En matière de sécurité informatique, la meilleure solution contre les intrusions extérieures est rarement celle qui domine le marché.
Alors qu’il propulse 32% des sites mondiaux, WordPress en est le parfait exemple. Malgré son succès, ce CMS présente quelques petites failles qui peuvent mettre en danger vos investissements numériques. Si la sécurité de ce gestionnaire de contenus peut être considérablement améliorée, dans les faits, c’est rarement le cas.
Voici 16 indices qui vous aideront à savoir si votre site WordPress est susceptible de tomber entre des mains malveillantes et à trouver les solutions qui vous permettent de réduire ces risques. Sans offrir un niveau de sécurité totale, leur mise en oeuvre est dissuasive. Elle vous met à l’abri des assauts des hackers juniors qui suivent des “recettes de cuisine” faciles d’accès sur le darknet, ainsi que des tentatives des pirates malveillants qui privilégient la prise rapide à l’aide d’outils automatisés.
Avant de vous lancer dans la sécurisation de votre site web, pensez toujours à faire une sauvegarde complète de votre site.
Sécurité des comptes administrateurs
Indice 1 : Vous utilisez l’identifiant “admin”
Lors de l’installation de votre site, WordPress propose en standard de créer le compte administrateur avec l’identifiant “admin”. En le conservant, vous facilitez les tentatives d’intrusion en “Brute Force” puisque le pirate informatique va paramétrer ses outils automatiques avec le login standard et lancer des milliers de tentatives pour cracker votre mot de passe.
Solution : Créez un nouvel utilisateur avec les droits d’administrateur qui aura un identifiant unique difficile à trouver, incluant des caractères spéciaux. Une fois cet utilisateur correctement paramétré, supprimez l’utilisateur “admin” en choisissant de transférer tous les contenus qui lui sont rattachés au nouveau compte.
Indice 2 : Votre compte admin possède l’ID 1
Par défaut, le compte d’administrateur WordPress possède l’ID 1. En le conservant, la tâche des attaquants malveillants est considérablement simplifiée puisqu’il leur suffit de faire la requête https://monsite.fr/?author=1 pour identifier le nom d’utilisateur de l’administrateur WordPress.
Solution : Elle est identique à celle du risque 1. Si elle a déjà été déployée, il est inutile de le faire de nouveau.
Indice 3 : Tous vos utilisateurs ont des droits administrateurs
Lors de la formation de l’équipe de gestion et d’animation d’un site, il est fréquent de constater que l’ensemble des membres ont été dotés de droits administrateurs. Cette pratique contribue à augmenter de façon exponentielle les risques d’intrusion malveillante sur votre site, puisqu’il suffit que le compte mail d’un de vos administrateurs soit compromis pour qu’un hacker puisse prendre le contrôle de votre site.
Solution : Passez en revue pour chaque utilisateur ses besoins réels et ajustez ses droits en fonction. S’il s’agit d’auteurs du blog ou de responsables éditoriaux, les droits “auteurs” ou “éditeur” sont parfaitement adaptés à leurs besoins. Si un membre de l’équipe n’intervient plus – temporairement ou définitivement-, attribuez lui des droits “abonnés”.
Indice 4 : Utilisation de son email administrateur comme destinataire des formulaires de contact
Lors de l’identification WordPress , l’adresse email rattachée à son compte peut-être utilisée comme identifiant. Si vous utilisez l’adresse email de votre compte administration comme destinataire de vos formulaires de contact, vous créez une vulnérabilité susceptible d’être mise à profit par une personne malintentionnée.
Solution : Différenciez les adresses que vous utilisez pour votre marketing et pour votre sécurité. Pour ce faire, différentes techniques existent. L’une des plus simples pour les personnes qui ne souhaitent pas gérer plusieurs comptes est de créer une adresse email en alias ou en redirection. Cela vous permettra de recevoir tous vos courriels dans le même compte, tout en bénéficiant d’adresses différentes.
