Cybersécurité : 15 points à considérer pour son site WordPress
Les pirates sont plus actifs que jamais pour tenter de prendre le contrôle de votre site web. Les attaques sur tous les types de sites ont augmenté drastiquement dans les 2 dernières années. Pour cette raison, il est important d’agir en prévention de manière à minimiser les risques.
Nous avons compilé une liste de 15 points à valider. Même si la majorité de ces points est simple à mettre en place, rares sont les entreprises qui font tout ce qui est nécessaire pour éviter d’être piraté.
Voici votre chance : ne faites pas partie des statistiques!
Votre site est une cible…
Nous sommes tous dans la mire des pirates. Obtenez une analyse gratuite de votre situation en moins de 5 minutes.
1. Backups
Tout d’abord, avez-vous une copie de sauvegarde de votre site web?
Plusieurs entreprises se fient sur leur hébergeur web et c’est une erreur. Pour être efficaces, vos backups devraient :
- être automatisés (un backup par jour, au minimum)
- être déposés sur un serveur distant (donc pas sur le même serveur que votre site web)
- être testé (un backup partiel ou corrompu ne sert à rien)
Si vous ne deviez retenir qu’une seule chose de cet article, nous recommandons fortement que ce soit ce point (… ou le bonus!).
2. Mises à jour
Étant paresseux, les pirates visent généralement les sites qui ne sont pas à jour. La raison : les mises à jour corrigent très souvent des failles de sécurité. En n’appliquant pas les mises à jour disponibles, les failles vous exposent!
Dans l’univers WordPress, vous aurez à mettre à jour WordPress, vos thèmes et vos extensions. Attention! Il y a une façon de procéder pour être efficace et réduire les risques de bris.
3. Mots de passe
Est-ce que le mot de passe que vous utilisez pour vous connecter à votre Tableau de bord est unique?
Unique comme dans « ce mot de passe n’est utilisé pour aucun autre service ». Le fait de réutiliser le même mot de passe à divers endroits peut être un problème.
De plus, est-ce que votre mot de passe est suffisamment complexe? L’avez-vous mis dans un gestionnaire de mots de passe?
Apprenez-en davantage sur Comment créer un bon mot de passe.
4. Utilisateurs
Combien d’administrateurs y a -t-il sur votre site?
Le droit « Administrateur » (ou « super admin » dans un réseau de sites) est le droit ultime dans l’univers WordPress. Avec ce rôle, on peut TOUT faire.
Avez-vous des utilisateurs qui n’ont pas un réel besoin de pouvoir supprimer des fonctionnalités ou changer le thème de votre site? Il s’agit d’une excellente occasion de réduire leurs accès. Vous pourriez considérer le rôle « Éditeur » pour vos utilisateurs qui ne font que modifier du contenu.
Les utilisateurs et leurs droits doivent être revus régulièrement. Il serait dommage qu’un ancien membre de votre équipe ait accès à vos données (et celles de vos clients).
Et concernant votre accès, ne le partagez jamais avec un autre utilisateur! Il est possible de créer autant d’accès qu’il y a de membres dans votre équipe.
5. Certificat SSL
Un certificat SSL permet d’encoder les échanges entre vos visiteurs et votre serveur via le protocole HTTPS. Ainsi, la sécurité est augmentée lorsque vos visiteurs achètent sur votre site web ou remplissent un formulaire, par exemple.
Depuis plusieurs années, Google pénalise les pages web n’utilisant pas le protocole HTTPS en abaissant leur rang dans les résultats de recherches.
Le protocole HTTPS est également requis pour utiliser le protocole HTTP2 (ou HTTP3) qui permet une meilleure gestion des requêtes de vos visiteurs tout en augmentant la rapidité des échanges de données. Oh! La rapidité de votre site web est également un des critères utilisés pour le rang de vos pages dans les moteurs de recherches!
6. Éléments non utilisés
Tout ce qui est présent sur votre site et qui n’est pas réellement utilisé peut être un risque. Pas nécessairement « tout », mais c’est le cas pour les thèmes et extensions qui seraient installés, mais non activés.
Si un thème (ou une extension) est installé, mais pas activé… il n’est pas requis. Par contre, il peut être utilisé comme vecteur dans une attaque s’il est vulnérable. Si ce n’est pas utilisé, vous devriez considérer tout simplement retirer l’élément en question.
7. Éditeurs de code
WordPress met à votre disposition deux types d’éditeurs de code à même son Tableau de bord :
- Éditeur de fichiers des thèmes
- Éditeur de fichiers des extensions
Ces éditeurs permettent de modifier tous fichiers en lien avec les thèmes et extensions installés. Une seule erreur lors d’une modification et…. hop! plus rien ne charge.
Les modifications de code ne devraient jamais être effectuées en production (votre site accessible aux visiteurs). Il n’y a donc pas de raison de conserver ces éditeurs… à part si vous aimez les sensations fortes qui pourraient venir avec le fait de prendre un tel risque!
Dans le fichier functions.php de votre thème, vous pouvez ajouter la ligne suivante :
define( 'DISALLOW_FILE_MODS', true );
En ajoutant la ligne suivante, les deux éditeurs de codes disparaîtront sous les menus « Apparence » et « Extensions » de votre Tableau de bord.
8. Droits sur les fichiers
Les droits sur les fichiers peuvent être complexes à comprendre. Ceci dit, lorsque des problèmes de droits sont rencontrés, il n’est pas rare de constater qu’un néophyte soit allé modifier les droits de manière à retirer toutes les restrictions.
Le tout pourrait avoir comme impact de permettre à un autre client du même hébergeur de consulter les fichiers de votre site, voir même de les modifier.
