Ayant passé plusieurs années dans la création de sites WordPress et à me faire pirater régulèrement, je vous partage quelques conseils qui vous seront je l’espère efficaces contre le piratage de votre site WordPress ou non.
Lors de mes demandes de réparation et dépannage de site WordPress je suis parfois amené à régler des problèmes de hacking de site, voici donc quelques points à respecter pour avoir un site en forme. En bref :
- Bien mettre à jour WordPress et ses plugins
- Supprimer les plugins non-utilisés
- Vérifier régulièrement la liste des utilisateurs
- Configurer un plugin de sécurité
- Modifier vos mots de passe
- Changer les constantes
- Déplacer le fichier wp-config.php
- Attention aux e-mail de Phishing
- Sauvegarder régulièrement
Vérifier et mettre à jour WordPress et ses plugins
La mise à jour automatique de WordPress est une option très pratique car elle permet de ne pas se soucier de maintenance de son site et de ses plugins.
Besoin de faire sécuriser un site wordpress ou réparer un site wordpress ? Contactez-moi
Mais attention, certains plugins ne sont pas pris en compte car il ne sont juste plus du tout maintenus, et pour cause, par faute de temps ou toute autre raison l’équipe en charge du developpement d’une extension (ou d’un theme) peut soudainement cesser la maintenance de son code et donc de la correction des bugs.
Au delà de mettre à jour les plugins régulièrement, il faut également vérifier que ces plugins aient été mis à jour recemment, surtout pour des fonctionnalités sensibles, celles qui contiennet des formulaires, celles qui touchent à la gestion des comptes utilisateurs ou de l’accès à l’administration. Toutefois, certains petits plugins utilitaires peuvent ne pas avoir besoin de mises à jour pendant plusieurs mois sans soucis.
Dans le cas d’un plugin trop ancien (plus d’un an ), il sera peut-être necessaire de partir à la recherche d’une alternative.
La règle générale est de toujours maintenir à jour WordPress, les plugins et les thèmes.
Supprimer les plugins non-utilisés
Même inactifs, certains plugins peuvent être un point d’entrée pour un hacker. Puisque vous ne les utilisez pas, il est préférable de supprimer clairement et simplement les extensions désactivées. Il en est de même pour les thèmes, même si personnellement je vous conseillerai d’en garder un de base, comme « twentytwentythree » par exemple.
Une bonne pratique pour limiter les risques de piratage est de réduire au minimum le nombre de plugins installés par un site WordPress; mais celà dépend évidemment de vos besoins en fonctionnalités.
Vérifier régulièrement la liste des utilisateurs
Lorsque vous suspectez le hacking de votre site, une des premières choses que vous pouvez faire est de vérifier la liste des utilisateurs de votre site. En effet, même si vous êtes seul à administrer le site, certaines failles peuvent permettre la création d’utilisateurs nuisibles sans que vous vous en rendiez compte.
Besoin de faire sécuriser un site wordpress ou réparer un site wordpress ? Contactez-moi
Et si vous avez un site muti-utilisateur, il faut bien vérifier que tous les utilisateurs aient le bon rôle avec les bons accès. Pour gérer les accès des utilisateurs, vous pouvez utiliser l’extension Use Role Editor
Configurer un plugin de sécurité
Un plugin dedié à la sécurité de votre site peut être installer pour vous aider à :
- Bloquer certains ressources sensibles ( ex : Accès à la liste des utilisateurs )
- Vérifier les attitudes étranges et bloquer automatiquement certaines adresse IP.
- Verrouillage de l’identifiant en particulier comme admin.
- Détecter les connexions invalides.
- Sauvegarde automatiquement de la base de donnée ou des fichiers.
- Vérifications des droits d’accès aux dossiers sur le serveur.
Les extensions WordPress que je peux vous conseiller en 2022 sont itheme security que j’utilise très souvent et word fence que je croise régulièrement sur les sites de mes clients.
Pensez à modifier vos mots de passe
Comme pour d’autres domaines de la vie courante, il est possible de prévoir un nettoyage de printemps, dans lequel vous verifiez que les plugins ne soient pas trop datés et pensez à modifier régulièrement vos mots de passe.
Si vous travaillez en collaboration, il est conseillé de créer un accès par personne et si besoin de supprimer cet accès une fois leur intervention terminée.
Besoin de faire sécuriser un site wordpress ou réparer un site wordpress ? Contactez-moi
Pour se prémunir de problèmes de sécurités futurs, vous pouvez modifier votre mot de passe admin tous les ans, modifier les accès de votre hebergeur et celles de la base de donnée.
Si votre site vient d’avoir des ennuis, n’attentez pas et faites les changements de mot de passe dès maintenant.
