Sécurité : Les 10 meilleures actions pour protéger votre site WordPress contre le piratage (comme les redirections vers des sites de pub)

Le 02 Avril 2020
Catégorie : Sécurité, WordPress
Rated 0,0 out of 5
(0 avis)

Nous revenons vers vous aujourd’hui avec un article très important qui va parler de sécurité.

Vous voulez surement éviter que votre site WordPress subisse une redirection vers un site de pub ? Ou qu’il soit complètement hors service ?

Le sommaire

  1. Une mauvaise expérience qui peut arriver à tout le monde
  2. Utilisez des identifiants et mots de passe forts
  3. Changer l’URL de la page de connexion au back-office
  4. Sécurisez le mot de passe et changez le préfixe des tables de votre base de données
  5. Installez des extensions de sécurité (antivirus, firewall, antimalware)
  6. Mettez en place un certificat SSL
  7. Mettez en place une protection contre les Brute Force
  8. Mettez à jour régulièrement WordPress et les extensions
  9. Faites des sauvegardes régulières
  10. Masquez la version de votre WordPress
  11. Masquez les erreurs de connexion à votre back-office
  12. Conclusion

Une mauvaise expérience qui peut arriver à tout le monde

Nous ne le répèterons jamais assez, protéger un site internet est quelque chose de vital car nombreux sont les petits malins qui vont essayer d’en faire voir de toutes les couleurs à votre création.

Voici un exemple

Vous utilisez une extension qui vous plaît mais qui n’est pas régulièrement mise à jour. Elle devient obsolète et présente des failles de sécurité  permettant à des personnes mal intentionnées d’injecter du contenu dans une page.
Dès lors, le pirate peut par exemple mettre en place une redirection vers un site frauduleux, des sites de pub pour des Iphone ou des sites d’enquête visiteur annuel.

Parfois, tout le site est corrompu. D’autres fois, la redirection ne s’effectue que lorsqu’on clique sur un lien externe, comme une page Facebook ou une bio Instagram.

Vous pouvez tenter de  combattre l’infection avec de multiples scan antivirus et antimalware, en nettoyant et/ou supprimant les fichiers corrompus, mais les fichiers se régénèrent.

Il n’y a plus le choix, vous devez passer par une réinstallation complète de WordPress et du contenu du site en question pour venir à bout de cette infection.

Autant dire que le travail est monstrueux, donc comme le dit le dicton, il vaut mieux prévenir que guérir !

Passons donc en revue les 10 meilleures actions pour protéger votre site WordPress contre le piratage :

Utilisez des identifiants et mot de passe forts

A moins que vous ne vouliez être piraté régulièrement, par pitié, prenez soin d’utiliser des identifiants et des mots de passe sécurisés.

Un hacker informatique va utiliser des outils lui permettant de tester des milliers de combinaisons identifiants / mot de passe à la seconde. Si vos informations de connexion sont trop simplistes, ce sera un jeu d’enfant d’accéder à l’administration de votre site et de le corrompre.

Oubliez l’identifiant par défaut admin. Evitez même de choisir un identifiant et un mot de passe par vous-même.

Nous vous recommandons l’outil motdepasse.xyz qui, comme le montre l’image ci-jointe, vous permettra d’obtenir une chaîne aléatoire contenant des minuscules, des majuscules, des chiffres et des caractères spéciaux.

Pour encore plus de sécurité, choisissez des mots de passe long (20 à 30 caractères).

Voila quelques exemples de résultats, et c’est un premier pas réussi vers la sécurité de votre site.

Changez l’URL de la page de connexion au back-office

Lors de toute installation de WordPress, l’accès à votre interface d’administration (également appelé back-office) se fait par l’URL www.monsite.fr/wp-admin ou www.monsite.fr/wp-login.php.

Laisser en l’état cette URL de connexion sans la modifier, c’est dire à un potentiel hacker “vas y, le chemin est par la pour me pirater, fait toi plaisir !”.

Rendons leur la tâche un petit plus difficile quand même !

Une extension comme All In One WP Security & Firewall propose de faire cette modification très facilement.

Une fois l’extension installée, rendez-vous dans le sous menu “Brute Force“, et cochez la case “Autoriser le renommage de la page des réglages de connexion“.
Il ne vous reste plus qu’à saisir une chaîne de caractère aléatoire pour votre nouvelle page de connexion (nous vous recommande encore une fois l’outil motdepasse.xyz pour plus de sécurité).

Sécurisez le mot de passe et changez le préfixe des tables de votre base de données

Via votre fournisseur d’hébergement Web, vous pouvez définir le mot de passe de la base de données de votre site internet. Belote et rebelote, sécurisez au maximum le mot de passe de votre base de données pour empêcher un pirate d’y accéder facilement et d’injecter du contenu frauduleux (vous allez finir par le connaître, nous vous mettons une dernière fois le lien vers l’outil motdepasse.xyz).