Dans l’univers WordPress, les fichiers doivent généralement utiliser les droits : 644. Pour les répertoire, on utilise : 755.
Si le sujet vous intéresse, l’article (en anglais) suivant pourrait être pertinent:
Changing file permissions
9. Sources fiables
Pour ajouter des fonctionnalités à un site de WordPress sous forme de thèmes ou d’extensions, il est possible de faire l’acquisition de ceux-ci de différentes sources… mais toutes ne sont pas égales en terme de fiabilité et sécurité!
WordPress offre gratuitement au téléchargement près de 60 000 thèmes et extensions sur leur site web officiel. Pour un choix fiable, il importe de consulter le nombre d’installations active, le nombre d’étoiles accordées et si les utilisateurs obtiennent réponse à leurs questions de soutien technique.
Pour les thèmes et extensions qui demandent paiement, il est recommandé de les acheter du site du dévelopeur directement ou sur des sites réputés tels que ThemeForest et CodeCanyon.
10. Extensions de sécurité
L’utilisation d’une extension de sécurité n’est pas toujours requise, mais c’est souvent une façon simple et rapide d’établir un ligne de défense additionnelle lorsqu’on ne contrôle pas tous les aspects de son site web.
Bien qu’il existe des dizaines d’extensions WordPress faisant la promotion de la sécurité, certaines d’entre elles nous semblent plus complètes et profitent de mises à jour fréquentes permettant de réagir rapidement aux menaces :
11. Double vérification
Avec la montée des tentatives d’intrusions, l’utilisation d’un mot de passe fort n’est souvent plus suffisant.
On parle désormais d’authentification à deux facteurs (2FA) ou à facteurs multiples. Ceci implique la contre-vérification par l’envoi de codes additionnels pas courriel, SMS ou une application sur téléphone mobile, avant de pouvoir accéder à son Tableau de bord.
WordPress permet l’ajout de ce genre d’authentification à l’aide de certaines extensions de sécurité ou d’autres mécanismes qui sauront décourager les tentatives d’intrusion.
12. Disponibilité (monitoring)
Comment savoir que votre hébergement web est fonctionnel en tout temps?
C’est ce à quoi répondent les services de monitoring : ils envoient à votre site une requête à intervalle régulier, typiquement appelée ping, et si le site ne répond pas assez rapidement, alors le service vous notifie et tente de vous donner la raison du problème.
Vous pourrez pas la suite
Voici quelques exemples de tels services offrant différents niveaux de détails et notifications :
13. Pare-feu (firewall)
La raison d’être d’un pare-feu est de protéger votre site web de requêtes potentiellement dangereuses, que ce soit des tentatives d’intrusions ou des attaques visant à rendre votre site non disponible à vos visiteurs.
Il existe plusieurs types de pare-feu, que ce soit au niveau de votre nom de domaine (ex. Cloudflare), de votre hébergeur web, de votre serveur d’hébergement ou même votre site web à l’aide d’une extension.
Un mythe veut que de passer par l’entremise d’un pare-feu ralentisse l’accès à un site, mais en fait, grâce au fait que le pare-feu stoppe une foule de requêtes inutiles sur un site web, c’est l’inverse qui se produit : le site web étant moins sollicité, il peut répondre plus rapidement aux visiteurs!
Le nom de technologies de pare-feux bien connus inclus CloudFlare,
14. Hébergement de qualité
L’endroit où votre site web sera hébergé (fichiers et base de données) compte pour beaucoup dans sa performance, autant pour vous qui y entrerez du contenu, que pour vos visiteurs.
Il existe différents types d’hébergements web qui varient en qualité, en niveau de complexité et naturellement, en prix, qui varient de quelques dollars par mois à plusieurs milliers de dollars.
Disons qu’à un prix de moins de 10$ par mois, ne vous attendez pas à une performance à tout rompre. Et peu importe votre choix, testez le soutien technique, car en cas de problème, vous saurez à quoi vous attendre!
Règle générale, il est recommandé de ne mettre qu’un seul site web (ou application) dans un compte d’hébergement web, ceci afin de minimiser le risque en cas de vulnérabilité, dans le but de minimiser la possibilité de contamination croisée.
15. Outils populaires
Sur le web, on gagne à utiliser les outils les plus connus car ceux-ci sont souvent mis à jour plus souvent, offrant ainsi un fonctionnement sécuritaire et de nouvelles fonctionnalités.
La présence de documentation pour les outils que vous choisirez sont souvent un gage de qualité supérieure. Finalement, si vous découvrez que votre outil favori n’a plus de mises à jour depuis plus d’un an, commencez à considérer le changer, avec la transition que ceci impliquera. Sinon, gare aux vulnérabilités inconnues!
Bonus
Concernant votre nom de domaine :
- Il doit vous appartenir (ex. il n’est pas acheté au nom d’une agence)
- Vous devez avoir l’accès administratif total (gestion et facturation)
- Le renouvellement automatique doit être activé
- Votre adresse courriel au compte doit être valide
- La carte de crédit au compte doit être valide
Conclusion
La cybersécurité est une science et un art : les connaissances techniques ne sont rien sans une compréhension du « facteur humain » et des impondérables. Votre stratégie de cybersécurité sera seulement aussi forte que son maillon le plus faible.
Des backups complets et testés peuvent sauver un site web, malgré la présence de lacunes à votre stratégie de sécurité.
Le piratage coûte cher : en argent, en temps, en réputation, en opportunités manquées… pratiquez la cyberrésilience afin de prévenir le pire!
La cybersécurité de votre site web vous inquiète, contactez notre agence d’experts WordPress.