Sécurité WordPress : le gros guide pour protéger son site du piratage

Aujourd’hui, nous allons parler sécurité WordPress et surtout, de la manière dont se protéger du piratage de WordPress autant que possible.

WordPress est une plateforme idéale pour créer son blog mais comme beaucoup de CMS, il est exposé aux risques de piratage car sa structure reste la même pour tout le monde. Que votre blog soit gros ou petit, connu ou pas, blanc ou rose fluo, vous avez des dossiers qui s’appellent « wp-admin », « wp-content », « wp-includes », etc. Et les pirates le savent bien ! C’est pourquoi il est important de rappeler quelques conseils pour se protéger du piratage de WordPress.

Dans ce guide, voici les sujets qui vont être abordés :

• Quels blogs sont concernés par le piratage ?
• Comment sauvegarder son blog pour ne pas perdre le contenu en cas de piratage ?
• Mettre à jour son blog
• Comment modifier le nom d’utilisateur par défaut pour se protéger ?
• Comment cacher la version de ses plugins WordPress ?
• Comment masquer l’administration de WordPress (wp-admin) ?
• Aller encore plus loin : autres formes d’attaques et accès aux dossiers
• Quels plugins et outils pour protéger son blog WordPress du piratage ?

Vous pouvez soit lire ce guide dans son intégralité, soit accéder directement à la partie qui vous intéresse en cliquant sur chaque lien.

Qui peut vouloir pirater mon blog WordPress ?

Les blogueurs débutants imaginent souvent qu’il faut être très connu et influent pour être victime d’un piratage. On pense aussi parfois que le piratage est causé par des personnes jalouses qui souhaitent vous nuire.

En réalité, la plupart des situations de piratage correspondent à des attaques en série, menées à grande échelle. Des individus mal intentionnés vont par exemple cibler tous les blogs qui utilisent un plugin particulier qui présente une faille de sécurité et vont essayer d’exploiter cette faille pour s’introduire dans votre blog.

Pour quoi faire ? La plupart du temps, le piratage de WordPress va permettre à ces personnes d’utiliser votre site pour envoyer du spam.

En résumé, elles vont exploiter votre installation et vos ressources pour envoyer des milliers d’e-mails ou effectuer d’autres actions illégales (collecter des données personnelles, miner des cryptomonnaies, etc). Vous l’aurez compris, ce qui compte pour ces pirates n’est donc pas votre identité mais plutôt la perspective de pirater un maximum de blogs afin de servir leur objectif final.

Pensez toujours à sécuriser votre blog, si petit et modeste soit-il à vos yeux !

Note : Si vous n’avez pas envie de plonger (longuement) dans la sécurité WordPress, vous pouvez directement accéder à cette sélection de plugins et d’outils qui permettent de sécuriser son blog.

Comment sauvegarder son blog pour ne pas perdre le contenu ?

Avant de chercher à protéger son site du piratage, il me paraît primordial de prendre l’habitude de le sauvegarder régulièrement.

Pourquoi le piratage de WordPress fait-il autant de dégâts ? C’est avant tout parce qu’il risque de vous faire perdre des semaines voire des mois de travail. On peut nettoyer un site piraté mais il est parfois impossible de restaurer son contenu si on ne dispose pas d’une sauvegarde « saine ».

A lire aussi – Guide complet pour sauvegarder son blog

La sauvegarde doit porter sur deux aspects :

• La base de données du blog : c’est dans cette base de données que sont stockés les commentaires, le texte de vos articles, vos réglages personnalisés, etc.
• Les fichiers du blog : ce sont par exemple les photos que vous avez mises en ligne, les fichiers de votre thème, etc.

Vous avez plusieurs méthodes à votre disposition pour effectuer une sauvegarde.

Sauvegarder son blog à la main

Commencez par créer un dossier sur le bureau de votre ordinateur et datez-le, c’est la meilleure manière de ne pas conserver d’anciennes sauvegardes pour rien. Ensuite, connectez-vous à votre client FTP (là où vous avez transféré les fichiers d’installation de WordPress). Vous pouvez soit copier l’intégralité des fichiers, soit copier le dossier wp-content, le fichier .htaccess s’il existe et le fichier wp-config.php (qui contient les informations de connexion à la base de données, etc.).

Faites simplement un clic droit sur chaque dossier puis cliquez sur Télécharger pour le transférer sur votre disque dur.

