes fonctionnent, c’est à dire puissent être décompressées et restaurées, ou n’ont pas grossi du jour au lendemain par magie.

Les sauvegardes sont votre assurance en cas de pépin, même si il n’est pas non plus certain qu’elles soient 100% propres, mieux vaut avoir ça, que rien du tout !

Ne lancez pas ça manuellement, vous le ferez le premier mois et puis vous oublierez, faute de temps, de priorité. Utilisez un système automatique qui vous préviens quand une sauvegarde a été faite ou en erreur !

Surveillance du site

Surveillez que son site est toujours accessible quotidiennement est un bon moyen de voir que tout va bien. Vous pouvez utiliser un plugin de surveillance de site mais n’oubliez pas aussi de visiter votre propre site de temps en temps, prenez vous au jeu d’être un simple visiteur, lisez votre blog, regardez votre pied de page, vos menus, vos encarts de pubs, vos liens externes, etc.

Si vous avez un formulaire de contact (vous en avez un rassurez moi ?), envoyez vous un mail de temps en temps avec, si vous ne recevez rien, commencez à vous poser des questions du genre “mon service de mail a-t-il été désactiver suite à un envoie massif d’emails non désirés ?”, “le port mail sur le serveur est-il encombré ?”, “ai-je bien fermé la porte de garage avant de partir ce matin ?” (question bonus).

Si vous êtes un site de e-commerce et qu’un vide inhabituel de ventes survient, validez-vous même un panier pour vous assurer que la procédure d’achat fonctionne encore.

Si vous êtes en HTTPS, vérifiez aussi que le cadenas est bien présent, l’inverse signifie que le certificat est compromis !

Surveillance des fichiers

Non ce n’est pas la même chose, nous venons de parler de la surveillance du site, en front-office, vérifier que cela fonctionne comme cela devrait.

Ici je parle des fichiers du site, ceux qui sont dans votre hébergement accessibles via sFTP par exemple. Votre site peut très bien fonctionner tout en contenant des fichiers malicieux.

Un fichier malicieux n’est PAS un fichier qui contient une vulnérabilité, ce n’est PAS un fichier d’un plugin qui contient une faille. C’est un fichier dangereux qui est volontairement présent pour faire du mal au site, il est une faille à lui seul, tout entier.

Parfois aussi, certains fichiers de votre installations sont modifiés afin qu’aucun nouveau fichier n’éveille vos soupçons, fichiers du core de WordPress, fichiers des plugins ou thèmes, vos propres fichiers maison aussi !

C’est pourquoi utiliser un service de surveillance des fichiers en interne vous servira à détecter les fichiers modifiés. Ils doivent être taggés “non connus” et “possiblement malware” pour être efficace. Obtenir une liste de 1000 fichiers inconnus sans autre info est inutile, personne ne peut vérifier 1000 fichiers, par jour, ou heure !

Alertes

Tout ce dont on vient de parler doit être connu par le webmaster afin de prendre les devant en cas de doute. Être alerté par email est une obligation, sans ces alertes, comment allez-vous savoir qu’un fichier malicieux a été trouvé sur le site ? Vous devez visitez chacun de vos sites pour vérifier ? Et bien, non merci, très peu pour moi.

Les alertes sont faites pour vous éviter ce genre de désagrément tout en facilitant le transit des infirmations.

Résumé

La surveillance prends du temps et permet de s’assurer que votre site fonctionne bien. Il est très difficile voir impossible de prévenir un piratage. Comme indiqué en début d’article, les protections mises en place vous aideront à gagner du temps contre ce mauvais jour qui arrivera.

Utilisez des outils et automatisez les tâches pour ne pas avoir à passer des heures tous les jours pour le faire. SecuPress Pro est capable de vous aider dans toutes ces tâches, afin de réduire le risque de piratage, de vous faire gagner du temps, de supprimer un possible stress.

0 comments