Indice 5 : Votre Login est affiché publiquement
Dans son paramétrage standard de l’affichage des informations utilisateurs, WordPress prévoit d’afficher publiquement l’identifiant du compte. Un choix des développeurs du CMS qui se révèle être désastreux en terme de sécurité.
Solution : Modifiez dans chaque compte, et en priorité dans les comptes administrateurs, le Nom à afficher publiquement. Attention, assurez vous que la nouvelle option choisie est bien différente.
Procédures d’identification standards
Indice 6 : Votre page d’identification est encore wp-login.php
L’accès normalisé à l’identification de l’administration de WordPress s’effectue par la page wp-login.php. Cette page donne accès au formulaire de connexion au backend de votre site. Elle conservant l’url par défaut, les pirates informatiques sont en mesure de rapidement trouver l’emplacement des “serrures” d’accès à l’ensemble des fonctionnalités de votre site.
Solution : Installez un plugin qui permet de changer l’url de la page d’identification comme, par exemple, l’excellente extension WPS Hide Login.
Indice 7 : Vous ne limitez pas le nombre de tentatives d’accès
Le principe des attaques par Brute Force est de tester une à une les différentes combinaisons possibles pour trouver un mot de passe. En ne limitant pas le nombre de tentatives d’accès, vous donnez la possibilité à la personne qui souhaite s’introduire frauduleusement sur votre site de le faire.
Solution : De nombreuses extensions WordPress aident à lutter contre les attaques par Brute Force. Certaines se contentent de limiter les possibilités d’accès (Ex. : WPS Limit Login), tandis que d’autres proposent également d’introduire des procédures alternatives d’authentification (ex. Loginizer Security).
Sûreté de votre base de données
Indice 8: Les tables de votre base de données utilisent le préfixe “wp_”
Lors de son installation standard, WordPress propose par défaut le préfixe “wp_” au moment de créer des tables de votre base de données. Connu de tous, ce préfixe créé une vulnérabilité en cas d’injection.
Solution : Le plugin Brozzme DB Prefix vous permet de modifier simplement et rapidement le préfixe des tables d’une base de données WordPress.
Vulnérabilités des fichiers critiques sur votre serveur
Indice 9 : Le fichier wp-config.php n’est pas sécurisé
Le fichier wp-config.php recense les informations confidentielles cruciales au fonctionnement de WordPress . Il contient en particulier les informations d’accès à votre base de données ainsi que les clés de chiffrement des cookies. Lors de l’installation de WordPress , ce fichier n’est pas correctement sécurisé.
Solution : Pour sécuriser votre fichier wp-config.php, vous devez entreprendre 4 actions spécifiques. La première est de spécifier des clés SALT générées aléatoirement pour votre site en cliquant sur ce lien. La seconde est de déplacer le fichier wp-config.php pour le placer dans un niveau de dossier supérieur. La troisième est de bloquer dans votre fichier .htaccess l’accès au fichier. Pour ce faire, ajoutez la ligne suivante <Files wp-config.php> order allow,deny deny from all </Files>. Enfin, spécifiez des droits d’accès restreints au fichier en leur donnant les permissions 644.
Indice 10 : Le fichier .htaccess n’est pas sécurisé
Grâce à des instructions de configuration spécifiques aux serveurs Apache, le fichier .htaccess permet de gérer différentes modalités d’accès au contenu de votre WordPress. Il est donc crucial de le sécuriser correctement.
Solution : Le fichier .htaccess a pour caractéristique de pouvoir contenir des instructions qui le protègent. En ajoutant la ligne <files wp-config.php> order allow,deny deny from all </files> à votre fichier, vous le rendez inaccessible via un simple navigateur. Une fois le fichier modifié, modifiez ses droits d’accès CHMOD à 644.
Version de WordPress et mises à jour
Indice 11 : Votre site affiche la version de WordPress
WordPress est un CMS Open-Source développé par des milliers de personnes. Conséquence : les vulnérabilités de chaque version sont publiques et disponibles à la communauté. En affichant la version de votre WordPress, vous permettez aux pirates d’identifier en quelques secondes les techniques d’intrusion qui ont la meilleure probabilité de réussir.