De plus, dès l’installation de WordPress, vous pouvez modifier le préfixe par défaut des tables de la base de données WordPress.
Par défaut, les tables ont un préfixe commun de type “wp_xxxxxx”.

Modifiez ce préfixe pour rendre la tâche encore plus difficile aux personnes mal intentionnées qui voudraient effectuer des requêtes SQL sur votre base de données.

Installez des extensions de sécurité (antivirus, firewall, antimalware)

Comme un ordinateur ou un smartphone, un site internet a besoin d’être protégé pour qu’il soit en sécurité contre les diverses attaques potentielles.

Apprenez à toujours installer et paramétrer correctement des extensions de sécurité comme :

Mettez en place un certificat SSL

En plus de donner un avantage à votre site en terme de référencement naturel, installer un certificat SSL sur votre site WordPress permettra de protéger les données transmises par vos utilisateurs.

Le certificat SSL peut être fourni gratuitement par votre fournisseur d’hébergement Web (OVH propose gratuitement le certificat SSL Let’s Encrypt lors de l’achat d’un hébergement Web).

Pour activer le SSL sur votre site WordPress, et obtenir un joli petit cadenas dans la barre d’URL, il vous suffit de définir l’adresse de votre site web avec le protocole https:// en lieu et place du protocole http://.

Après remplacement de l’URL de votre site, il sera surement nécessaire de procéder à la modification de toutes vos URL en base de donnée, et pour cela un script comme Database Search and Replace fera très bien le travail :).

Mettez en place une protection contre les Brute Force

Qu’est ce qu’une attaque par Brute Force ?

Nous vous en parlions lors du point de sécurité N°1 sur la sécurité des identifiants et mots de passe.

L’attaque par Brute Force consiste à essayer de se connecter à un compte de manière illégale en essayant une multitude de combinaisons et en espérant finir par trouver la bonne combinaison pour cracker un identifiant et un mot de passe.

Aussi complexe et aussi long soit il, un mot de passe peut finir par être cracké si on laisse la possibilité au pirate de tester un nombre infini de combinaisons.

Pour empêcher cela, la technique est assez simple : Bloquer l’adresse IP de l’utilisateur pendant un temps donné lorsqu’il se trompe plusieurs fois de mot de passe.

L’extension All In One WP Security & Firewall vous permet également de bloquer les attaques par Brute Force.
Rendez-vous dans le sous menu “connexion”, et vous pourrez entre autres :

  • Activer le verrouillage automatique de connexion.
  • Définir le nombre de tentatives de connexion avant de verrouiller une adresse IP.
  • La durée du verrouillage.
  • Etre notifié par email si une adresse IP a été bloquée.

Mettez à jour régulièrement WordPress et les extensions

WordPress permet de fournir une base de site Internet mais il s’auto suffit rarement.
Pour faire fonctionner votre site selon vos envies et vos besoins, vous aurez souvent besoins de plusieurs extensions.

Ces extensions sont un atout pour votre site, mais elles peuvent aussi devenir une faille de sécurité si elles ne sont pas entretenues.

Lorsque vous installez une extension, vérifiez toujours que cette dernière est mise à jour régulièrement par son développeur.

Si une extension est laissée à l’abandon, il est fort probable qu’avec le temps, des failles de sécurité apparaissent et que l’extension devienne une porte d’entrée facile à votre site pour les personnes mal intentionnées.

Et pour entretenir correctement votre site WordPress, pensez à installer les mises à jour dès qu’elles sont proposées dans votre panneau d’administration WordPress.

Faites des sauvegardes régulières

On a beau faire tout ce qu’on peut en terme de sécurité pour son site, il n’est pas impossible que le pire se produise et que votre site subisse une attaque qui le rend instable, voir même inaccessible.

C’est pourquoi nous vous recommandons de faire très régulièrement des sauvegardes de l’ensemble de votre site WordPress.

Et heureusement, pour gagner du temps, il existe des extensions capable de gérer cela automatiquement.

Chez Monsieur Site Web, nous utilisons et recommandons l’extension UpdraftPlus WordPress Backup Plugin qui va vous permettre de paramétrer une sauvegarde complète et automatisée de votre site, à la fréquence de votre choix.

Atout supplémentaire, cette extension permet d’exporter les fichiers de sauvegarde vers un service de stockage distant (sur le Cloud).

L’application fonctionne avec de nombreux services Cloud comme DropboxGoogle CloudGoogle DriveOneDrive et bien d’autres.

