English version available

WordPress est l’un des systèmes de gestion de contenu (CMS) les plus populaires. Cette popularité signifie également que c’est une cible de choix pour les pirates.
Dans cet article, je vais vous donner quelques conseils pour protéger votre site web et éviter les attaques.

1. Utiliser les dernières versions

Cela est vrai pour WordPress, mais également pour toutes vos extensions. De nouvelles versions sont disponibles régulièrement. Si un plugin n’a pas été mis à jour depuis un moment, il n’est probablement plus maintenu et vous devriez sérieusement songer à le supprimer ou le remplacer. Dans une moindre mesure, ceci est également applicable pour votre thème.
La version de PHP utilisée est également importante. Vérifiez auprès de votre fournisseur d’hébergement que vous utilisez la dernière version de PHP (7.X), en particulier, les versions 5.X ne seront plus supportées d’ici la fin de l’année.
Notez également que plus vous installez d’extensions, plus vous prenez des risques, car votre configuration WordPress reposera sur davantage de code tiers. Vous ne devriez garder que les plugins dont vous avez vraiment besoin. Si un plugin est désactivé, ne conservez pas son code source et supprimez tous les fichiers associés.

2. Utiliser des identifiants de connexion sécurisés

Ne jamais utiliser l’utilisateur admin par défaut. Si c’est votre cas, désactivez ce compte et créez votre propre compte avec un nom d’utilisateur personnalisé.
Choisissez un mot de passe complexe. Si plusieurs utilisateurs gèrent votre site Web, assurez-vous que les autorisations sont valides et évitez de donner le droit d’administration à tout le monde.

3. Scanner votre site web

C’est un moyen facile et rapide de trouver des vulnérabilités et de voir si l’un de vos plugins est vulnérable ou non. Vous pouvez utiliser ces 2 outils en ligne:

• WordPress Security Scan (mon préféré avec un rapport détaillé)
• WPSec

4. Utiliser des fichiers .htaccess pour protéger vos répertoires

Le fichier .htaccess est un fichier de configuration pour le serveur. Il vous permet de définir des règles à suivre par celui-ci.

Par exemple, dans /wp-content/uploads, j’ai créé le fichier .htaccess suivant:

# Refuser l'accès à tout par défaut
Order deny,allow
Deny from all

# Autoriser l'accès aux fichiers multimédia
<FilesMatch '\.(jpg|jpeg|png|gif|bmp|zip|rar|pdf)$'>
    Allow from all
</FilesMatch>

Cette configuration garantit que seuls les fichiers multimédias sont accessibles à partir du navigateur. Tous les fichiers JavaScript et PHP seront non accessibles. Ce n’est pas sans faille, car seule l’extension est vérifiée, mais c’est mieux que rien.

Pour éviter l’exécution de code PHP malveillants dans certains dossiers (par exemple, dans /wp-includes), vous pouvez créer un autre fichier .htaccess avec le contenu suivant:

<Files *.php>
Order allow,deny
Deny from all
</Files>

5. Vérifier les autorisations sur les fichiers et répertoires

Assurez-vous que les fichiers critiques (wp-config.php, php.ini…) ne sont pas accessibles en écriture publiquement, mais en lecture seule. Seul le propriétaire devrait pouvoir écrire.

6. Utiliser les « security headers »

Vous pouvez consulter cet outil en ligne pour connaître quels headers vous supportez actuellement.

