28 mars 2023
Paroles d'experts

WordPress : rappel des bonnes pratiques en cybersécurité

Written by Gautier Duc Dodon
FacebookTwitterLinkedInMessenger

Le saviez-vous ? En 2023, WordPress représente plus de 40% des CMS (Content Management System) présents sur internet. Sa facilité d’installation, sa stabilité et ses constantes mises à jour en font un outil « User Friendly » pour déployer un site internet. Le revers de la médaille est que sa notoriété en fait la cible privilégiée des cyberattaques.

Il arrive régulièrement de découvrir chez un client un site utilisant un WordPress vulnérable qui pourrait servir de porte d’entrée et compromettre tout un environnement applicatif.

Le but de cet article est de repartager quelques règles de cybersécurité applicables à WordPress pour un environnement web plus sécurisé et quelques outils pour en prendre soin.

WordPress et sécurité, un outil de CMS populaire et reconnu

Le choix du thème WordPress

Il existe des sites qui fournissent des thèmes crackés pour WordPress. Un thème cracké est, la plupart du temps, une version piratée d’un thème premium.

En plus d’être illégaux, ces thèmes sont également dangereux pour votre site. Ils contiennent souvent des codes malveillants cachés, qui peuvent détruire votre site web et votre base de données ou enregistrer vos identifiants d’administrateur et ceux de vos utilisateurs dans le but de les exfiltrer.

En achetant un thème officiel premium, vous dépensez certes quelques euros sur une plateforme sécurisée, mais vous évitez de prendre des risques. Cela permet d’avoir un support réactif et des mises à jour pour le thème sélectionné.

La plateforme la plus connue et sécurisée à ce jour est Thème Forest.

L’administration WordPress : une connexion sécurisée au backoffice

L’URL bien connu de tous pour se connecter au backoffice d’un WordPress est /wp-admin et c’est surement le premier test que fera une personne malveillante. La bonne nouvelle c’est que ce chemin d’accès est modifiable très facilement, c’est donc une opération à réaliser systématiquement.

L’utilisation de mots de passe robustes, couplée à une authentification 2-facteurs, permet une sécurisation avancée des connexions au backoffice. En complément, avoir une vue sur les adresses IP des utilisateurs qui se connectent permet le blocage des IP malveillantes au besoin.

Il faut éviter l’utilisation de mot de passe simple tel que « 12345 » ou « motdepasse ». Si le mot de passe est facile à retenir c’est qu’il y a un risque.

Pour rappel, une bonne pratique est l’utilisation d’un mot de passe long, généré de manière aléatoire et contenant des caractères spéciaux, des majuscules, de minuscules et des chiffres. Ce mot de passe doit être unique et il est possible de le stocker dans un gestionnaire de mot de passe type Keepass.

Enfin, par défaut, WordPress permet aux utilisateurs de faire autant de tentatives de mots de passe qu’ils le souhaitent. Cette possibilité expose un site à des attaques par force brute. Limiter le nombre de tentatives de connexion réduit donc les risques d’attaques par force brute, car le pirate est bloqué avant de pouvoir terminer son attaque. Simple mais efficace !

En synthèse :

  • Modifier l’URL du backoffice WordPress : WPS Hide Login
  • Choisir des mots de passe robustes
  • Activer l’authentification 2-facteurs, au moins pour les utilisateurs ayant des privilèges élevés (mise à jour de WordPress, publication de contenus, etc.)
  • Limiter le nombre de tentatives de connexion : Log-in attempts
WordPress et sécurité : mot de passe robuste

Le plugin de sécurité : élément indispensable pour monitorer un site web

Véritable outil de surveillance et de monitoring complet, il permet de rester informé sur les risques et les actions à prendre pour veiller à la sécurité du site web.

En résumé, un plugin de sécurité s’occupe de la sécurité du WordPress, recherche les logiciels malveillants et surveille 24 heures sur 24, 7 jours sur 7, afin de contrôler régulièrement ce qui s’y passe.

Wordfense est des plugin les plus fiable et reconnu sur le marché actuel.

Maintenir WordPress à jour

La mise à jour de l’écosystème WordPress est une pratique indispensable pour assurer la sécurité du site web. À chaque mise à jour, les développeurs apportent quelques modifications, dont bien souvent des mises à jour de sécurité.

Mettre à jour un écosystème WordPress c’est mettre à jour :

  • Le CMS lui-même
  • Les plugins que vous avez installés
  • Le thème que vous utilisez

Attention, un plugin ou thème qui n’est pas mis à jour régulièrement entraine des risques de sécurité pour tout l’environnement.

Maintenez les à jour ou préférez en changer plutôt que de prendre des risques.

La sauvegarde

Il ne faut pas oublier de faire des sauvegardes sur un environnement externe et de manière régulière. Il est idéalement préconisé de garder plusieurs versions des sauvegardes. Si le site venait à être piraté, des sauvegardes régulières permettraient de retrouver au moins une partie des données perdues et une version saine.

Une navigation sécurisée en HTTPS

Pensez à déployer un certificat signé par une autorité reconnue pour avoir une connexion HTTPS conforme aux bonnes pratiques. Si vous n’avez pas la possibilité d’obtenir un certificat signé par une autorité interne à votre entreprise, vous pouvez en acheter un auprès de fournisseurs tiers sur Internet ou en obtenir un gratuitement auprès de l’autorité Let’s Encrypt.

Tester la sécurité de WordPress

L’outil WPScan peut être utilisé pour réaliser un premier diagnostic rapide :

  • Vulnérabilités connues selon les versions de WordPress, des plugins ou des thèmes utilisés
  • Comptes et mots de passe faibles
  • Messages d’erreurs trop explicites

L’écosystème global

Il faut également penser à la sécurisation du socle sur lequel repose votre CMS. En effet, la compromission de celui-ci remettrait en cause la sécurité du site. Cette sécurisation comprend la configuration des différentes couches logicielles ainsi que le déploiement régulier des mises à jour ou nouvelles versions de chaque élément pour corriger les failles de sécurité.

Cette dernière partie dépend notamment du mode de déploiement de votre CMS (managé par hébergeur ou installé sur serveur). Mais il est indispensable de veiller à la sécurisation :

  • Du système d’exploitation
  • De PHP
  • De la base de données