En cas de piratage de votre site, vous pourrez facilement restaurer une sauvegarde effectuée avant le piratage et rendre votre site de nouveau sain et fonctionnel.

Masquez la version de votre WordPress

Laisser publique la version de WordPress que vous utilisez pour faire tourner votre site, c’est donner encore une fois une information gratuite au potentiel pirate, qui connaît les failles de sécurité de chaque version de WordPress et qui va pouvoir dès lors les exploiter plus facilement.

Si vous n’avez pas créé de thème enfant pour votre site WordPress, nous vous encourageons vivement à lire mon article “Créer un thème enfant sur WordPress, une étape primordiale“.
Et pour masquer votre version de WordPress, rien de plus simple, il vous suffira juste d’ajouter une ligne de code dans votre fichier functions.php de votre thème enfant :

				
					// Masquer la version de WordPress
remove_action('wp_head', 'wp_generator');

Votre version de WordPress est désormais masquée, et un pas de plus vers la sécurité est réalisé !

Masquez les erreurs de connexion à votre back-office

Imaginons le cas de figure ou vous avez appliqué toutes les recommandations que nous vous avons précédemment fournies.
Mais malheureusement, votre ennemi le pirate arrive à trouver l’URL de connexion à votre back office.

Il va tenter une attaque par Brute Force, mais dès la 2ème tentative, le message d’erreur suivant apparaît à l’écran : “Ce mot de passe ne correspond pas à l’identifiant Monsieur Site Web”.

Ce message d’erreur lui donne une information gratuite. Il sait désormais qu’il a trouvé votre identifiant de connexion et qu’il ne lui reste plus qu’à trouver le mot de passe.

Ne lui simplifions pas la tâche !

Supprimons ces messages d’erreur pour ne pas l’aider dans sa conquête de votre back office !

Pour cela, il faudra encore manipuler le fichier functions.php de votre thème enfant et ajouter les lignes suivantes :

				
					//Masquer les messages d'erreurs de connexion au back office
function ma_fonction_suppression_derreurs()
{
    // On choisit une phrase personnalisée
    return "Désolé, mais vous vous êtes trompé d'identifiant et/ou de mot de passe !";
}
add_filter('login_errors', 'ma_fonction_suppression_derreurs');

Désormais, le seul message qui s’affichera en cas d’erreur sera la phrase que vous aurez vous-même saisi dans la fonction personnalisée de votre fichier functions.php.

La conclusion !

Dans tous les domaines du numérique, il y a un perpetuel jeu du chat et de la souris entre les acteurs de la sécurité et les hackers.

Les hackers trouvent de nouvelles méthodes pour accéder / modifier / écraser vos données, et les acteurs de la sécurité mettent en place des correctifs pour palier à ces nouvelles méthodes.

Le but, pour conserver un environnement WordPress sécurisé, est de laisser le moins de chance possible à un pirate d’accéder à votre site.

Plus votre site sera sécurisé, plus le hacker sera découragé.

Dès lors, il passera son chemin pour aller chercher un site moins sécurisé à pirater.

Et croyez moi, des sites présentant des failles de sécurité, il y en a plein sur la toile !

Bon courage dans vos paramétrages de sécurité, car nous sommes bien conscient que ce n’est pas la partie la plus sympa lors du développement d’un site internet, mais ça reste très important d’y consacrer du temps !

Les tags

Back-officeBase de donnéesMysqlPHP

A bientôt pour de nouvelles astuces ! 🙂

Vous avez aimé cet article ? Vous pouvez

Le partager avec votre communauté

ou
ou

Nous laisser votre commentaire pour nous en dire plus

Laisser un commentaire

Articles similaires

Personnaliser le formulaire de validation de commande Woocommerce

Le tunnel de vente d’un site E-commerce est extrêmement important pour que les ventes se convertissent.
Une page de validation de commande trop succincte, peu réfléchie, ou au contraire une page surchargée aura un impact négatif sur vos ventes.
Découvrons ensemble comment personnaliser la page de checkout pour offrir une expérience utilisateur optimale à vos clients.

Lire l'article

Pourquoi nous avons créé notre plugin Monsieur Site Web

WordPress est magique, certes !
Mais pour réaliser un site internet professionnel, WordPress à quelques inconvénients et certaines fonctionnalités nécessaires doivent être ajoutées sur chaque site internet.
C’est pourquoi chez Monsieur Site Web, nous avons créé notre propre plugin qui nous permet d’effectuer des actions de manière automatique sur votre futur site.
Découvrons en détails le fonctionnement de notre plugin.

Lire l'article

Les commentaires

Aucun commentaire enregistré. Soyez le premier à laisser un commentaire.

Laisser un commentaire