Dans le dossier racine, mettez à jour le fichier .htaccess et ajoutez:

# Extra Security Headers
<IfModule mod_headers.c>
	Header set Strict-Transport-Security 'max-age=31536000; includeSubDomains'
	Header set X-XSS-Protection '1; mode=block'
	Header set X-Frame-Options 'sameorigin'
	Header set X-Content-Type-Options 'nosniff'
	Header unset Server
	Header always unset X-Powered-By
	Header unset X-Powered-By
	Header unset X-CF-Powered-By
	Header unset X-Mod-Pagespeed
	Header unset X-Pingback
</IfModule>

Dans le fichier wp-config.php, ajoutez:

/** Extra Security */
header('X-Frame-Options: SAMEORIGIN');
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('Strict-Transport-Security:max-age=31536000; includeSubdomains; preload');
header('Referrer-Policy: no-referrer-when-downgrade');
header('Content-Security-Policy: upgrade-insecure-requests');
header('Permissions-Policy: autoplay=(), camera=(), encrypted-media=(), fullscreen=(), geolocation=(), microphone=(), midi=(), payment=()');
header_remove('X-Powered-By');
header_remove('Server');
header_remove('X-CF-Powered-By');
header_remove('X-Mod-Pagespeed');
header_remove('X-Pingback');
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);

7. Ne pas exposer trop d’informations

Dans le dossier racine de votre site Web, dans php.ini, ajoutez la ligne suivante:

expose_php = Off

Votre version actuelle de PHP ne sera pas exposée.

8. Sauvegarder votre site régulièrement

Dernier conseil, mais non le moindre! Vous n’avez pas besoin d’un logiciel particulier ou d’un plugin supplémentaire pour y parvenir.

• Avec votre outil FTP préféré (par exemple, Filezilla), enregistrez tous les fichiers disponibles sur votre serveur.
• Pour la base de données, utilisez la fonctionnalité de sauvegarde MySQL disponible. De nombreux hébergeurs fournissent un accès à phpMyAdmin, un outil en ligne.

Je recommande de faire une sauvegarde tous les mois et de conserver l’historique des 6 dernières sauvegardes dans un endroit sûr. Bien évidemment, cela dépend du volume d’articles que vous écrivez et de l’importance de vos données.

C’est tout! Si vous avez fait tout ce qui précède, votre site Web devrait être plus résistant aux attaques. Dans le pire des cas, vous devriez pouvoir restaurer votre site facilement.

Bon blogage sécurisé!

 English version available

Quand on pense sécurité informatique, on pense souvent aux antivirus, aux pare-feu (firewall) et autres logiciels de sécurité. Bien souvent, on oublie qu’une des premières causes du piratage, et bien… c’est vous!

Mieux vaut prévenir que guérir.

Vous connaissez ce vieil adage, il s’applique aussi en informatique.

Une bonne sécurité passe d’abord par un bon mot de passe

(sans vouloir faire de jeu de mots)

• Utilisez un mot de passe différent par application. Au moins, si quelqu’un trouve votre mot de passe pour Facebook, il ne pourra pas l’utiliser pour se connecter à votre compte Twitter.




• A l’heure actuelle, beaucoup de sites (même des connus) ne chiffrent pas les mots de passe de leurs utilisateurs. Qui n’a pas déjà reçu un email contenant un rappel de son mot de passe?
  On pourrait se dire: youhou, c’est génial, si je l’oublie, je pourrais directement le retrouver dans ma boite email. Mais il faudrait mieux se dire: hum, si quelqu’un pirate ma boite email, il pourra récupérer ce mot de passe, surtout cela veut dire que mon mot de passe (en clair, non crypté) se balade quelque part dans une base de données et que l’administrateur ou d’autres personnes peuvent le voir sans problème (imaginez si le site se fait pirater).
  Malheureusement, le problème n’est pas de votre côté, mais c’est une raison suffisante pour avoir des mots de passe différents.




• Votre mot de passe ne doit être ni simple ni logique. Une date de naissance, le nom de votre animal ou de vos enfants, un mot du dictionnaire… Tout ceci est à proscrire! Les mécanismes de Force Brute (essai de toutes les combinaisons jusqu’à violation du code) en viendront à bout en un temps record (les machines sont très puissantes maintenant). Privilégiez donc les mots de passe pas trop courts contenant majuscules, minuscules et chiffres. Bien sûr, un super mot de passe tellement complexe qu’on doit l’écrire sur un post’it pour s’en souvenir n’est pas non plus la bonne solution. Il faut donc trouver le juste milieu.




