Comment sécuriser wordpress?

Wordpress est un gestionnaire de contenu, tels des blogs, très répandu sur Internet. C’est une solution gratuite (Open Source) qui peut être configurée et étendue pour répondre à un grand nombre de besoins grâce à de très nombreux ajouts disponibles (Plugins).

WordPress étant très répandu, certains hackers ciblent spécifiquement les sites worpress afin d’en exploiter les éventuelles vulnérabilités. Heureusement, la communauté qui développe wordpress est très active et l’application est fréquemment mise-à-jour permettant de rapidement combler les éventuelles failles qui seraient découvertes. Néanmoins, la nature même des sites web utilisant WordPress, à savoir les sites au contenu dynamique qui, souvent, permettent aux visiteurs de laisser des commentaires ouvre des possibilités d’exploit tels que du XSS (Cross site scripting) voir parfois de l’injection SQL (bien que l’application soit généralement bien protégée contre ce dernier type d’attaque). Si vous exploitez un site sous wordpress vous même, sur votre propre nom de domaine (vous pourriez très bien créer votre blog sur le site wordpress.com et, de là, avoir moins de flexibilité mais aussi un peu moins de soucis) il y a quelques règles élémentaires à suivre pour diminuer les risques de voir votre serveur se transformer en Zombie ou voir votre site changer subitement de contenu ou servir de relai pour atteindre vos visiteurs.

  1. Utilisez des mots de passe suffisemment long, de préférence de 12 caractères ou plus, incluant des minuscules, majuscules, des chiffres et des caractères spéciaux. (pas uniquement pour WordPress mais aussi pour tous les accès à votre site internet comme le FTP, le SSH, la console d’administration, etc.). C’est probablement la mesure la plus rudimentaire et évidente mais il y a toujours quelques personnes qui l’oublient, Un mot de passe de 8 caractère sans grande compléxité peut être trouvé par essais successifs en quelques heures voir moins. Préférez donc M0nL@ngMo1dePa$$€ à 123456.
  2. Pour aider à prévenir l’usage de systèmes automatiques qui essaient tous les mots de passe possible et imaginables, utilisez un pugins comme Captcha qui va demander une interaction (comme lire un mot ou faire un calcul) à l’utilisateur avant d’accepter son mot de passe. Cela diminue grandement la probabilité de pouvoir deviner le mot de passe.
  3. Exigez que vos utilisateurs se soient identifiés avant de les autorisés à publier un commentaire sur votre site. Idéalement même, si cela ne vous semble pas nécessaire, supprimez cette possibilités. De plus, exigez de valider chaque commentaire avant qu’il ne soit publié sur votre site (afin d’éviter de mauvaises surprises). Allez dans Settings > Discussion et sélectionnez au moins les deux options suivantes: « Comment author must fill out name and e-mail » et « Users must be registered and logged in to comment » ainsi que cette troisième option: « Before a comment appears comment must be manually approved« 
  4. Faites très régulièrement les mises-à-jour de l’application. WordPress à grandement simplifié le processus, il vous suffit de vous connecter comme administrateur et de cliquer sur le bouton « update » (ou mise-à-jour si vous utilisez la version française)
  5. Vous pouvez aussi utiliser des plugins comme « the ultimate security checker » ou « Exploit scanner« 
  6. N’utilisez pas trop de Plugins et si possible, essayez de vérifiez qu’il provient d’une source fiable en effectuant quelques recherches sur Internet afin de lire les avis des utilisateurs ou voir si il y a des alertes concernant cette extension ou ce thème.
  7. Assurez-vous que votre serveur (et pas uniquement votre application wordpress) est à jour (votre serveur HTTP, FTP, votre système opératoire, etc.) Si vous utilisez un serveur partagé, il faut espérer que votre fournisseur fait correctement son travail à ce niveau là.
  8. Si posssible, réduisez les droits d’accès de WordPress à votre base de donnée au strict nécessaire, c’est à dire de préférence uniquement aux tables de WordPress.

Il y a d’autres mesures possibles (comme de protéger la partie d’administration de WordPress par un mot de passe sur le serveur web) mais on arrive à des solutions un peu plus difficile pour les néophytes (les experts n’ayant en général pas besoin de ces conseils, il les connaissent par coeur).

Bon amusement.