Fort d’une d’une expérience de plus de 20 ans sur le Web et de dix ans avec le CMS WordPress, nous avons pu identifier les quatre causes majeures de hacking d’un site réalisé sous WordPress et, surtout, les meilleurs pratiques pour les éviter ou les contrer.
1. Les défauts d’installation
- Par défaut les tables de la base MYSQL sont installées avec le préfixe “wp_” par défaut. Ce préfixe est connu de tous et peut être vulnérable en cas d’injection. Il est indispensable de le remplacer par un préfixe moins repérable.
- Supprimer le compte ‘admin’ par défaut, Par facilité ou par défaut (sur certains hébergeurs comme OVH) l’identifiant admin est souvent créé pour identifier l’espace d’administration. La popularisation de cet identifiant le rend par nature très sensible : le pirate potentiel n’a plus qu’à se concentrer sur votre mot de passe pour percer votre accès. Nous préconisons l’utilisation d’une adresse mail comme identifiant.
- Modifier le répertoire par défaut. Par défaut les fichier du répertoire WordPress sont installés en racine. Installé le CMS dans un sous dossier créé à base de caractères aléatoires supprimera toute localisation des fichiers.
- Ajouter un certificat SSL vous assurera de crypter les informations circulant entre le navigateur et le serveur. Cela empêche le hacker de s’introduire dans vos conversations et transactions (et accessoirement évite de pénaliser votre référencement).
2. Les défauts de mises à jour
Il est impossible de sécuriser WordPress s’il n’est pas à jour. Les mises à jour se font à trois niveaux : Le CMS, les plugins et le theme.
Nous utilisons la console Manage WP qui nous donne quotidiennement par mail un compte rendu des mises à jour à effectuer.
- Pour le moteur wordpress, les mises à jour mineures de sécurité sont réalisés automatiquement, Et c’est une tres bonne chose. Pour les mises à jours majeurs, nous les réalisons des les 24 h suivant la réception et sans appréhension puisqu’une mise à jour des fichiers et de la base est réalisée quotidiennement.
- Pour les plugins, les mises à jours sont réalisées dès notification et après avoir été testé sur notre site principale cotebasque.net.
- Pour le thème, nous utilisons depuis deux ans le theme framework DIVI.
En règles générales, les thèmes sont difficiles à mettre à jour automatiquement, certains vous obligent même à devoir installer manuellement les plugins embarqués (via FTP). Contrairement à ThemeForest, Divi propose une passerelle qui permet de saisir son API afin de mettre à jour d’un simple clic son thème via la plate forme Manage WP. La fréquence des MAJ témoigne – entre autres choses – des soucis de sécuriation des auteurs.
3. Le hacking social
Une grande part du hacking sur WordPress et sur Internet en général est la volatilité des mots de passe et la divulgation des entrées identifiants/mot de passe au sein des entreprises; “A quoi sert-il de faire poser une porte blindée si tout le monde à un double des clés de la porte”.
WordPress permet donner à certain le rôle suprême d’administrateur, ils pourront tout faire, moins il y en a mieux c’est néanmoins. Nous assignons un simple rôle d’auteur, dans ce cas l’utilisateur pourra écrire des articles, mais il ne pourra pas modifier les paramétrages (extensions, thèmes, réglages…), de même pour le rôle de relecteur, il pourra juste les relire. Nous pouvons ainsi assigner des utilisateurs à des parties spécifiques de votre site internet.
Nous créons des l’ouverture du WP un organigrame des administrateurs, éditeurs, relecteur etc. Ainsi que un protocole de récupération des mots de passe en cas de pertes.
4. Les attaques par brute force.
- Mots de passe. Nous utilisons des mots de passe complexes associant lettres, symboles et chiffres. Nous employons un générateur de chaîne aléatoire de plus de 12 caractères grantissant l’inviolabilité du système. De plus, nous préconisons une réinitialisation régulière de ces derniers.
- Limite des tentatives de connexions. Nous installons une extension qui bloque les tentatives répétées d’une même adresse IP. Si un robot tente d’entrer sur votre site, cela bloque l’accès pendant un certains temps. Une fois l’extension installée, vous pouvez paramétrer le nombre d’essais que vous voulez avant blocage et le temps de connexion après le blocage.(plugin Login Lock Down)
- Bannir les IPs malveillantes : il existe des listes mises à jour par des communautés informatiques, qui recensent les IPs cataloguées comme “malveillantes”. Elles sont une bonne base de départ mais doivent être associées à un blocage manuel des IPs spécifiques attaquants votre site.
- Installation de Wordfence, un plugin proposant une sécurité global de votre site. Worfence propose un Pare-feu, le scan des logiciels malveillants, vérifie le trafic en temps réel, sécurise les connexions à votre site.
- Création d’un Htaccess optimisé et sécurisé permettant la protection des fichiers sensibles :
- Wp-config.php : fichier de configuration qui permet notamment de faire la liaison avec la base de données et qui affiche en clair les identifiants de connexion à cette dernière.
- Index.php: liste tous les fichiers et dossiers sur votre serveur. Il peut ainsi indiquer la présence d’un dossier de statistiques sensibles à vocation interne (destiné à votre reporting commercial mensuel par exemple)
- Debug.log : utile pour les webmasters en cas de bug, il liste toutes les erreurs qui sont survenues sur votre site après certaines actions, autant de brèches potentielles dont lesquelles un hacker peut tirer parti …
Et, pour conclure, si malgré tout cela, votre site était piraté ou infecté, les sauvegardes journalières des fichiers et de la base de données permettent une remise en ligne sur des nouvelles bases d’identification en Une heure.
Cela n’est jamais arrivé depuis que nous pratiquons les préconisations ci dessus.