Solution : Supprimez de votre serveur le fichier readme.html et masquez l’affichage de la version de WordPress en ajoutant au fichier function.php la ligne de code suivante: remove_action(“wp_head”, “wp_generator”);
Indice 12 : Votre WordPress n’est pas à jour
Chaque nouvelle mise à jour de WordPress corrige de nouvelles failles de sécurité et des bugs. En omettant de mettre à jour votre gestionnaire de contenus, vous augmentez le nombre de points vulnérables de votre site.
Solution : Procédez à une sauvegarde de votre site et lancez sa mise à jour. Afin de limiter vos interventions, vous pouvez en outre activer la mise à jour automatique de votre WordPress. Nous vous conseillons toutefois d’activer uniquement les mises à jour mineures, qui présentent peu de risques de compatibilité avec la configuration de votre site.
Indice 13 : Vos extensions ne sont pas à jour
Les extensions que vous ajoutez à votre WordPress pour augmenter ses fonctionnalités sont porteuses de nouvelles vulnérabilités. Des risques d’injections XSS ou SQL à la modification des privilèges, ils peuvent mettre en péril la sécurité de votre site. Pour limiter les risques qu’ils représentent, il est indispensable de régulièrement les mettre à jour.
Solution : Allez sur l’interface d’administration des extensions dans WordPress et faites le point sur l’ensemble des extensions installées.
Recherchez dans un premier temps, les plugins qui n’ont pas été mis à jour depuis un certain temps. Ils sont simples à identifier grâce au message d’alerte sur fond orange similaire à “Cette extension n’a pas été testée avec plus de trois mises à jour majeures de WordPress. Elle peut ne plus être maintenue ou supportée et peut avoir des problèmes de compatibilité lorsqu’elle est utilisée avec des versions de WordPress plus récentes.”. Désactivez ces extensions et supprimez les.
Identifiez grâce à leur fond blanc toutes les extensions qui ne sont pas activées. Supprimez toutes celles que vous ne prévoyez pas d’utiliser dans les jours à venir.
Si une extension nécessite une licence, vous allez devoir décider entre la souscription à un abonnement et la désinstallation. Il est imprudent d’utiliser un plug-in qui ne peut être aisément mis à jour.
D’une façon générale, posez vous la question sur l’utilité réelle d’une fonctionnalité. Si elle ne vous rend pas réellement service ou que les résultats escomptés ne sont pas au rendez-vous, vous pouvez vous en passer.
Une fois votre audit réalisé et le nombre d’extensions activées réduit, mettez à jour l’ensemble des extensions.
Votre thème et sa mise à jour
Indice 14 : Vous utilisez un thème gratuit téléchargé sur le net
La mise à disposition gratuite de thèmes est une technique fréquemment employée par les pirates informatiques pour tromper les internautes. En dehors des thèmes développés par WordPress, nous vous conseillons de vous méfier des thèmes proposés gratuitement et, en particulier, des thèmes proposés dans l’installateur de thèmes.
Solution : Passez sur un thème standard de WordPress, le thème gratuit proposé par un prestataire réputé ou achetez la licence d’un thème premium et installez-le.
Indice 15 : Votre thème n’est pas mis à jour
Les thèmes peuvent contenir des failles de sécurité. Leur mise à jour est nécessaire.
Solution : Mettez à jour votre thème en vous assurant que vous avez bien localisé toutes vos personnalisations dans un thème enfant.
Indice 16 : Des thèmes inactifs sont installés
Lors de la création de votre site, vous avez testé différents thèmes sans les supprimer. Même inactif, un thème peut offrir une porte d’entrée à une personne malveillante. Il faut les supprimer.
Solution : Supprimez tous les thèmes que vous n’utilisez pas. Il sont situés dans le dossier Themes (wp-content/themes/).
En conclusion !