Ensuite, connectez-vous à l’administration de vos bases de données : votre hébergeur a dû vous donner ces informations de connexion quand vous avez créé votre blog. Chez l’hébergeur OVH par exemple, ça se passe sur phpmyadmin.ovh.net/.

Une fois connecté, cliquez sur le nom de la base de données dans la colonne de gauche puis sur « Exporter » dans le menu de droite (cf zone en jaune ci-dessous). Validez ensuite en cliquant sur « Exécuter », sans modifier les options. Un fichier se terminant par l’extension « .sql » va se télécharger sur votre disque dur.

Sauvegarder son blog avec un plugin

Il existe de nombreux plugins de backup pour WordPress, notamment UpdraftPlus Backup and Restoration : il gère à la fois les sauvegardes de fichiers et celles de la base de données, est régulièrement mis à jour et très bien noté par ses utilisateurs. Vous pouvez retrouver sur No Tuxedo un tutoriel pour installer et paramétrer UpdraftPlus Backup.

Confier la sauvegarde à son hébergeur

Certains hébergeurs proposent une sauvegarde automatique des fichiers et de la base de données à intervalle régulier. Ça n’empêche pas de faire soi-même des sauvegardes de temps en temps mais c’est un gage de tranquillité d’esprit.

Si votre hébergeur le propose, il est généralement possible de restaurer cette sauvegarde en un clic depuis l’administration de votre compte. Souvent, plusieurs jeux de sauvegarde sont conservés, de telle sorte que si la dernière sauvegarde en date correspond à une version piratée du blog, vous pouvez choisir une sauvegarde antérieure qui est saine.

A quelle fréquence sauvegarder son blog ?

Tout dépend de votre fréquence de publication et du temps consacré à l’écriture de vos articles. Si chaque article vous demande des heures de travail, vous pouvez avoir envie de faire une sauvegarde systématique à chaque nouvelle publication. A l’inverse, si vous publiez plutôt des articles courts, vous pouvez opter pour une sauvegarde par semaine. C’est vraiment à vous d’évaluer ce paramètre.

Quelques conseils tout de même : en général, on sauvegarde les fichiers et la base de données à des fréquences différentes.

• La base de données s’enrichit à chaque nouvelle publication d’article ou de commentaires et elle est très rapide à sauvegarder, vous pouvez donc le faire souvent (une ou deux fois par semaine par exemple si vous publiez souvent).
• Le transfert de fichiers est plus long : vous pouvez donc le faire moins fréquemment (1 ou 2 fois par mois par exemple).

Par ailleurs, gardez cette sauvegarde dans un endroit différent de votre FTP (sur votre disque dur, un disque externe, dans le cloud). Si de vils pirates récupèrent un accès à votre FTP et que la sauvegarde s’y trouve, elle n’aura servi à rien !

Mettre à jour son blog

Les plugins WordPress, tout comme WordPress lui-même, sont régulièrement mis à jour. Vous devez suivre le rythme de ces mises à jour.

Parfois, les nouvelles versions se contentent de réparer de petits bugs qui ne vous concernent pas… mais parfois, elles corrigent aussi des failles de sécurité qui ont été signalées par des utilisateurs. Continuer à utiliser un plugin « dépassé », c’est s’exposer à ce qu’un pirate utilise ces failles.

On peut attendre un jour ou deux pour installer les mises à jour afin de voir si certains utilisateurs signalent un problème mais mieux vaut les faire rapidement. De même, ne conservez pas sur votre blog un plugin que vous n’utilisez plus, même s’il est inactif.

Certains plugins ne sont plus du tout « suivis » par leur créateur. Le répertoire des extensions WordPress le signale généralement par ce message : « Cette extension n’a pas été testée avec plus de trois mises à jour majeures de WordPress. Elle peut ne plus être maintenue ou supportée et peut avoir des problèmes de compatibilité lorsqu’elle est utilisée avec des versions de WordPress plus récentes ».

Soyez très vigilant avec ce genre de plugin, qui peut être périmé (et donc dangereux pour la sécurité WordPress).

A lire aussi – Bien gérer ses plugins WordPress

Comment modifier le nom d’utilisateur par défaut pour se protéger ?

La manière la plus simple de prendre le contrôle de votre blog WordPress est de connaître votre nom d’utilisateur et votre mot de passe.

Or, par défaut, quand vous installez WordPress, votre nom d’utilisateur est « admin ». Il est important de le changer, de préférence en choisissant un nom différent de votre nom de blog pour qu’il soit difficile à deviner. De même, il est primordial de choisir un mot de passe compliqué.

