Comment fonctionnent les plug-ins pour sécuriser WordPress.

30 façons de sécuriser et de protéger votre site WordPress avec 1 seul plug-in.

WordPress est l’un des systèmes de gestion de contenu les plus populaires sur Internet. Et cette popularité en fait une cible de choix pour les pirates. Comme tout outil informatique, il est vulnérable aux attaques.

Ces attaques n’ont pas souvent pour but de détruire votre site, mais de le pénétrer pour y installer des malwares ou autres virus.

Les vulnérabilités de l’hébergement du site

Les premières victimes de ces piratages peuvent être les hébergeurs. Ce sont des proies de premier ordre puisque si l’on trouve une faille sur leurs serveurs, c’est une porte ouverte à des milliers de sites.

La deuxième problématique serait vos colocataires ! Eh oui si vous êtes sur un hébergement mutualisé, ou se trouvent donc plusieurs sites dont le votre, l’intrusion pourra se faire par un site voisin donc, hébergé sur le même serveur que le votre.

Les vulnérabilités de votre site

On ne le dira jamais assez, faites vos mises à jour rapidement. Les failles qui sont les plus exploitées sont celles touchant les plug-ins. Donc, faites ces mises à jour et virez les vieux plug-ins qui ne sont plus mis à niveau et qui deviennent vite obsolètes sur la sécurité face à une intrusion.

Le fonctionnement des plug-ins de sécurité de votre CMS

L'un des plug-ins de sécurité les plus utilisé.

Pour vous démontrer leur fonctionnement, j’en ais pris un au hasard. Enfin pas tout à fait au hasard puisque je l’avais sous la main étant proposé par mon hébergeur. Voici donc IThemes Sécurity, que l’on peut télécharger gratuitementsur WordPress.

IThemes propose 30 fonctions pour rendre le site plus sécurisé, mais si les 30 le sont dans la version payante, les fonctions proposées dans la version gratuite sont déja pas mal.

Donc, ces plug-ins vous offrent déjà des possibilités basics, mais très efficace, comme de déplacer la page de connections, ou de renommer le compte administrateur.

L’attaque de force brute est l’une des formes les plus courantes de tentative de piratage sur les sites WordPress. Le pirate utilise un logiciel pour tester automatiquement différents mots de passe. Dans mon cas j’ai rajouté en plus un plug-in de captcha sur la page de connexion au blog.

Un utilisateur doit donc être bloqué après avoir atteint un seuil de tentatives de connexions infructueuses. Son adresse IP peut être mise en quarantaines si elle revient souvent tester de nouvelles combinaisons d’accès.

Détection d’erreurs 404

La détection des erreurs 404 se concentre sur les utilisateurs générant un très grand nombre d’erreurs de type 404. Cette détection part du principe qu’un utilisateur qui provoque un grand nombre d’erreurs 404 en très peu de temps est en train d’analyser votre site à la recherche de vulnérabilités. C’est pourquoi certains plug-ins sont vigilants au trafic généré sur les pages 404.

Connection SSL

Le SSL est une fonctionnalité qui empêche les comptes utilisateurs d’être compromis en protègeant le contenu contre des modifications qui pourraient être apportées par les FAI et protège les informations potentiellement sensibles.

IThemes rediriger tout le trafic HTTP vers HTTPS, exigeant ainsi que tout le monde accède au site via SSL. En d’autres termes, il obligera tout le monde à utiliser une connexion sécurisée au site.

Les bases de données

Injection SQL, perméabilité des protocoles de communication des bases de données, mauvaises configurations, Les bases de données sont aussi vulnérable. La sécurisation se fait donc aussi sur ce point.

Attention à certains plug-ins qui vous donnent la possibilité de renommer votre base de données. Si c’est une sécurité supplémentaire, elle n’est à activer seulement à la création du site quand le blog est vide d’articles, car une modification du nom peut vous faire perdre les données connectées.

Les sauvegardes

WordPress est très vulnérable à cause de son code source. Non pas que celui-ci ait un mauvais codage, mais comme tous les logiciels libres, son code est ouvert à tous, donc même a ceux ayant un esprit malveillant.

Si je me suis attardé sur seulement quelques points c’est que ce sont les points sensibles fréquemment attaqués. Malgré une sécurité accrue sur votre site, ne négligez pas les sauvegardes faites à intervalles réguliers.


Retour haut de page