Changer les constantes pour brouiller les pistes
Modifier le nom des dossiers par defaut de wordpress. Pour cela il faut modifier les constantes dans wp-config.php :
Changer les dossiers par defaut de WordPress
Modifier le nom du dossier /wp-content , ce qui aura pour effet de modifier le dossier des plugins, des themes et des uploads :
define( 'WP_CONTENT_DIR', dirname(__FILE__) . '/content' );
Modifier le nom du dossier /wp-content/plugins :
define( 'WP_PLUGIN_DIR', dirname(__FILE__) . '/addons' );
Interdire l’ajout de plugins ou de themes :
define( 'DISALLOW_FILE_MODS', true);
Modifier le nom du dossier uploads :
define( 'UPLOADS', 'media');
Autres constantes utiles
Ajouter une corbeille pour les médias :
define( 'MEDIA_TRASH', true );
Forcer la filtration des fichiers envoyés :
define( 'ALLOW_UNFILTERED_UPLOADS', FALSE );
Interdire l’ajout de plugins ou de themes :
define( 'DISALLOW_FILE_MODS', true);
Changer le nom des tables MySQL des utilisateurs
define( 'CUSTOM_USER_TABLE', $table_prefix.'my_users' ); define( 'CUSTOM_USER_META_TABLE', $table_prefix.'my_usermeta' );
Spécifier un nouveau dossier de theme
Dans un plugin, ajoutez cette ligne
register_theme_directory( dirname( __FILE__ ) . '/themes' );
Déplacer le fichier wp-config.php
Peu de personnes le savent, mais WordPress est conçu pour rechercher le fichier de configuration à d’autres endroits sur le serveur, dans le cas où il ne se retrouverait pas dans le dossier du site. et pour cela il va aussi rechercher le fichier dans les dossiers parents au site.
Ainsi il est possible de déplacer wp-config.php en dehors du dossier du site, et ceci sans aucune manipulation complexe.
Exemple :
- Votre site se trouve sur le FTP dans le dossier suivant : /htdocs/www/monsite,
- Le fichier peut être déplacé en amont, dans : /htdocs.
- Ainsi, un utilisateur FTP dedié à votre dossier /htdocs/www/monsite n’aura pas accès aux dossiers parents et ne pourra donc pas accéder à wp-config.php.
Pratique pour brouiller les pistes !
Attention aux faux e-mails (Phishing)
Au delà de l’aspect technique, il est important de protéger ses informations de connexion à son propre sitebiensur mais aussi protéger les accès à son hebergeur.
Afin d’éviter de dévoiler par erreur vos informations de connexion, il faut faire très attention aux faux e-mails provenant de WordPress ou de votre Hebergeur.
En accédant au compte admin du site WordPress il est tout à fait possible de modifier les fichiers et biensur de modifier les pages pour y insérer des codes malveillants. Attention à ne pas cliquer sur n’importe quel lien provenant d’un e-mail.
Imaginez que quelqu’un ait accès à votre compte d’hebergement chez (OVH, ou Ionos), cette personne aurait accès à l’ensemble de votre site, aux fichiers et à la base de donnée comprise. Préferez toujours vous rendre directement sur le site de votre hebergeur plutot que de cliquer sur un lien dans un e-mail.
Le plan B : Sauvegarder régulièrement
Enfin, admettons que malgré toutes ces précautions votre site se soit quand même fait piraté, il serait bien de pouvoir remettre le site en ligne le cas échéant et pour cela vous devez avoir des sauvegardes. La sauvegarde doit contenir 2 choses : les fichiers et la base de donnée.
Il est assez courant que votre hebergeur propose la sauvegarde de la base de donnée automatique à différents moments, à j-1, j-7 et parfois 1 mois avant, en récupérent cette sauvegarder auprès de votre hebergeur vous pourrez facilement restaurer vos données.
Si vous faites appel à un plugin pour la sauvegarde des fichiers, l’enregistrement de vos fichiers sur un outil de cloud est souvent une option payante. Si vous ne mettez pas votre site à jour très régulièrement, le dossier le plus important à conserver est /wp-content/uploads (sauf si vous avez modifié les constantes vue plus haut) car il contient tout les médias de votre bibliothèque, le plus souvent triés par dates.
Https ne sécurise pas votre site
Contrairement à certaines idées reçues, le protocole HTTPS ne sécurise pas un site contre les risques de piratages. C’est un protocole de communication qui protège l’intégrité des informations échangées entre l’utilisateur et le serveur web. Il sécurise le canal mais rien n’empêche qu’une faille soit exploitée soit au niveau du site internet ou bien même au niveau de l’utilisateur.
Aujourd’hui avoir une adresse en HTTPS est indispensable et facile à mettre en place. Mais insuffisant pour protéger son site du piratage.
Une question, besoin de sécuriser votre site ?
Sachez enfin que si vous souhaitez de l’aide pour votre site WordPress je peux vous accompagner, pour cela il suffit de me contacter.