Comment sécuriser WordPress avec des mesures simples et des plugin ?
Sécuriser WordPress est un enjeu très important pour le propriétaire du site et votre agence WordPress doit pouvoir vous apporter ce service. La protection du site passe par la mise en place de nombreux paramétrages, une vigilance importante sur les mises à jour et l’installation de plugin de sécurité. Parmi eux, un nouveau plugin wordpress de sécurité est apparu, il est français il s’agit de secupress de WP-media.
L’importance de la sécurisation de votre site WordPress
Votre site WordPress peut être hacké par des personnes ou des organisations malveillantes pour différentes raisons :
- contrôler votre hébergement et l’utiliser pour envoyer des emails frauduleux ou comme spam proxy
- placer des scripts qui volent les données de vos visiteurs
- voler vos données stockées dans vos base
- rediriger une partie du trafic vers des sites frauduleux
- héberger du contenu frauduleux visible que dans certaines conditions
- voler du texte et des images pour le réutiliser ailleurs
- saturer votre serveur de requêtes pour qu’il ne soit plus accessible par vos clients ( attaque DDOS )
- défacer votre site pour afficher un message politique à la place de votre site ou le site d’un concurrent qu’ils veulent faire chuter en position
- installer des scripts malicieux sur les postes de vos visiteurs
- réaliser un certains nombres d’actions pour que votre site soit catalogué par google comme dangereux
Bien sûr ces exemples d’objectifs de hacker ne sont pas réservés à WordPress, et peuvent être aussi visés sur des sites classiques, ou Drupal, ou Joomla, ou Prestashop. Mais WordPress c’est 25% du web mondial, donc il fait des envieux.
Les hackers utilisent des outils automatiques qui scrutent le web mondial et repèrent les sites intéressants et présentant des failles de sécurité. Ces outils disponibles sur des forums dodgy ou dans le dark web sont lancés depuis le cloud ou des hébergements précédemment hackés comme le vôtre par exemple.
Vos lecteurs, clients, prospects, ne vont pas faire confiance dans un site qui présente des dysfonctionnements ou des signalements de défaut de sécurité. Des milliers de sites sont hackés chaque jour à cause d’erreurs plus ou moins simples à éviter. Dans cet article nous allons passer en revue les différentes mesures que vous pouvez apporter à votre sécurité WordPress et nous allons étudier le nouveau plugin Secupress.
Les plugins wordpress de sécurité
Il existe de très nombreux plugins de sécurité pour WordPress généralistes ou spécialisés, citons parmi eux :
- All in One WP Security, un panel de fonctionnalité large incluant un firewall, avec un cockpit visuel de votre niveau de sécurité
- Acunetix WP Security optimise votre installation WordPress en refermant les principales failles et en vous offrant un suivi temps réel des connexions.
- Block Bad queries ( BBQ ) est spécialisé dans le blocage des injections SQL
- iThemes Security propose gratuitement plus de 30 fonctions de sécurisation de votre WordPress, la version payant apporte la double authentification et la planification.
- Wordfence vérifie vos fichiers, vous permet d’afficher en temps réel les connexions sur votre site, vous liste les IP ayant fait des actions frauduleuses et les bloque automatiquement, en version payante vous avez le blocage de pays, l’identification à double facteur avec SMS.
- BruteProtect est spécialisé dans la protection contre les attaques Brute Force. L’entreprise a été racheté par Automattic, éditeur de WordPress.