L’attaque par force brute : le piratage de WordPress le plus fréquent

L’attaque par force brute fait partie des formes de piratage de WordPress les plus courantes : le pirate utilise un logiciel pour tester différents mots de passe de manière automatique. Pour vous donner une idée, un ordinateur personnel peut tester jusqu’à quelques millions de mots de passe par seconde avec ce type d’attaque… et :

• Pour un mot de passe de 6 lettres minuscules, il y a près de 309 millions de combinaisons possibles.
• Pour un mot de passe de 6 lettres qui mélange majuscules et minuscules, on passe à plus de 2 milliards de combinaisons possibles.
• Pour un mot de passe de 6 caractères mélangeant lettres minuscules, majuscules et chiffres, on passe à 56 000 000 000 combinaisons possibles.
• Si vous ajoutez de la ponctuation, votre mot de passe devient quasiment impossible à pirater par ce biais.

De l’extérieur, une attaque par force brute peut être totalement invisible. Pour la voir, il faut aller dans les logs de son blog : les logs sont des fichiers qui enregistrent en temps réel TOUT ce qui se passe sur votre site. Quelles pages sont consultées, quels fichiers sont téléchargés, etc.

La plupart du temps, on ne va pas lire les logs car ils sont plutôt indigestes. Cependant, quand on suspecte un problème sur son blog, les logs peuvent aider à comprendre l’origine du dysfonctionnement. Pendant une attaque par force brute, voici à quoi les logs ressemblent :

La même adresse IP (198.144.36.230), c’est-à-dire le même ordinateur, essaie de manière répétée d’accéder au fichier wp-login.php qui permet de se connecter à l’administration du blog. Si votre mot de passe est très complexe, il sera presque impossible de le deviner avec ce type d’attaque. Vous pouvez définir un nouveau mot de passe en allant dans la rubrique Utilisateurs > Votre profil de votre blog WordPress.

Renommer le compte « admin »

Si vous renommez le compte administrateur par défaut, vous compliquerez encore plus la tâche des pirates. La manière la plus simple de le faire est d’aller dans le menu « Utilisateurs » de WordPress puis « Ajouter ». Créez votre nouvel identifiant difficile à deviner, par exemple « SusAuxPirates », un mot de passe compliqué, et donnez-lui le rôle d’administrateur, comme sur cet exemple :

Ensuite, reconnectez-vous à WordPress avec ce nouvel identifiant. Allez dans le menu Utilisateurs > Tous les utilisateurs. Cochez votre ancien compte « admin » puis choisissez « Supprimer ».

Attention : sur la page de suppression, on vous demande « Que faire du contenu ayant cet utilisateur pour propriétaire ? », pensez à choisir « Attribuer tout le contenu à : SusAuxPirates ». Sinon, tous les articles écrits avec votre ancien compte seront supprimés de votre blog… alors que si vous les attribuez au nouvel utilisateur, ils seront rattachés au nouveau compte.

Il existe d’autres moyens de connaître l’identifiant du compte administrateur mais ils impliquent souvent de regarder manuellement le code du blog WordPress, ce qui arrive rarement lors des situations courantes de piratage.

Comment cacher la version de ses plugins WordPress ?

Les pirates ciblent souvent les sites qui n’ont pas fait les dernières mises à jour. Or, le numéro de version d’un plugin apparaît dans le code de vos pages, n’importe qui peut donc le consulter. Si nous le cachons, nous compliquerons donc la tâche de toute personne essayant de vous attaquer par ce biais !

Facile : supprimer le fichier « readme.html »

Connectez-vous sur le FTP de votre blog et supprimez le fichier « readme.html ». Il n’est pas nécessaire au fonctionnement de votre blog et contient le numéro de version de WordPress.

Moins facile : modifier le fichier functions.php de votre thème

Le fichier functions.php d’un thème WordPress contrôle beaucoup de choses : les options de personnalisation par exemple. Il se trouve dans le dossier wp-content > themes > votretheme > functions.php. Nous allons le modifier et ajouter du code à l’intérieur.

Si le fichier se termine par la balise ?>, mettez votre code avant cette balise. Si le fichier ne se termine pas par cette balise, copiez simplement votre code au niveau de la dernière ligne. Il ne faut laisser aucune ligne blanche à la fin du fichier functions.php : si vous constatez qu’après la balise ?> il y a une ligne vide, sans code, effacez-la.

