#1 Des sauvegardes quotidiennes tu feras.
Backup, backup et backup : c’est l’ultime mesure de sécurité que tout site et application sur le Web doit mettre en œuvre. Si ça tourne mal, la sauvegarde de la veille fera l’affaire.
#2 Ton WordPress tu garderas à jour.
Le CMS, les extensions et les thèmes doivent systématiquement être mis à jour au fur et à mesure de la publication de nouvelles versions. C’est la seule manière d’obtenir les correctifs de sécurité indispensables.
#3 Seules les extensions vraiment indispensables tu installeras.
Limiter le nombre d’extensions installées réduit le risque de se retrouver avec un script vulnérable. Accessoirement, cela limite aussi la lourdeur du site, facilite sa gestion, évite l’incompatibilité possible entre différentes extensions… bref, sur WordPress : less is more.
#4 Ton identifiant et ton mot de passe tu blinderas.
Non, l’identifiant « toto » avec le mot de passe « 123456 » n’est pas une bonne idée. Votre prénom, date de naissance et d’autres informations personnelles sont aussi sans doute déjà sur Internet. Un identifiant complexe (non publique) associé à un mot de passe encore plus complexe (12 caractères variés minimum!) assurera l’essentiel. Pour un accès davantage sécurisé, l’authentification à 2 facteurs (2FA) peut être mise en place, mais il faudra installer une extension supplémentaire.
#5 Les permissions sur les fichiers importants tu restreindras
Par défaut les droits sur les fichiers et dossiers de WordPress devraient être les suivants :
Il est possible de limiter davantage ces droits d’accès ; une bonne pratique consiste par exemple à interdire en lecture le fichier wp-config.php pour le public (chmod 640) ou pour le public ET le groupe (chmod 440). Attention toutefois à ne pas empêcher complètement le serveur d’écrire dans les dossiers et les fichiers du site, sinon aucune installation de thème ou de plugin et aucune mise à jour ne sera possible.
#6 Une connexion sécurisée (HTTPS) exclusivement tu permettras.
Aujourd’hui un certificat SSL doit être inclus dans une offre d’hébergement de base (si ce n’est pas le cas : fuyez !). Merci Let’s encrypt qui a contribué à la généralisation de l’adoption du https. Souvent activé par défaut sur les nouveaux domaines (si ce n’est pas le cas, référez-vous à la documentation de votre hébergeur pour sa mise en place), il faudra aussi ajouter quelques lignes au fichier .htaccess de WordPress pour s’assurer que les liens http soient bien redirigés vers https.
#7 Ton .htaccess tu peaufineras
Une portion du fichier .htaccess qui se trouve à la racine du site est gérée par WordPress. En plus de la ré-écriture d’URL et du passage du site en https, il est courant d’ajouter à ce fichier quelques règles qui agiront comme un firewall. Mais attention de ne pas non plus surcharger ce fichier : cela peut dégrader les performances de votre site.
#8 Une extension de sécurité tu installeras. Ou pas.
Il existe plusieurs extensions dédiées à la sécurité d’un site WordPress. Wordfence et Sucuri sont les plus souvent citées. Wordfence propose une version gratuite complète : en plus de règles de firewall applicatif, elle scanne les fichiers du site à la recherche de malwares, compare les fichiers du site avec les fichiers WordPress originaux, vérifie qu’il n’y a pas de vulnérabilités connues, empêche les attaques par brute force, limite les tentatives d’accès à l’administration, etc. Pour bénéficier de la meilleure protection, une version premium sous forme d’abonnement est commercialisée. L’installation de la version gratuite est très (trop?) souvent conseillée ; si une faille de sécurité activement exploitée était découverte, Wordfence ne vous en protégerait qu’au bout de 30 jours avec ce type de compte… Les performances de votre site seront aussi impactées par son installation. WordPress étant sécurisé par défaut, si vous suivez les autres conseils de cette page l’installation et la configuration de Wordfence n’a rien d’obligatoire. A vous de voir.
#9 Le préfixe des tables de la base de donnée WordPress tu changeras
C’est un paramètre simple à modifier, qui n’a aucun impact sur le fonctionnement du site, et qui peut, dans certains cas, empêcher votre site d’être piraté. pourquoi s’en passer ? Il est aussi possible de limiter les droits d’accès des tables de la bases de données pour blinder un peu plus son site ; mais c’est peu pratique à l’usage.
#10 Depuis un ordinateur sécurisé et à jour tu te connecteras
Se rendre sur des sites louches ou télécharger des fichiers piratés est une mauvaise idée, surtout quand on utilise le même ordinateur pour se connecter avec FileZilla à son espace Web ou si on a enregistré dans son navigateur le mot de passe d’accès à l’administration de WordPress. Des virus informatiques ont déjà permis la récupération d’identifiants de connexion stockés localement, et en conséquence le piratage de nombreux sites internet.
Donc, son ordinateur :
- on le met à jour (le système d’exploitation doit recevoir les mises à jour de sécurité)
- on utilise un antivirus
- on évite les sites louches, les fichiers piratés et les logiciels contrefaits.
- on ne se connecte pas sur le wifi en libre accès des hôtels, restaurants, etc.
- on ouvre pas les emails d’expéditeurs inconnus
- on adopte l’authentification à 2 facteurs pour se connecter à ses services en ligne : emails, administration de l’hébergement Web, etc.
Ces quelques préconisations, certes non exhaustives mais essentielles, devraient vous permettre d’assurer à votre site WordPress une sécurité relative. Car en réalité, la sécurité informatique n’est jamais que relative. D’où l’importance du #1 : backup, backup et backup !
Laisser un commentaire