• Quand c’est possible, utiliser au maximum les services d’authentification avancés. Par exemple, l’envoi d’un code de confirmation sur votre téléphone. Les plus grands comme Google ou Facebook le proposent.

Une bonne sécurité passe aussi par du bon sens

(il faut toujours être vigilant)

• Eviter de vous connecter aux réseaux WIFI gratuits publics et Hotspots, accessibles par tous. C’est particulièrement vrai lorsque vous vous connectez à des services non sécurisés. Non sécurisé dans le sens où les échanges de données ne sont pas cryptés. Un service sécurisé utilisera le préfixe ‘https’ dans l’URL (le ‘s’ est important), là encore les applications les plus connues le supportent.
  Pourquoi? Une personne mal intentionnée peut écouter et collecter toutes les données qui transitent sur un réseau public (on parle d’un sniffeur) et récupérer facilement plein d’information, c’est peu lisible, mais c’est en clair et un connaisseur pourra s’y retrouver. Dans le cas d’une recherche de vidéos de chats sur YouTube, ce n’est pas très grave, mais si vous vous connectez à une application (donc un couple identifiant/mot de passe) à partir d’un formulaire non sécurisé, ça sera tout de suite plus embêtant…




• Quand vous téléchargez des logiciels, jetez toujours un coup d’oeil à l’adresse de téléchargement.
  Par exemple, si vous souhaitez télécharger la dernière version d’iTunes, passez systématiquement par le site d’Apple, évitez les sites génériques tels que downloadfreesoftwares.com (j’invente, mais si ça se trouve il existe vraiment). Favorisez donc les sites des éditeurs ou, à la limite, des sites de téléchargement connus et réputés.




• Même chose lorsque vous utilisez des services en ligne, vérifiez bien qu’il s’agit d’une application de confiance avant de vous inscrire et de transmettre des informations personnelles.




• Faites attention à vos emails. En particulier quand vous recevez des emails étranges n’ayant pas pu être identifiés comme spam par votre logiciel de messagerie.
  Pas plus tard qu’hier, j’ai reçu un email de la part du service des impôts français pour m’informer d’un remboursement de 178.20 euros suite à une erreur (la belle affaire). L’email était tellement bien fait (pas de faute d’orthographe pour une fois) que j’ai cru à une bonne nouvelle, sauf qu’en cliquant sur le lien, je me suis aperçu qu’il y avait quelque chose qui n’allait pas. Ce n’était pas le site des impôts habituels, et surtout ils me demandaient de saisir mon numéro de carte bleue avec le code (évidemment…). C’est clairement une tentative de phishing (un leurre, de l’hameçonnage pour faire de la pêche aux informations bancaires). Une fausse page avec un formulaire classique qui reproduit à l’identique le site actuel des impôts (charte graphique, header, footer et tout ce qui va avec). Bref, on peut facilement tomber dans le panneau.




• Un dernier conseil, mettez à jour vos logiciels et applications lorsque de nouvelles mises à jour sont disponibles. Que cela soit votre navigateur, ses plugins, des logiciels installés… ou même le moteur de votre blog (si vous en avez un, j’utilise le moteur WordPress dans mon cas qui bénéficie de mises à jour plusieurs fois par an).
  Des failles de sécurités sont découvertes et corrigées tous les jours. Une faille de sécurité découverte est en général (plus elle est importante) publiée dans la presse, elle devient ainsi une porte d’entrée laissée grande ouverte pour les pirates. Je ne veux pas vous faire peur, mais souvenez-vous-en!

En suivant ces quelques bonnes pratiques au quotidien, vous devriez vous éviter pas mal de soucis! En tout cas, vous ne pourrez plus dire qu’on ne vous a pas prévenu!

Je réalise que j’ai un peu dénigré les chats dans cet article, j’espère qu’ils ne m’en voudront pas trop…