Ajoutez ce code :

remove_action("wp_head", "wp_generator"); 
function supprimer_versions( $src ){
$parts = explode( '?', $src );
$ver = '?ver=' . md5( wp_salt( 'nonce' ) . $parts[1] );
return $parts[0] . $ver;
}
add_filter( 'script_loader_src', 'supprimer_versions', 15, 1 );
add_filter( 'style_loader_src', 'supprimer_versions', 15, 1 );

La première ligne permet de supprimer un morceau de code qui apparaît sur tous les sites WordPress avec le numéro de version :
<meta name="generator" content="WordPress 4.0" />

Les lignes suivantes permettent de crypter les numéros de version des plugins, si toutefois il existe :

Comment masquer l’administration de WordPress (wp-admin) ?

Quand vous vous connectez à votre blog, vous entrez en général l’adresse nomdemonblog.com/wp-admin/ (ou /wp-login/). Il est possible de faire en sorte que cette page renvoie une erreur pour le visiteur lambda… et de créer une « page secrète » qui vous servira de page de connexion.

Comprendre la stratégie

Imaginez la situation suivante : vous devez récupérer un papier TRÈS important dans une administration… et on vous ordonne d’aller le chercher au bureau 777. Évidemment, il y a 2h de file d’attente pour y accéder. Mais ô magie, vous recevez soudain un SMS qui vous dit « Tu peux aussi aller chercher le papier au bureau 501 ». Miracle, il n’y a personne !

Nous allons faire la même chose :

• Le fichier wp-login.php, c’est le bureau 777 : tout le monde sait que c’est par là qu’on se connecte à WordPress.
• Nous allons créer un message qui va dire à votre blog « non non, on peut aussi se connecter à WordPress à un autre endroit, grâce au fichier topsecret.php ! »
• Nous allons créer le fichier topsecret.php, qui est le fameux « bureau 501 ».

Vous pourrez ainsi vous connecter à WordPress depuis un endroit secret que vous seul connaîtrez.

Un seul pré-requis pour que cette méthode fonctionne : votre hébergeur Internet doit vous permettre d’utiliser « mod_rewrite » (consultez la FAQ de l’hébergeur ou posez la question au support technique).

Etape 1 : indiquer l’emplacement du fichier mystère

Quand vous vous connectez sur le FTP de votre site, vous allez en principe voir un fichier qui s’appelle « .htaccess ».

• S’il n’est pas déjà là, il vous suffira de le créer avec le Bloc-Notes de Windows par exemple ou une application similaire. Il faudra ensuite le mettre en ligne à la racine de votre blog, c’est-à-dire au même endroit que les fichiers qui s’appellent « wp-activate.php », « wp-blog-header.php », etc. Le point avant le nom du fichier est important. De même, c’est un fichier qui n’a pas d’extension.
• Si le .htaccess existe déjà, faites un clic droit dessus puis cliquez sur « Afficher/Editer » ou similaire (l’intitulé peut varier selon le logiciel que vous utilisez).
  

A la fin de ce fichier, entrez le code suivant :

<ifmodule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_COOKIE} !^.*cookie\-admin\-blog=494198580.*$ [NC]
RewriteRule wp-login.php - [F]
</ifmodule>

Enregistrez ensuite ce fichier .htaccess pour qu’il remplace le précédent.

Etape 2 : créer le fichier mystère

Avec le Bloc-Notes de Windows ou une application similaire (Notepad++ pour Windows, Fraise pour Mac, etc), créez un nouveau fichier… et copiez-y ce code :

<?php
setcookie("cookie-admin-blog", 494198580);
header('Location: wp-login.php');
?>

Enregistrez le fichier sous un nom que vous seul connaîtrez. Il doit se terminer par l’extension « .php ». Par exemple, « topsecret.php ». Ensuite, mettez ce fichier sur le FTP au même endroit que le fichier .htaccess.

Le fichier .htaccess dit à toute personne qui essaie de se connecter à wp-login.php « Youhouuu, va voir ailleurs si j’y suis ! ». Le fichier topsecret.php envoie quant à lui un signal qui dit « Youhouuuu, c’est ici que ça se passe ! »

Désormais, pour vous connecter à votre blog, il suffira d’aller à l’adresse nomdemonblog.com/topsecret.php ! Toute personne extérieure essayant de se connecter à votre administration de manière classique aura un message d’erreur.