- Google Authenticator est un plugin wordpress associé à l’application google authenticator permettant de vérifier l’identité de la personne qui se connecte
- BulletProof Security protège les principales faiblesses de WordPress
- WP antivirus Site Protection de siteguarding.com multi CMS il détecte les rootkits, spywares, adwares, chevaux de troie et propose des actions
- Sucuri Security permets le nettoyage de votre site après un hack
- et enfin le dernier né SecuPress
Vidéo comment paramétrer Wordfence
Présentation de Secupress
Secupress est le nouveau venu dans la sécurité wordpress. Ce plugin est édité par la célèbre team WP-media, éditrice de Wp-Rocket, et de Imagify. Ce plugin WordPress se veut vraiment le plus complet existant, jugez en plutôt :
- firewall bloquant les tentatives d’intrusion
- sauvegarde de la base de données
- surveillance des fichiers contre les scripts malveillants
- suppression des fichiers vulnérables des anciennes installations WP
- protection des fichiers sensibles dont xml-rpc
- protection anti-spam des commentaires
- protection des login avec authentification
- veille sur les failles des plugin et des thèmes
- protection contre les activités suspectes et les autres méthodes de requête que les classiques Get ou Post
- journaux des 404 et de toutes les actions sur votre WP
On le voit Secupress a pour ambition ni plus ni moins de remplacer tous vos plugin de sécurité pour votre site wordpress. La version gratuite est en beta et la version Pro est en cours de développement.
Les paramétrages Secupress
Mon avis sur le plugin de sécurité wordpress Secupress
Ce plugin de sécurité WordPress va devenir un must dans le domaine. En effet il est très simple de paramétrage et permets toutes les fonctionnalités requises pour la sécurité. Vous allez abandonner et alléger votre site de plugins tels que : limitation de login, masquage de login, backup, et vous alléger en temps pour tous les paramétrages que vous auriez pu faire à la main ( mais avec les risques d’oublis et des fonctionnalités en moins ).
Par contre je conseille de prendre la version Pro car elle permets pour 36$ par site des fonctionnalités indispensables comme :
- bloquer les doubles connexions
- contrôler les sessions
- la double authentification
- la détection des plugins vulnérables
- le blocage de la modification des plugins installés
- le blocage de la modification ou suppression du thème
- le blocage du hotlinking des images
- le blocage de la page de profil
- l’activation d’un anti-Brute-Force
- le blocage des IP par pays
- le scan des rootkits, malwares
- la protection des dossiers uploads
- la sauvegarde, et la gestion des historiques,
- la suppression des commentaires indésirables
- les alertes automatiques
- la planification des actions
Cette version pro est plus avantageuse que ses concurrentes au niveau prix et fonctionnalités. Il serait bien que la version gratuite intègre une ou deux fonctionnalités remarquables comme l’AntiBruteforce. Vous pouvez demander votre accès anticipé à SecuPress .
Quelques mesures de base pour sécuriser votre WordPress
deny from all
SetEnvIF X-Forwarded-For « 10.11.12.13 » AllowIP
SetEnvIF X-Forwarded-For « 11.12.13.14 » AllowIP
Allow from env=AllowIP
Allow from 10.11.12.13
Allow from 11.12.13.14
RewriteRule ^author/(.*)$ http://%{HTTP_HOST} [R,L]
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule . http://%{HTTP_HOST} [R,L]
foreach( $classes as $key => $class ) {
if(strstr($class, « comment-author-« )) {
unset( $classes[$key]
);
}
}
return $classes;
}
add_filter( ‘comment_class’ , ‘remove_comment_author_class’ );
function kill_autocompletion(){
echo ‘<script type= »text/javascript »>window.onload=function(){document.getElementById(« user_pass »).setAttribute(« autocomplete », »off »)};</script>’;
}
order allow,deny
deny from all
</files>
order allow,deny
deny from all
</Files>
return »; }
add_filter(‘the_generator’, ‘wpt_remove_version’);
Order Allow, Deny
Deny from all
</Files>
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
# Autoriser les requêtes venant de votre domaine
# la mention NC rend insensible à la casse (majuscule/minuscule)
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?votredomaine.com [NC]
# Autoriser certains moteurs de recherche à utiliser vos images
RewriteCond %{HTTP_REFERER} !search\?q=cache [NC]
RewriteCond %{HTTP_REFERER} !google\. [NC]
RewriteCond %{HTTP_REFERER} !yahoo\. [NC]
# Proposer une image alternative lors de l’emploi abusif de vos image
# il est nécessaire de modifier l’url avec votre propre chemin
RewriteRule \.(gif|jpg|png)$ http://domain.tld/hotlink.jpg [R,NC,L]
Pour aller plus loin
Vidéo comment changer son préfixe de base de données