Sécuriser son site WordPress : les indispensables !
Votre site WordPress est en ligne, vous effectuez l’actualisation des contenus pour assurer votre présence digitale. Vous avez besoin de communiquer régulièrement sur votre marque, vos produits.
En clair, vous boostez votre ranking et votre notoriété, et c’est tant mieux !
Mais quoi de pire que d’être privé de sa vitrine web, si une faille de sécurité survient !
Pour assurer un fonctionnement optimal du site, il faut l’entretenir mais en respectant un certain nombre de bonnes pratiques qui concernent à la fois le concepteur de votre site, et vos équipes de contributeurs / webmasters.
Les experts WordPress Advisa mettent en œuvre les indispensables de la sécurité sur tous les projets WordPress menés : hébergement, mises à jour régulières, sauvegardes, accès restreints …. bref tout est passé au crible.
Ici nous faisons le point sur les aspects techniques, à cela s’ajoutent les bonnes habitudes à avoir en tant que webmaster de son site.
WordPress : le CMS victime de son succès
La dernière étude menée par Gigapress fait état d’une domination du marché des CMS par WordPress. Si c’est le CMS le plus utilisé c’est aussi le plus exposé aux attaques, bien que la plupart des failles de sécurité restent le fait d’erreurs de manipulations humaines plus que de défauts dans le cœur WordPress.
Le danger se cache donc ailleurs.
Les plugins WordPress : une des clés d’entrée des acteurs malveillants
Le cœur de WordPress lui-même est sécurisé. Mais l’écosystème exponentiel des plugins vulnérables représentait 55,9% de tous les points d’entrée connus pour les acteurs malveillants (étude 2017 Sucuri).
Fort de ce constat, il est important pour un concepteur de site WordPress de mettre en place une série de configurations et environnement respectant certaines bonnes pratiques clés.
Un hébergement sécurisé
En optant pour un hébergement sécurisé proposé par un prestataire spécialisé dans le domaine comme Advisa, la sécurité de votre site sera garantie.
En fonction du volume de votre projet, vous pourrez opter pour un hébergement mutualisé ou dédié. Une architecture web sécurisée permet de segmenter les rôles ainsi que les fonctions des serveurs et de réduire le risque de contamination de la plateforme d’hébergement. Idéalement, un blocage de l’accès à certains dossiers sur le FTP est aussi à effectuer.
Paramétrage de la base de données et sauvegardes régulières
Les données d’un site web étant stockées dans une base de données ouverte sur le serveur d’hébergement, elle est tout autant la cible d’attaques.
Pour s’en prémunir, il faut modifier le mot de passe par défaut, ne pas exposer le service de base de données à une IP publique, supprimer tout ce qui ne servira pas dans le cadre de votre site comme les comptes inutiles pour ne conserver que le compte administrateur principal ou encore la base de données d’exemple.
Il est aussi utile d’activer les journaux d’activités ou logs qui permettront de mieux analyser la situation et de prendre les mesures nécessaires en cas de rupture de services, et si possible de les copier à intervalles réguliers sur un serveur distant.
Il est important de s’assurer que les privilèges fournis aux utilisateurs de la base de données sont en adéquation avec le besoin fonctionnel (lecture, écriture, suppression) tout comme de chiffrer les données lors de phases particulières d’écriture (stockage de données sensibles de l’utilisateur comme son numéro de sécurité sociale), sans oublier de sécuriser les clés de chiffrement en les stockant hors du serveur de base de données.
L’infrastructure robuste et sécurisée de votre site étant mise en œuvre, c’est à l’équipe de développement d’opter pour des extensions fiables.
Les points clés de la configuration de votre socle WordPress
Les plugins et extensions pour WordPress sont nombreux, mais tous ne sont pas fiables. Lors de leur sélection pour répondre à une fonctionnalité du projet, il est préférable de contrôler si d’autres professionnels les recommandent également avant de les installer.
Lors de la configuration du socle, la désactivation de l’éditeur du code en backoffice et la définition des clés de sécurité dans le fichier wp-config sont des actions de sécurisation intéressantes pour se prémunir du piratage.
La mise en place d’un fichier .htaccess servant principalement à protéger des répertoires par des mots de passes permettra aussi de protéger l’accès à certains contenus ou à bannir une adresse IP dans le cas d’une personne mal intentionnée laissant de mauvais commentaires sur votre site.
Si ces bonnes pratiques font partie des process de nos équipes de développement, il appartient aussi aux utilisateurs des sites de sécuriser leur matériel, leur réseau wifi particulièrement vulnérable si non protégé par un mot de passe, de mettre à jour régulièrement leur navigateur et leurs mots de passe et de sauvegarder leurs données.