Si certaines des solutions sont simples à mettre en oeuvre, d’autres nécessitent de solides bases techniques.
Sachez que certaines solutions intégrées de sécurisation des sites WordPress (Cf: l’hébergeur spécialisé WordPress WPServeur) permettent de gérer ces différents aspects de la sécurité de votre WordPress et bien plus encore. Il est fortement conseillé d’y avoir recours, notamment si votre site web constitue votre principal fond de commerce !
N’oubliez pas de consulter notre article 15 mesures de sécurité essentielles pour votre WordPress et notre guide WordPress pour les nuls.
Après avoir appliqué ces recommandations, je me suis rendu compte qu’un de mes plugins ne fonctionnait plus. Il s’agit de “WP to Diaspora”. Les publications n’étaient plus cross-postées sur le réseau social libre et décentralisé. Après avoir restauré un backup du site, réimporté les articles manquants, refait toutes mes modifs depuis 10 jours, j’ai pu enfin faire des tests pour savoir d’où ça venait.
Finalement c’est la modification des clés SALT dans le wp-config.php qui posait problème. Je ne sais pas si d’autres plugins peuvent être impactés ou si il y a une solution pour pouvoir changer les clés SALT tout en conservant le plugin fonctionnel.
Bonjour,
L’ensemble des conseils donnés est bien vu et précieux. Il y en a un ou deux que je ne connaissais pas.
Par contre, je suis “choquée” par celui-ci :
Les thèmes et extensions payants peuvent eux aussi présenter des failles de sécurité ! Qui n’a pas entendu parler de la faille de sécurité de l’extension Revolution Slider il y a 4 ans ? En plus, cette extension était incluse dans de nombreux thèmes payants, qui se sont trouvés infectés du même coup !!
Il faut se méfier des thèmes gratuits trouvés au hasard du net, et particulièrement de versions gratuites de thèmes en principe payant, ça, oui. Mais pas spécifiquement des thèmes gratuits fournis sur wordpress.org !
Bonjour @Flobogo,
C’est vrai que celui ci est tendancieux mais juste. En résumé, sur le repo seuls les thèmes twenty by WordPress peuvent être considérés comme fiables. Les autres thèmes gratuits (proposés par des tiers) peuvent contenir des failles de sécurité, intentionnelles ou pas.
bonjour et merci pour ce post.
Vous parlez de l’utilisation de son email administrateur comme destinataire des formulaires de contact. J’ai bien effectué les changements mais je me demandais si il fallait aussi changer de mail dans l’onglet “réglages>général” du site il est dit que Cette adresse est utilisée à des fins d’administration et je me demandais si il était pertinent de mettre une autre adresse que celle que j’utilise pour accéder à wp-admin ? J’ai créé un alias, je ne sais pas si c’est suffisant. Qu’en dites vous ?
“Les autres thèmes gratuits (proposés par des tiers) peuvent contenir des failles de sécurité, intentionnelles ou pas.”
Je ne pense pas que des thèmes avec des fautes intentionnelles soient vraiment présents (si les hacker pouvaient déposer n’importe quoi sur wp.org, il y a longtemps que des milliers de site seraient piratés par ce biais. Il y a quand même un minimum de procédures avant qu’un thème ne soit accepté sur le répertoire officiel, qui est la vitrine de WP d’une façon globale.
Quant aux failles de sécurité non-intentionnelles, aucun développeur n’est à l’abri d’une erreur … pas même chez Automattic. ;)
Mais bon, encore une fois, le reste de cet article est très intéressant, et alerte avec raisons sur de nombreuses failles possibles … au sein même de l’installation d’un WP de base. Car comme tu le dis : “Malgré son succès, ce CMS présente quelques petites failles”. ;)
Très bon article ! Il y a plusieurs failles que je ne connaissais pas. Je vais très rapidement les mettre en place.
Merci.
Bonjour
Impossible de supprimer l’admin id 1 pour le remplacer par le nouvel admin créé…
Merci de votre aide