Aller encore plus loin : autres formes d’attaques et accès aux dossiers

Sur mon blog, j’ai également ajouté ce code au fichier .htaccess et je vous conseille de faire de même :

# INSTRUCTIONS SECURITE BLOG

<IfModule mod_headers.c>
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options "nosniff"
Header always set X-XSS-Protection "1; mode=block" 
</IfModule>

Options All -Indexes

<files wp-config.php>
order allow,deny
deny from all
</files>

Il permet de protéger votre blog contre d’autres formes d’attaques et comportements potentiellement problématiques, comme le cross-site scripting et le MIME-sniffing. Il permet aussi d’empêcher l’affichage du contenu des répertoires et d’empêcher l’accès au fichier wp-config.php (qui contient toutes les informations de connexion à la base de données !).

Enfin, vous pouvez modifier les permissions (chmod) des fichiers les plus sensibles, comme wp-config.php. Sur WinSCP par exemple, il faut faire un clic droit sur le fichier puis choisir « Propriétés » et cocher uniquement les cases « R » (« lecture seule »), comme ceci :

Ça empêchera toute modification extérieure du fichier, à moins de remettre les permissions sur W (« écriture ») et/ou X (« exécution »).

Quels plugins et outils pour protéger son blog WordPress du piratage ?

Pour compléter ce guide sur la sécurité WordPress, je voudrais dire quelques mots sur des outils qui peuvent vous aider à lutter contre le piratage.

Il existe un plugin très réputé, Hide My WP. Pour environ 19$, il offre à la fois des fonctionnalités de surveillance et de détection des attaques mais aussi un puissant antispam et surtout, il permet de cacher totalement le fait que vous utilisiez WordPress.

Hide My WP va non seulement faire ce que j’ai expliqué dans ce guide (empêcher de lister le contenu des répertoires, changer le mode d’accès à l’administration, etc.) mais il va aussi modifier le nom des répertoires courants de WordPress (« plugins », « wp-includes », etc.) et même modifier les classes CSS qui trahissent le fait qu’on se trouve sur un blog WordPress.

Ce plugin est tellement performant que lorsque vous testez le site avec un outil comme Wappalyzer, qui détecte le CMS utilisé, Wappalyzer est incapable d’indiquer que le site est fait avec WordPress :)

Il existe ensuite 2 plugins de référence, très complets :

• Wordfence Security – Ce plugin surveille votre blog en temps réel. Il peut vous signaler les modifications des fichiers de votre administration, détecter le code suspect, bloquer automatiquement les tentatives de connexion répétées à votre administration ou les spammeurs, permettre une double authentification avec votre mobile. Il permet également de réaliser un scan complet de son blog WordPress pour détecter un éventuel piratage.
• iThemes Security – Ce plugin est une bonne alternative à Wordfence. Il permet également de surveiller un site pour détecter les modifications suspectes et bloquer les tentatives d’intrusion, de changer l’adresse des pages de connexion (login, admin) et de renommer le compte administrateur.

J’ai rédigé un tutoriel complet pour paramétrer le plugin Wordfence, je vous conseille de le lire pour bien effectuer les réglages de l’extension.

Pour faire le bilan de votre blog WordPress, je vous conseille 2 sites :

• Nature Digitale – Ce site propose un bon test de sécurité WordPress qui repérera les problèmes les plus courants sur votre blog.
• Dareboost – Dareboost est un outil très puissant qui va bien au-delà de la sécurité. À ce titre, il peut être complexe pour un novice mais donnera aux développeurs web de précieux conseils pour optimiser la sécurité d’un site.

Conclusion

Ce guide devrait vous permettre de donner à votre blog WordPress une protection de base relativement efficace contre la majorité des situations de piratage.

La sécurité informatique passe aussi par de bonnes pratiques auxquelles on ne pense pas toujours : par exemple, si vous êtes amené à donner accès à l’administration de votre blog à des tierces personnes, mieux vaut créer un compte utilisateur séparé distinct de celui que vous utilisez au quotidien et lui donner des droits appropriés. Vous pouvez aussi publier vos articles depuis un compte ayant le rôle « Editeur » au lieu de les publier via un compte « Administrateur ».

De même, pensez à choisir un mot de passe bien sécurisé pour le FTP de votre blog. Un pirate peut aussi s’introduire par là (oui, ces créatures sont pleines de ressources !).